淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-0407201301184100
中文論文名稱 資訊安全風險管理實務落差之探討-以某財團法人機構為例
英文論文名稱 A Study of The Gaps Between Standards and Practices of Information Security Risk Management - A case study of a Non-profit Organization
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士在職專班
系所名稱(英) On-the-Job Graduate Program in Advanced Information Management
學年度 101
學期 2
出版年 102
研究生中文姓名 張嘉琪
研究生英文姓名 Chia-Chi Chang
學號 700630279
學位類別 碩士
語文別 中文
口試日期 2013-06-22
論文頁數 75頁
口試委員 指導教授-梁德昭
委員-林至中
委員-詹前隆
中文關鍵字 ISO 31000  風險管理  資訊安全風險管理 
英文關鍵字 ISO 31000  Risk Management  Information Security Risk Management 
學科別分類
中文摘要 本研究旨在探討以某採用ISO 27001為基礎導入資安風險管理之非營利組織對組織的風險管理是否落實並且達到有效控管,並從ISO 31000與現有管理方式二者之間的落差探究其原因。將ISO 31000與組織現有管理方式比對分析並透過專家訪談蒐集意見,從訪談結果分析歸納出組織內部對於資安風險管理認知不足及缺乏為首要主因,因此也影響主管支持程度當資源及人力較為缺乏的情況下即無法真正有效達到風險管理。期望未來企業/組織在導入ISMS時,能參考本研究之建議,提高組織資安風險管理認知,讓風險管理能落實於組織內部所有活動,才能有效控制組織潛在資訊風險。
英文摘要 This study focus on whether or not the IRM is well effectively controlled in practice, and compare their managerial activities of IRM with the requirements of ISO 31000 for a non-profit organization which has been adopted IRM based on ISO 27001. The differences of existed IRM management and the ISO 31000 standard are figured out and then raise the related issues to explore. Through the experts interview and opinions collection and analysis, results show that the mainly course of IRM is not practically effectiveness is lack of relevant knowledge of IRM organizational-wise, and thus also due to the reason of lack of supervisor support, hence also lack of resources and manpower to be put into IRM. The conclusion of this study could be as a hint to those organizations or businesses, before they are adopting ISMS, have to increase the awareness of IRM in advance, so that activities of IRM can be really put into practices to effectively control the potential information risk of organization.
論文目次 目次
第一章 緒論 1
第一節 研究動機與目的 1
第二節 論文架構 4
第二章 文獻探討 5
第一節 風險管理 5
第二節 資訊安全風險管理 7
第三節 ISO 27001資訊安全管理系統 8
第四節 ISO 31000風險管理-原則和指導綱要 9
第三章 研究方法 10
第一節 研究對象 10
第二節 研究流程 11
第四章 研究分析 12
第一節 設計開放性訪談問題過程-各管理項目比較 18
第二節 進行專家訪談-訪談過程分析 27
第三節 初步訪談研究重要發現 45
第四節 修正開放性訪談問題 46
第五節 訪談研究結果 59
第五章 結論 65
第一節 研究結論 65
第二節 後續研究 68
參考文獻 69
附  錄 71

表目錄
表 1 ISO 31000執行項目與本研究對象執行ISMS管理過程比較項目 14
表 2 本研究對象管理步驟不足或缺乏項目清單 24
表 3 訪談結果項目比較清單彙整表 35
表 4 訪談問題修正前後對照表 51
表 5 訪談結果分類表 64

圖目錄
圖 1 通報IASP種類統計 2
圖 2 研究流程 11
圖 3 ISO 31000風險管理過程 13
圖 4 本研究對象資訊安全風險評鑑及管理步驟 13
參考文獻 [1]于樹偉,〈全球風險管理發展趨勢〉,永續產業發展雙月刊,第53期,頁40-47,2010年12月。
[2]CNS 27001,資訊技術-安全技術-資訊安全管理系統-要求事項,2006年6月。
[3]CNS 27005,資訊技術-安全技術-資訊安全風險管理,2010年2月。
[4]CNS 31000,風險管理-原則與指導綱要,2012年8月。
[5]行政院研究發展考核委員會,風險管理及危機處理作業基準, 2009年1月。
[6]胡瑞賢,〈資訊安全風險評估模式之研究─以某半導體封裝公司為例 (下)〉,電腦稽核,第22期,頁1-22,2010年7月。
[7]國家通訊傳播委員會資通安全宣導網,<通報IASP種類統計>,網址:http://ise.ncc.gov.tw/NccGIP/wSite/index.jsp,上網日期:2013年5月20日。
[8]劉維義,〈ISO 31000 風險管理概論〉,永續經營雙月刊,第40期,頁3-10,2008年8月。
[9]樊國楨,《資通安全專輯之五資訊安全風險管理》,國家實驗研究院科技出版,2002年12月。
[10]Andreas E., Thomas N., Stefan F., “Automated Risk and Utility Management, ” Information Technology: New Generations, 2009. ITNG '09. Sixth International Conference on, pp. 393-398, 2009.
[11]CSCO “Enterprise Risk Management - Integrated Framework, ” Committee of Sponsoring Organizations of the Treadway Commission, Final Report, 2004.
[12]InConsult “Risk Management Update ISO 31000 Overview and Implications for Managers, ” InConsult, Final Report, 2009.
[13]ISO. http://www.iso27001certificates.com/ , accessed 2012/10/20.
[14]ISO 31000:2009, Risk management - Principles and guidelines.
[15]ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements.
[16]ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management.
[17]Longley, D. “Information security management and modelling, ” Information Management & Computer Security (7:1), pp. 30-40, 1999.
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2013-07-17公開。
  • 同意授權瀏覽/列印電子全文服務,於2013-07-17起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信