臺灣博碩士論文加值系統

隨著時代科技發展，駭客入侵或病毒感染，造成個人資料遭竊取、智慧財產被侵犯、重大設施遭破壞、金融機構被入侵和國家機密資料遭滲透，均顯現資訊安全工作越顯重要，而資訊安全防護工具及安全防護的機制是較欠缺的環節。在過去的研究學者多從技術性角度確保資訊安全的應用，較少學者探討從管理角度應用於資訊安全。
所以，本研究運用層級分析法(AHP)探討組織資訊安全決策方式，在「電子業」、「醫療業」及「國軍單位」等組織中分析其重要考量之關鍵因素，並利用ISO 27001的11大項控制要項、39項控制目標、133項管制措施建立層級結構，層級架構中第二層架構區分為「管理面」、「人員面」及「設備面」構成，第三層架構以ISO 27001之11項控制要項構成，最後，再利用資訊安全決策方案劃分「視情況委外」、「委外」、「自製」及「消除及轉移」等4項選擇方案，依照各組織不同的特性，選擇出最適之資訊安全評估決策方案與建議，並探討不同組織對資訊安全決策方案選擇之差異，置重點於探討國軍資訊安全選擇方案之研究，期望研究結果將來作為國軍資訊安全決策方案選擇之重要參考。

With the era of technological development, hackers or virus infection, caused by the theft of personal data, intellectual property infringement, the destruction of major facilities, financial institutions and the country was invaded by the infiltration of confidential information, are showing the work of information security more important, and information security tools and mechanisms for security is more the lack of link. In the past researchers from the technical point of view to ensure that the application of information security, and less from a management point of scholars explore the application of information security.
Therefore, this study was the use of Analytical Hierarchy Process (AHP) to explore information security decision-making in the "electronics industry", "medical profession" and "national troops unit" organizations, and using the ISO 27001 11 major term control important item, 39 control objectives, 133 control measure to establish the level structure. The second level of it includes "the management surface ", "the staff surface" and "the equipment surface", and the third construction by ISO 27001 11 control item. Finally, re-use information security decision-making program to divide four options: "as the case of outsourcing", "outsourcing", "Home", and "the elimination and transfer ", in accordance with the characteristics of the different organizations , select the most suitable decision-making information security assessment programs and proposals, and to explore the different organizations on information security decision-making differences between options, and placing the focus on information security to discuss the military options of study. Moreover, expectations of future results can provide the military decision-making information security program important reference choice.

書頁名 i
論文口試委員審定書 ii
授權書 iii
中文摘要 iv
英文摘要 v
誌謝 vii
目錄 viii
表目錄 x
圖目錄 xi
第一章 緒論 1
第一節 研究背景 1
第二節 研究目的 3
第三節 論文架構與流程 3
第二章 文獻探討 5
第一節 資訊安全 5
壹 資訊安全定義 5
貳 資訊安全的重要性與原則 8
參 影響資訊安全的因素 9
第二節 ISO 27001 10
壹 ISO 27001標準規範概述 12
貳 ISO 27001管控重點 13
參 ISO 27001資訊安全管理架構 14
第三節 國軍的資訊安全 17
壹 資訊資產管控作為 18
貳 資訊系統安全防護 21
參 緊急應變作為 26
第四節 資訊委外策略 27
第五節 資訊安全文獻回顧 28
第三章 研究方法 29
第一節 模糊德菲法 29
壹 蒐集決策群體意見 29
貳 建立三角模糊數 29
參 篩選評估指標 30
第二節 分析層級程序法之意義 30
壹 分析層級程序法之應用範圍 30
貳 AHP分析法的應用領域 31
參 AHP與其他方法之比較 32
第三節 分析層級分析法特性 32
壹 層級分析法基本假設 32
貳 各種評估尺度 33
參 AHP應用步驟 34
肆 AHP優缺點分析 39
第四節 資訊安全評估準則 40
壹 第一階段：模糊德菲法 40
貳 第二階段：AHP分析法 41
第五節 問卷對象與回收 43
第四章 層級分析法實證結果 45
第一節 多準則權重之分析 45
壹 評估構面之權重 45
貳 評估構面各準則之權重 46
參 各資訊安全決策選擇方案之綜合權重 50
第二節 資訊安全決策選擇評估模式 51
壹 電子業之資訊安全決策選擇評估模式 51
貳 醫療業之資訊安全決策選擇評估模式 51
參 國軍單位之資訊安全決策選擇評估模式 51
第五章 結論與建議 53
第一節 結論 53
第二節 研究建議 53
第三節 研究限制 54
第四節 研究貢獻 54
參考文獻 56
附錄一 58
附錄二 72
附錄三 74
第一部份—問卷填寫說明 75
第二部份—問卷調查表 78

[1]刀根勳著，競賽是決策制定法—AHP入門，陳名楊譯，建宏出版社，台北，民國八十二年。
[2]中國國家標準，CNS 17799 資訊技術-資訊安全管理的實施要則，經濟部標準檢驗局，民國九十一年十二月。
[3]李順仁，資訊安全--第二版，台北市，文魁資訊，民國九十六年。
[4]辛宜聰，「國軍主計機構知識管理關鍵成功因素評估模之研究-Fuzzy AHP之應用」，元智大學，碩士論文，民國九十七年。
[5]洪春娟，「台灣醫療機構資訊安全之研究」，屏東科技大學資管系，碩士論文，民國九十四年。
[6]姜玉菁，「論電子病歷政策對醫療資訊安全所生之影響－從病患權利保護出發」，國立台北大學法學系，碩士論文，民國九十四年。
[7]莊梅櫻，「運用ISO17799 建立資訊安全管理自我評鑑模型－以某地區醫院病歷室為例」，中國文化大學資訊管理研究所，碩士論文，民國九十五年。
[8]曾國雄、鄧振源，「層級分析法(AHP)的內涵特性與應用(上)」，中國統計學報，27(6)，6~22，民國七十八年。
[9]曾雪卿，提昇我國積體電路產業敬稱優勢之關鍵因素，成功大學企業管理研究所，碩士論文，民國八十八年。
[10]張憶玲，IBM租賃模式可增加七成中小企業e化意願，電子時報，民國九十六年。
[11]張維君，網路犯罪愈演愈烈企業與個人都應嚴加防範，電子時報，民國九十七年。
[12]張詠翔，結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究，27頁，民國九十三年。
[13]張保隆、鄭文英，「決策屬性具相關之分析層級統計模式」，交大管理學報，1(10)，159-171，民國七十九年。
[14]葉牧青，AHP 層級結構設定問題之探討，交通大學管科研究所碩士論文，民國七十八年六月。
[15]Avizienis, A. et al., Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE Transactions on Dependable and Secure Computing, IEEE ,Vol.1, No.1, pp.11~33, 2004.
[16]BSI (2005), “Information security management-- Part 1: Code ofpractice for information security management＂, BS 7799-1:2005, BSI.
[17]BSI (2005), “Information security management systems—Part2:Specification with guidance for use＂ , BS 7799-2:2005, BSI.
[18]Belton ,V . and A.E. Gear (), The Legitimacy of Rank Reversal-A Comment, Omega, 13(3),227-230. 1985.
[19]Caelli, W., D. Longley & M. Shain, Information Security for Managers,Stockton Press, New York. , 1989.
[20]Icove, Seger, and VonStorch, Computer Crime – A Crimefighter’s Handbook, California, CA : O’Reilly & Associates, 1995.
[21]Lacity, M. C., Willcocks, L. P. & Frrny, D. F., “The value of selective IT sourcing”, Sloan management Review, pp. 13-25, Spring. , 1996.
[22]McDaniel, George, ed. IBM Dictionary of Computing. New York, NY: McGraw-Hill, Inc., 1994.
[23]Millet, I. and P. T. Harker., Globally Effective Questioning In the Analytic Hierarchy Process, European Journal of Operational Research, 48,88-97,1990.
[24]Miller, G.A., “The Magical Number Seven Plus or Minus Two Some Limits on our Capacity for rocessing Information”, Psychological Rev., vol. 63, pp.81~97 , 1956.
[25]National Security Telecommunications and Information System Security Instruction, No. 4011.
[26]OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security, Paris: OECD, July 2002. www.oecd.org
[27]Rackham, Lawerence Frifdman & Richard Ruff, Getting Partnering Right: How Market Leaders Are Creating Long-term Competitive Advantage, McGraw-Hill, New York , 1995.
[28]Smith, M. “Computer Security – Threats, Vulnerabilities and Countermeasures,” Information Age, pp.205-210, Oct. 1989.
[29]Saaty, T. L., The Analytic Hierarchy Process, New York: McGrae-Hill.，1980.
[30]Vargas, Luis G., “An overview of the Analytic Hierarchy Process and its applications,” European Journal of Operation Research, Vol. 48, No. 1, pp.2-8 , 1990.
[31]Zahedi F., “The Analytic Hierarchy Process: A Survey of the Method and its Applications”, Interfaces, vol.16, pp.96-108. , 1986.