跳到主要內容

臺灣博碩士論文加值系統

(100.28.2.72) 您好!臺灣時間:2024/06/22 20:57
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:蔡育勝
研究生(外文):TSAI,YU-SHENG
論文名稱:電腦機房資產風險評鑑中導入資訊安全管理系統之研究
論文名稱(外文):Research on Information Security Management System in the Risk Assessment of Computer Room Assets
指導教授:熊博安熊博安引用關係
指導教授(外文):HSIUNG,PAO-ANN
口試委員:李宗演嚴茂旭
口試委員(外文):LEE,TRONG-YENYEN,MAO-HSU
口試日期:2020-07-27
學位類別:碩士
校院名稱:國立中正大學
系所名稱:雲端計算與物聯網數位學習碩士在職專班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2020
畢業學年度:108
語文別:中文
論文頁數:101
中文關鍵詞:風險評鑑資訊安全管理風險管理層級分析法威脅弱點資產風險指數
外文關鍵詞:Risk AssessmentInformation Security ManagementRisk ManagementHierarchical AnalysisThreat WeaknessAsset Risk Index
相關次數:
  • 被引用被引用:8
  • 點閱點閱:1586
  • 評分評分:
  • 下載下載:219
  • 收藏至我的研究室書目清單書目收藏:1
互聯網提供便利的資訊化服務與網路科技應用,但也伴隨著資安風險日益多元化和全球化,因此資通安全防護已不能單靠技術層面即可做好,需配合建立完善的資訊安全風險管理機制,以確保組織營運持續的運作。
資訊安全管理系統對組織資訊資產而言,是有系統分析評估與管理風險的方法,藉以降低組織資訊風險的預期目標。資訊資產風險評鑑是為資訊安全管理系統運作流程的核心基礎,從評估資訊資產價值、威脅弱點風險識別及風險指標分析等過程,須採取適當有效的資產風險評估準則與簡化分析流程,能真實反映資訊資產的風險現況。
本文既是以RFID應用於資產的管理,快速且精確地盤點機房資產設備,為解決實務上資訊人員識別與評估資產威脅脆弱風險時主觀判斷的偏差,利用層級分析法(Analytic Hierarchy Process,AHP)研究架構模式,分析出威脅弱點風險權重等級。然而,以往評估資產風險,不外乎取決於資產價值與資產本身弱點的衝擊影響,未曾思慮資產可能潛在的另類風險,本研究以資產風險指數探討不同的影響因子,經由風險象限地圖呈現資產可能潛藏的風險,輔以修正資產風險值之估算,透過資訊資產管理與風險評鑑系統,可改善人工繁複的風險評估作業,隨時掌握資產的現狀風險,提供風險管理者控管風險之決策參考。

The Internet provides convenient information services and the application of network technology, but it is also accompanied by the increasing diversification and globalization of security risks. Therefore, ICT security protection can no longer be achieved on the technical level alone, and needs to be established to improve Information security risk management mechanism to ensure the continuous operation of the organization's operations.
The information security management system is a method for systematically analyzing, evaluating and managing risks for the organization's information assets, in order to reduce the expected goals of the organization's information risks. Information asset risk assessment is the core foundation of the operation process of the information security management system. From the process of assessing the value of information assets, identifying threats and threats, and analyzing risk indicators, appropriate and effective asset risk assessment criteria and simplified analysis procedures must be adopted. Reflect the current risk situation of information assets.
This article uses RFID as an asset management tool to quickly and accurately inventory computer room assets and equipment. In order to solve the deviation of subjective judgments of information personnel in identifying and assessing asset threats and vulnerability risks in practice, a hierarchical analysis method is used to study The architectural model analyzes the risk weighting level of threats and weaknesses. However, in the past, the assessment of asset risk depends on the impact of the asset value and the weakness of the asset itself.,and has not considered the potential alternative risk of an asset. This study uses the asset risk index to explore different impact factors, which are presented through the risk quadrant map. The potential risks of the asset, supplemented by the estimation of the risk value of the asset. Through the information management and risk assessment system, we can improve manual risk assessment, keep track of the present risks of assets and provide risk management reference for risk management.

摘 要
ABSTRACT
誌 謝
目 錄
第一章 緒論
1.1研究背景與動機
1.2研究目的與範圍
1.3 研究流程
1.4 論文架構
第二章 文獻探討
2.1資通安全現況發展
2.2 資訊安全
2.3資訊安全標準規範
2.3.1 ISO/IEC 27001
2.3.2 ISO/IEC 27005
2.4 資產導向風險評鑑方法
2.4.1風險識別
2.4.1.1資訊資產識別
2.4.1.2威脅、弱點識別
2.4.2風險分析
2.4.2.1定性分析
2.4.2.2定量分析
2.4.2.3 定性分析與定量分析之比較
2.4.3風險評估
2.4.3.1 Magerit
2.4.3.2 OCTAVE
2.4.3.3 CRAMM
2.5 AHP應用層級分析法
2.5.1 AHP階層結構
2.5.2 AHP實施步驟
2.6 RFID
2.6.1 RFID運作原理介紹
2.6.2 Tag通訊與RFID應用
第三章 系統架構與設計
3.1 RFID資訊資產管理
3.2風險評鑑
3.2.1資訊資產價值
3.2.2資產群組化
3.2.3風險分析
3.3問卷設計
3.3.1 威脅弱點層級結構
3.3.2問卷填寫範例說明
3.3.3威脅弱點風險值(Threat)計算
3.4資產風險象限地圖
3.4.1資產風險指數
3.4.2風險象限地圖
3.5資訊資產管理與風險評鑑系統
3.5.1系統架構
3.5.2資料欄位說明
第四章 資料分析與系統實作
4.1 實證研究標的
4.2資產價值評估
4.3威脅弱點風險值
4.3.1問卷對象及回收
4.3.2評估層級構面之權重值分析
4.3.3資訊資產群組脆弱發生頻率與衝擊
4.4資訊資產管理與風險評鑑系統
4.4.1 RFID Tag資產建檔
4.4.2 資產管理與評估
4.4.3產製資產報表
4.5資產風險係數與象限地圖之分析
第五章 結論與建議
5.1研究結論
5.2研究貢獻與限制
5.3 建議事項
參考文獻
層級分析法(AHP)問卷
[1]方仁威,資訊安全管理系統驗證作業之研究,國立交通大學資訊管理研究所博士論文,2004年。
[2]陳志誠、林淑瓊、李興漢、許派立,資訊資產分類與風險評鑑之研究-以銀行業為例,資訊管理學報第十六卷第三期。
[3]劉立婷,以流程導向方法來校正資訊資產價值之方法,國立臺灣科技大學資訊管理系碩士論文,2009年
[4] Javier Candau, Centro Criptológico Nacional, Ministerio de la Presidencia , MAGERIT – version 3.0 Methodology for Information Systems Risk Analysis and Management,2014年。
[5] ISO/IEC 27005 ,Information technology-Security techniques-Information security management systems-Requirements,ISO/IEC 27005:2011 International Standard。
[6]行政院國家資通安全會報技術服務中心
https://www.nccst.nat.gov.tw/About
[7]行政院國家資通安全會報https://nicst.ey.gov.tw/Page/C008464A6C38F57C
[8] 政府機關(構)資訊安全責任等級分級作業施行計畫,https://www.ntrc.edu.tw/regulation/security_level.pdf
[9]國家資通安全會報技術服務中心106年資安現況調查報告
https://download.nccst.nat.gov.tw/attachfilehandout/
[10]World Economic Forum (WEF)
https://www.weforum.org/reports/the-global-risks-report-2020
[11]蘇建源、江琬瑂、阮金聲,資訊安全政策實施對資訊安全文化與資訊安全有效性影響之研究,資訊管理學報第十七卷第四期。
[12] Karyda, M., Kiountouzis, E., and Kokolakis, S.“Information Systems Security Policies: A Contextual Perspective,"Computers & Security (24:3), 2005, pp. 246-260.
[13]ISO/IEC,Information technology-Security techniques-Information security management systems-Requirements,ISO/IEC 27001:2013 International Standard
[14]行政院數位國家資通安全技術服務計畫-資通系統風險評鑑參考指引修訂報告,財團法人資訊工業策進會,107年12月。
[15] 風險管理及危機處理作業手冊,行政院研究發展考核委員會,98年1月。
[16]吳秀娟,資訊安全風險評估之執行差異分析與原因探討-以中部地區兩學術單位為例,私立東海大學資訊工程研究所碩士論文,2011年。
[17]祝亞琪、魏銪志、鄭皓陽,資訊安全風險評鑑方法比較,電腦稽核第23期。
[18]瞿鴻斌,資訊安全風險評估驗證系統,世新大學資訊管理學系碩士論文,2005年。
[19]范淼,專案風險管理技術開發課程,中科院,2002年。
[20] Charles P. Pfleeger, Security In Computing ,3/e, Prentice Hall PTR, 2003。
[21]王秀文,一個針對共通作業環境中資訊資產風險評估模式,國立交通大學資訊管理研究所,碩士專班論文,2004年。
[22]林宸竹,一個考量符合性與風險資訊呈現之資訊安全風險管理系統,國立臺灣科技大學資訊管理學系碩士論文,2010年。
[23]桑慧安,資訊系統風險連動評估模型之探討,中國文化大學資訊管理研究所碩士論文,2010年。
[24] PedroTubío Figueira,CristinaLópez Bravo,José LuisRivas López,” Improving information security risk analysis by including threat-occurrence predictive models”,Computers & Security ,Volume 88, January 2020, https://doi.org/10.1016/j.cose.2019.101609
[25] TechTarget, https://whatis.techtarget.com/definition/OCTAVE
[26] Christopher Alberts,Audree Dorofee,James Stevens,Carol Woody, “Introduction to the OCTAVE® Approach”, Carnege Mellon Software Engineering Institute,2003
https://itgovernance.co.uk/files/Octave.pdf
[27]ComputerWeekly.com,” OCTAVE risk assessment method examined up close”,
https://www.computerweekly.com/tip/OCTAVE-risk-assessment-method-examined-up-close
[28] ManagementMania, CRAMM (CCTA Risk Analysis and Management Method),https://managementmania.com/en/cramm-ccta-risk-analysis-and-management-method。
[29] Zeki Yazar,” A qualitative risk analysis and management tool – CRAMM”, SANS Institute Information Security Reading Room,2020。
[30]何寬祥,應用層級分析法之資訊安全風險評鑑,國立交通大學工學院工程技術與管理學程碩士論文,2014年。
[31]榮泰生,Expert Choice在分析層級程序法(AHP)之應用,2018年。
[32]褚志鵬,層級分析法(AHP)理論與實作,國立東華大學,2009年。
[33]鄧振源、曾國雄,分析層級法的內涵特性與應用(上)、(下),中國統計學報,27 卷,第6期、第7期,頁5-27(上)、頁1-19(下),1989年。
[34]Bossert,J.L.,”Quality Function Deployment a Practitioner,s Approch”,ASQC Quality Press Inc,New York,1991。
[35]陳永興,建構RFID監控技術應用在物流中心之風險分析,國立高雄第一科技大學運輸與倉儲營運系碩士論文,2004年。
[36]涂淑盈,RFID技術於辦公室管理作業之應用,國立清華大學工業工程與工程管理學系碩士論文,2013年。
[37]蔡承誌,基於RFID技術的機器人定位及導航應用,國立臺灣科技大學資訊工程研究所碩士論文,2009年。
[38]施正浩,RFID概論-第四章RFID標籤與讀取器,朝陽科技大學,2011年。
https://reurl.cc/oLVvV5
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
無相關期刊