跳到主要內容

臺灣博碩士論文加值系統

(3.236.124.56) 您好!臺灣時間:2021/07/30 07:00
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:王薏涵
論文名稱:審計實務指引、ISO/IEC 27001及ISO/IEC 20000為基礎之資訊循環成熟度模型
論文名稱(外文):A Development of Capability Model for Information Cycle: Based on Guidelines of Audit Practice, ISO/IEC 27001 and ISO/IEC 20000
指導教授:吳徐哲吳徐哲引用關係
指導教授(外文):Hsu-Che Wu
口試委員:阮金聲張碩毅
口試委員(外文):Jin-Sheng RoanShe-I Chang
口試日期:2021-05-01
學位類別:碩士
校院名稱:國立中正大學
系所名稱:會計與資訊科技研究所
學門:商業及管理學門
學類:會計學類
論文種類:學術論文
論文出版年:2021
畢業學年度:109
語文別:中文
論文頁數:140
中文關鍵詞:資訊循環成熟度模型ISO 27001ISO 20000審計實務指引
外文關鍵詞:Capability Model for Information CycleISO/IEC 27001ISO/IEC 20000Audit Practice Guidelines
相關次數:
  • 被引用被引用:0
  • 點閱點閱:25
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
在資訊科技普及的環境下,企業運作也越來越仰賴資訊科技,許多企業開始尋找資訊服務業者協助企業執行數位化或數位轉型。為確保能夠不間斷提供服務或即時回應,且能夠保護客戶之資訊安全,資訊服務業者之資訊安全管理也更顯得重要。而企業在挑選資訊服務供應商時,亦將供應商是否通過ISO/IEC 27001及另一與資訊服務業相關之國際標準ISO/IEC 20000做為評估標準。
許多企業為符合客戶期待,或為降低企業風險發生,以導入各式標準或規範減少風險發生,例如ISO/IEC 27001,但受限於各家企業文化、環境、組織等差異,導入標準或規範後,是否能落實執行,或是流於形式,則有待考量。
本研究透過紮根理論建構出資訊循環成熟度模型,包括5個成熟度階段,56項控制項目,經由11未來自產業界及學術界專家協助評估與修正成熟度模型之適用性,以個案研究方式進行相關人員訪談,了解本研究所建構之成熟度模型,於實務上之適用性,期望能透過此成熟度模型,重新檢視企業資訊循環內部控制之落實與成熟度,亦協助尚未導入ISO/IEC之企業,執行導入前之初步檢視,確認是否有尚未符合標準的項目,做為未來導入ISO/IEC之規畫。

Since the development of information technology, business operations have increasingly relied on information technology. Many companies have begun to look for information service providers to help companies implement digital transformation. In order to ensure uninterrupted service provision or instant response, and protect the information security of customers, information security management by information service providers is more important. When companies select information service providers, they also use ISO/IEC 27001 or ISO/IEC 20000, as the evaluation criteria.
In order to meet customer expectations or reduce the company risks, many companies introduce various standards to reduce the risks, such as ISO/IEC 27001, but due to the differences in company culture, environment, it can be implemented, or it is a formality, remains to be considered.
This research used the ground theory to construct the Capability Model for Information Cycle, including 5 stages, 56 control items, via 11 experts to check and modify it. Then used case study to interview with relevant person to understand the applicability of the capability model. It is hoped that this capability model, can review the implementation and capability model for information cycle. And also assist the company who have not yet implementation of ISO/IEC, perform a preliminary inspection to check if have not meet the startdard’s control item, as a basic for implementation of ISO/IEC.
第一章、 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 4
1.3 研究流程 5
1.4 論文架構 6
第二章、 文獻探討 7
2.1 內部稽核成熟度模型 7
2.1.1 IA-CM架構 8
2.1.2 治理、風險管理與合規性(Governance, Risk management, and Compliance, GRC) 10
2.2 審計實務指引 12
2.3 資訊管理相關之國際標準 13
2.3.1 ISO/IEC 27001 13
2.3.2 ISO/IEC 20000 17
3.2.3 ISO/IEC 27001、ISO/IEC 20000與審計實務指引綜合比較 19
2.4 相關文獻回顧 20
第三章、 研究方法 27
3.1 紮根理論 28
3.1.1質化研究 28
3.2.2 紮根理論 29
3.2.3紮根理論步驟 29
3.2 專家問卷 31
3.2.1 專家問卷設計與架構 31
3.2.2 專家效度 31
3.3 個案研究法 33
第四章、 資訊循環成熟度之建構 36
4.1 紮根理論運作過程 36
4.1.1 依PDCA架構初步彙整分類 36
4.1.2 依IA-CM架構彙整 39
4.1.3 資訊循環成熟度模型 41
4.2 專家問卷執行流程 47
4.2.1 專家問卷發放 47
4.2.2 問卷設計與發放 48
4.3 專家問卷結果與分析 49
4.3.1 Level 1: 初始化 49
4.3.2 Level 2: 基礎建設 51
4.3.3 Level 3: 整合 54
4.3.4 Level 4: 管理 56
4.3.5 Level 5: 優化 57
第五章、 個案分析與討論 59
5.1 個案公司介紹 59
5.1.1 個案公司概況 59
5.1.2 個案公司組織結構 60
5.1.3 個案訪談內容 61
第六章、 結論與建議 64
6.1 研究結論與貢獻 64
6.2 未來研究方向及建議 66
參考文獻 67
附錄一:紮根理論開放性編碼表 72
附錄二:專家問卷 97
附錄三:A公司訪談稿 114

馬秀莉(民99),探討企業同時導入ISO系列(ISO 9001、ISO 27001、ISO 20000)與CMMI之比較分析與管理 – 以台灣資訊服務業為例,國立交通大學管理學院碩士在職專班經營管理組碩士論文。
方曉蕙(民102),內部稽核職能成熟度之探索與分析,國立台北大學會計學系(所)碩士論文。
梁維誠(民101),企業如何因應ISO/IEC 20000改版之研究-以證券業為例,國立政治大學商學院經營管理碩士學程文化創意與資通應用班碩士論文。
藍元志(民92),專案風險管理回應策略選擇模式之建立,國立中央大學工業管理研究所碩士論文。
郭淑儀(民97),台灣資訊服務業之行銷策略探討 – 以A公司為例,國立政治大學經營管理碩士學程全球經營與貿易組碩士論文。
黃煒能(民98),由組織變革觀點探討資訊服務業導入CMMI過程之影響因素,國立高雄第一科技大學資訊管理系碩士論文。
經濟部統計處(民103),103年第3季資訊服務業、專業技術服務業、租賃業營業額統計。
行政院經濟建設委員會(民93),服務業發展綱領及行動方案 – 提高附加價值、創造就業機會 – 總論。
詹順吉(民96), 資訊循環內部控制制度建構之研究 – 以企業資源規劃系統為例,國立中正大學會計與資訊科技研究所碩士論文。
中華民國國家標準,資訊技術-服務管理-第1部:規格。
中華民國國家標準,資訊技術-服務管理-第2部:作業規範。
中華民國國家標準,資訊技術-安全技術-資訊安全管理系統-要求事項。
張碩毅、馬嘉蓉(民95),以紮根理論探討中小企業資訊系統委外相關議題之研究,行政院國家科學委員會補助大專學生參與專題研究計畫研究成果報告。
陳昺麟(民90),社會科學質化研究之紮根理論實施程序及實力之介紹,「勤益科技大學」勤益學報第十九期。
審計準則公報第四十八號,「瞭解受查者及其環境以辨認並評估重大不實表達風險」訂定條文。
資策會(民101),2012年台灣資訊服務與軟體市場重要趨勢,MIC研究報告。
財團法人會計研究發展基金會,審計實務指引。
葉銀華、李存修、柯承恩(民91),公司治理平等系統,商智文化事業股份有限公司。
嚴文筆(民93),從內部控制觀點建構舞弊訴訟預警模型,國立中正大學會計與資訊科技研究所碩士論文。
AICPA (2007), The Importance of Internal Controls in Financial Reporting and Safeguarding Plan Assets.,
Brad Tuttle, Scott D. Vandervelde (2007), An empirical examination of CobiT as an internal control framework for information technology, International Journal of Accounting Information Systems, 8, 240-263.
César Pardo, Francisco J. Pino and Félix Garcia (2016), Towards an Integrated Management System (IMS), harmonizing the ISO/IEC 27001 and ISO/IEC 20000-2 Standard, International Journal of Software Engineering and Its Applications, 10(9), 217-23.
Douglas Havelka, Jeffrey W. Merhout (2012), Internal information technology audit process quality: Theory development using structured group processes, International Journal of Accounting Information Systems, 14, 165-192.
Eisenhardt, Kathleen M. (1989), Building Theories from Case Study Research, The Academy of Management Review, 14(4).
Heru Susanto, Mohammad Nabil Almunawar, Yong Chee Tuan (2012), Information Security Challenge and Breaches: Novelty Approach on Measuring ISO 27001 Readiness Level, International Journal of Engineering and Technology, 2(1), January, 2012.
ISO/IEC 27001(2005), Information technology – Security techniques – Information security management systems – Requirements, 1, 34.
Kevin W. Kobelsky (2014), A conceptual model for segregation of duties: Integrating theory and practice for manual and IT-supported processes, International Journal of Accounting Information Systems, 15, 304-322.
Lawshe, C. H. (1975), A Quantitative Approach to Content Validity, Personnel Psychology, 28, 563-575.
Michael Brenner, Thomas Schaaf and Alexander Scherer (2009), Towards an Information Model for ITIL and ISO/IEC 20000 processes, International Symposium on Integrated Network Management., New York.
Naresh R. Pandit (1996), The Creation of Theory: A Recent Application of the Grounded Theory Method, The Qualitative Report, 2(4), December, 1996.
Strauss, Anselm L., Corbin, Juliet M. (1998), Basics of Qualitative Research: Techniques and Procedures for Developing Grounded Theory, Sage Publications, Inc.
The IIA Research Foundation (2009), Internal Audit Capability Model (IA-CM) For the Public Sector, The IIA Research Foundation.
Razieh Sheikhpour and Nasser Modiri (2012), A Best Practice Approach for Integration of ITIL and ISO/IEC 27001 Services for Information Security Management, Indian Journal of Science and Technology, 5(2), 2170-2176.
Yin, Robert K (1994), Case study research: Design and methods, Newsbury Park, CA:SAage.
Yudistira Asnar, Hoon Wei Lim, Fabio Massacci, and Clair Worledge (2010), Realizing trustworthy business services through a new GRC approach, ISACA JOURNAL, 2, 2010.
網站文獻
吳晟熙,雲端安全聯盟(CSA)STAR認證簡介:恭喜中華電信取得CSA STAR銀級認證,檢索於2014年11月19日。網址:
http://www.bsigroup.tw/upload/eNews/No123/STAR_Certification.pdf
唐華(2019),ISO 20000服務管理標準改版重點與新舊版差異說明。BSI台灣電子報,No. 189。檢索於2021年3月23日。網址:https://www.bsigroup.com/globalassets/localfiles/zh-tw/e-news/no189/189-nov.html
國家發展委員會,資訊服務業(Information services)。檢索於2014年12月12日。網址:https://www.ndc.gov.tw/News_Content.aspx?n=01B17A05A9374683&sms=32ADE0CD4006BBE5&s=300D68ADE1924616
經濟部工業局,CMMI評鑑。檢索於2014年12月12日。網址:http://www.softwarevalue.org.tw/main/modules/MySpace/index.php?sn=sv&pg=ZC1618
CSA Security, Trust & Assurance Registry(STAR), Cloud Security Alliance. Retrieved November 24, 2014 from https://cloudsecurityalliance.org/star/
Internal control, information systems, and the audit plan. Retrieved November 24, 2014 from http://www.hkicpa.org.hk/file/media/section6_standards/standards/sas300.pdf
ISO. Retrieved December 12, 2014 from http://www.iso.org/iso/home/standards/certification/iso-survey.htm?certificate=ISO/IEC%2027001&countrycode=US#countrypick
電子全文 電子全文(網際網路公開日期:20260701)
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top