淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-0907200810232800
中文論文名稱 資通安全治理之研究-以民間企業為例
英文論文名稱 A Study of Information Security Governance - Cases Study of Private Sectors
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 96
學期 2
出版年 97
研究生中文姓名 郭祐誠
研究生英文姓名 Yu-Cheng Kuo
學號 695630144
學位類別 碩士
語文別 中文
口試日期 2008-05-24
論文頁數 85頁
口試委員 指導教授-黃明達
委員-林東清
委員-金力鵬
委員-劉艾華
中文關鍵字 資通安全治理  個案研究  IT治理 
英文關鍵字 Information Security Governance  Case Study  IT Governance 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 根據行政院資通安全會報統計,在2006年的600家受訪企業中,約有108家企業曾經發生6件以上實際造成損害的資安事件。資通安全在過去常被視為技術層面上的議題,管理層面較少受到重視,所以本研究欲了解資安事件發生頻率如此高的原因是否為董事會參與程度不足,或是沒有制定相關法規加以約束,故探討透過資通安全治理是否能協助組織改善資安議題並減少資安事件的發生。
本研究作者日前參與行政院科技顧問組資安治理機制與資安建設持續發展規劃研究計畫,該研究計畫探討公、私部門之資通安全治理,本研究欲研究國內企業資通安全治理成熟度,以民間企業作為實際案例,研究國內民間企業之資通安全治理。本研究採用個案研究法的多重個案研究法,探討國內民間企業之資通安全治理成熟度,並透過深入訪談研究資通安全治理導入時可能會遭遇的困難,研究結果發現導入資通安全治理可能會遭遇到組織與主管對資通安全治理之必要性不認同、相關人員對資通安全治理不夠瞭解掌握、缺乏如法規等外在之誘因或壓力、缺乏導入實務之諮詢與協助等問題。
英文摘要 According to the statistics of ICST in 2006, there are about 108 companies that have been attacked more than 6 times among the 600 companies surveyed. Information Security was regarded as a technical issue, and not considered as a managing one. Therefore, the study is trying to find out the reasons which result the highly frequent happening of information security breach, they may be caused by short participation of Board of Directors or shortage of relevant legislation, and find the answers which can help the organization prevent or decrease the situation.
The author of the study has participated in the research plan, which is about ISG of public and private sectors. The study focuses on the maturity of ISG of domestic enterprises. Through the case study, we try to realize the situation of information security governance of private sectors. The research method of the study is multi-case study. We try to discuss the maturity of ISG of private sectors. We also use indepth interview to understand the problems of conducting ISG. The results of the study show as following. First, the boards and senior executives do not think ISG which is necesarry. Second, the employees who are responsible for ISG don't fully understand what they are supposed to do. Third, we are lack of external incentives and pressures such as regulations. Finally, we are lack of the consultation and assistance of practices of conducting ISG.
論文目次 目錄 I
圖目錄 III
表目錄 IV
第壹章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 2
第三節 研究對象與限制 2
第四節 研究流程 3
第貳章 文獻探討 5
第一節 治理 5
第二節 公司治理 6
第三節 資訊科技治理 8
第四節 資通安全治理 9
第五節 相關研究 26
第叁章 研究方法與過程 32
第一節 研究方法 32
第二節 訪談對象 32
第三節 研究設計 33
第四節 資通安全治理成熟度問卷設計 34
第五節 資通安全治理開放式問卷設計 37
第肆章 研究分析 38
第一節 資料蒐集方式 38
第二節 研究過程分析 38
第三節 A公司之資安治理成熟度分析 39
第四節 B公司之資安治理成熟度分析 39
第五節 A、B公司之資安治理成熟度之比較分析 40
第六節 資料分析結果 47
第伍章 結論與建議 50
第一節 結論 50
第二節 後續研究建議 51
致謝 52
參考文獻 53
附錄一 資通安全治理與成熟度評估問卷 57
附錄二 資通安全治理開放式問項 64
附錄三 資通安全成熟度評估問卷內容 69

圖1 本研究之研究步驟圖 4
圖2 公司治理、IT治理、資通安全治理三者關係圖 10
圖3 資通安全治理概念模式圖 13
圖4 IDEAL模型概念圖 15
圖5 成熟度模型儀表板(Dashboard) 21

表1 IDEAL各階段概述一覽表 15
表2 資通安全治理成熟度評估問卷類別一覽表 33
表3 公司業務IT依賴度分數級距 36
表4 四類項目級距、分數、整體評價三者之對應關係 36
表5 A公司資通安全治理評估分數表 39
表6 B公司資通安全治理評估分數表 40
表7 成熟度問卷各部份分數比較表 40
表8 成熟度評估落點一覽表 41
表9 A、B公司主要差異分析表 49


參考文獻 [1] 行政院科技顧問組,"資安推動發展政策整合研究-資安治理機制與資安建設持續發展規劃",2007,頁7-43。
[2] 行政院資通安全會報,"資通安全發展趨勢威脅及防護",2007,頁17-26。
[3] 吳芝嫻,"以公司治理角度探討企業財務危機相關因素之研究",2005,頁6-7。
[4] 吳琮璠,"資訊管理個案研究方法",資訊管理學報,第四卷,第一期,1997,頁7-17。
[5] 姚俊羽,"能力成熟度整合模式之導入─以文件管理系統為例",銘傳大學資訊管理研究所,2004,頁35-40。
[6] 孫強,"資通安全治理",中國資訊系統審計與控制專業委員會,2004,頁5-10。
[7] 梁定澎,"資訊管理研究方法總論",資訊管理學報,1997,第四卷,第一期,頁1-6。
[8] 陳姿伶,"個案研究法",中興大學農業推廣教育研究所,2005,台中,頁2-7。
[9] 陳萬淇,個案研究法,華泰書局出版,1985。
[10] 陳瑞祥,"資訊安全治理白皮書談內控機制─董事會與高層應全面主導",
http://www.isecutech.com.tw/feature/view.asp?fid=375,2003。
[11] 黃俊英,"行銷研究",華泰書局出版,1997,頁45-72。
[12] 黃國欽,"公部門資訊安全管理",高雄第一科技大學資管系,2006,高雄,頁7-43。
[13] 羅千益,"資訊工程導論",http://neuron.csie.ntust.edu.tw/homework/93/csie_introduction/homework3/B9315045/cmmiint.htm,2008/5。
[14] Allen, J. H., and Westby, J. R., "Characteristics of Effective Security Governance," EDPACS, Vol. XXXV, No. 5, 2007.
[15] Andersen, P. W., "Information Security Governance," Information Security Technical Report, Vol. 6, No. 3, 2001, pp. 60-70.
[16] Corporate Governance Task Force, "Information Security Governance - a Call to Action," Corporate Governance Task Force Report, April 2004.
[17] Entrust, "Information Security Governance (ISG): an essential element of corporate governance," 2004, pp. 1-13.
[18] Fujitsu, "Information Security Solutions,"
http://www.fujitsu.com/downloads/MAG/vol43-2/paper04.pdf, December 2006.
[19] Information Technology Governance Institute, "Board Briefing on IT Governance 2nd Edition," 2003.
[20] Information Technology Governance Institute, "Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition," 2006.
[21] Institute of Internal Auditors, "Information Security Management and Assurance: A Call to Action for Corporate Governance," 2000.
[22] Ministry of Economy, "Trade and Industry. Information Security Governance in Japan," September 2005.
[23] Moulton, R., and Coles, R. S., "Applying Information Security Governance," Computer & Security, Vol.22, No.7, 2003, pp. 580-584.
[24] Poore, R. S., "Information Security Governance," EDPACS, Vol. XXXIII, No. 5, 2005.
[25] Posthumus, S., and Von Solms, R., "A framework for the governance of information security," Computers and Security, Vol.23, No.8, 2004, pp. 638-646.
[26] Swindle, O., and Conner, B., "The Link between Information Security and Corporate Governance,"
http://www.computerworld.com/securitytopics/security/story/0,,92915,00.html?SKC=security-92915, 2004.
[27] Von Solms, B., "Information Security governance: COBIT or ISO 17799 or both," Computers and Security, Vol. 24, No.2, 2005, pp. 99-104.
[28] Von Solms, R., and Von Solms, S. H., "Information Security Governance: A model based on the Direct-Control Cycle," Computer & Security, Vol.26, No.6, 2006, pp. 408-412.
[29] Von Solms, R., and Von Solms, S. H., "Information security governance: Due care," Computer & Security, Vol.25, No.7, 2006, pp. 494-497.
[30] Von Solms, S. H., "Information Security Governance- Compliance management vs. operational management," Computer & Security, Vol.24, No.6, 2005, pp. 443-447.
[31] Yin, R. K., "Case Study Research:Designs and Methods 2nd Edition," U.S.A., SAGE, 1994.
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2008-08-07公開。
  • 同意授權瀏覽/列印電子全文服務,於2008-08-07起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信