系統識別號 | U0002-0907200810232800 |
---|---|
DOI | 10.6846/TKU.2008.00196 |
論文名稱(中文) | 資通安全治理之研究-以民間企業為例 |
論文名稱(英文) | A Study of Information Security Governance - Cases Study of Private Sectors |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊管理學系碩士班 |
系所名稱(英文) | Department of Information Management |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 96 |
學期 | 2 |
出版年 | 97 |
研究生(中文) | 郭祐誠 |
研究生(英文) | Yu-Cheng Kuo |
學號 | 695630144 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2008-05-24 |
論文頁數 | 85頁 |
口試委員 |
指導教授
-
黃明達
委員 - 林東清 委員 - 金力鵬 委員 - 劉艾華 |
關鍵字(中) |
資通安全治理 個案研究 IT治理 |
關鍵字(英) |
Information Security Governance Case Study IT Governance |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
根據行政院資通安全會報統計,在2006年的600家受訪企業中,約有108家企業曾經發生6件以上實際造成損害的資安事件。資通安全在過去常被視為技術層面上的議題,管理層面較少受到重視,所以本研究欲了解資安事件發生頻率如此高的原因是否為董事會參與程度不足,或是沒有制定相關法規加以約束,故探討透過資通安全治理是否能協助組織改善資安議題並減少資安事件的發生。 本研究作者日前參與行政院科技顧問組資安治理機制與資安建設持續發展規劃研究計畫,該研究計畫探討公、私部門之資通安全治理,本研究欲研究國內企業資通安全治理成熟度,以民間企業作為實際案例,研究國內民間企業之資通安全治理。本研究採用個案研究法的多重個案研究法,探討國內民間企業之資通安全治理成熟度,並透過深入訪談研究資通安全治理導入時可能會遭遇的困難,研究結果發現導入資通安全治理可能會遭遇到組織與主管對資通安全治理之必要性不認同、相關人員對資通安全治理不夠瞭解掌握、缺乏如法規等外在之誘因或壓力、缺乏導入實務之諮詢與協助等問題。 |
英文摘要 |
According to the statistics of ICST in 2006, there are about 108 companies that have been attacked more than 6 times among the 600 companies surveyed. Information Security was regarded as a technical issue, and not considered as a managing one. Therefore, the study is trying to find out the reasons which result the highly frequent happening of information security breach, they may be caused by short participation of Board of Directors or shortage of relevant legislation, and find the answers which can help the organization prevent or decrease the situation. The author of the study has participated in the research plan, which is about ISG of public and private sectors. The study focuses on the maturity of ISG of domestic enterprises. Through the case study, we try to realize the situation of information security governance of private sectors. The research method of the study is multi-case study. We try to discuss the maturity of ISG of private sectors. We also use indepth interview to understand the problems of conducting ISG. The results of the study show as following. First, the boards and senior executives do not think ISG which is necesarry. Second, the employees who are responsible for ISG don't fully understand what they are supposed to do. Third, we are lack of external incentives and pressures such as regulations. Finally, we are lack of the consultation and assistance of practices of conducting ISG. |
第三語言摘要 | |
論文目次 |
目錄 I 圖目錄 III 表目錄 IV 第壹章 緒論 1 第一節 研究背景與動機 1 第二節 研究目的 2 第三節 研究對象與限制 2 第四節 研究流程 3 第貳章 文獻探討 5 第一節 治理 5 第二節 公司治理 6 第三節 資訊科技治理 8 第四節 資通安全治理 9 第五節 相關研究 26 第叁章 研究方法與過程 32 第一節 研究方法 32 第二節 訪談對象 32 第三節 研究設計 33 第四節 資通安全治理成熟度問卷設計 34 第五節 資通安全治理開放式問卷設計 37 第肆章 研究分析 38 第一節 資料蒐集方式 38 第二節 研究過程分析 38 第三節 A公司之資安治理成熟度分析 39 第四節 B公司之資安治理成熟度分析 39 第五節 A、B公司之資安治理成熟度之比較分析 40 第六節 資料分析結果 47 第伍章 結論與建議 50 第一節 結論 50 第二節 後續研究建議 51 致謝 52 參考文獻 53 附錄一 資通安全治理與成熟度評估問卷 57 附錄二 資通安全治理開放式問項 64 附錄三 資通安全成熟度評估問卷內容 69 圖1 本研究之研究步驟圖 4 圖2 公司治理、IT治理、資通安全治理三者關係圖 10 圖3 資通安全治理概念模式圖 13 圖4 IDEAL模型概念圖 15 圖5 成熟度模型儀表板(Dashboard) 21 表1 IDEAL各階段概述一覽表 15 表2 資通安全治理成熟度評估問卷類別一覽表 33 表3 公司業務IT依賴度分數級距 36 表4 四類項目級距、分數、整體評價三者之對應關係 36 表5 A公司資通安全治理評估分數表 39 表6 B公司資通安全治理評估分數表 40 表7 成熟度問卷各部份分數比較表 40 表8 成熟度評估落點一覽表 41 表9 A、B公司主要差異分析表 49 |
參考文獻 |
[1] 行政院科技顧問組,"資安推動發展政策整合研究-資安治理機制與資安建設持續發展規劃",2007,頁7-43。 [2] 行政院資通安全會報,"資通安全發展趨勢威脅及防護",2007,頁17-26。 [3] 吳芝嫻,"以公司治理角度探討企業財務危機相關因素之研究",2005,頁6-7。 [4] 吳琮璠,"資訊管理個案研究方法",資訊管理學報,第四卷,第一期,1997,頁7-17。 [5] 姚俊羽,"能力成熟度整合模式之導入─以文件管理系統為例",銘傳大學資訊管理研究所,2004,頁35-40。 [6] 孫強,"資通安全治理",中國資訊系統審計與控制專業委員會,2004,頁5-10。 [7] 梁定澎,"資訊管理研究方法總論",資訊管理學報,1997,第四卷,第一期,頁1-6。 [8] 陳姿伶,"個案研究法",中興大學農業推廣教育研究所,2005,台中,頁2-7。 [9] 陳萬淇,個案研究法,華泰書局出版,1985。 [10] 陳瑞祥,"資訊安全治理白皮書談內控機制─董事會與高層應全面主導", http://www.isecutech.com.tw/feature/view.asp?fid=375,2003。 [11] 黃俊英,"行銷研究",華泰書局出版,1997,頁45-72。 [12] 黃國欽,"公部門資訊安全管理",高雄第一科技大學資管系,2006,高雄,頁7-43。 [13] 羅千益,"資訊工程導論",http://neuron.csie.ntust.edu.tw/homework/93/csie_introduction/homework3/B9315045/cmmiint.htm,2008/5。 [14] Allen, J. H., and Westby, J. R., "Characteristics of Effective Security Governance," EDPACS, Vol. XXXV, No. 5, 2007. [15] Andersen, P. W., "Information Security Governance," Information Security Technical Report, Vol. 6, No. 3, 2001, pp. 60-70. [16] Corporate Governance Task Force, "Information Security Governance - a Call to Action," Corporate Governance Task Force Report, April 2004. [17] Entrust, "Information Security Governance (ISG): an essential element of corporate governance," 2004, pp. 1-13. [18] Fujitsu, "Information Security Solutions," http://www.fujitsu.com/downloads/MAG/vol43-2/paper04.pdf, December 2006. [19] Information Technology Governance Institute, "Board Briefing on IT Governance 2nd Edition," 2003. [20] Information Technology Governance Institute, "Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition," 2006. [21] Institute of Internal Auditors, "Information Security Management and Assurance: A Call to Action for Corporate Governance," 2000. [22] Ministry of Economy, "Trade and Industry. Information Security Governance in Japan," September 2005. [23] Moulton, R., and Coles, R. S., "Applying Information Security Governance," Computer & Security, Vol.22, No.7, 2003, pp. 580-584. [24] Poore, R. S., "Information Security Governance," EDPACS, Vol. XXXIII, No. 5, 2005. [25] Posthumus, S., and Von Solms, R., "A framework for the governance of information security," Computers and Security, Vol.23, No.8, 2004, pp. 638-646. [26] Swindle, O., and Conner, B., "The Link between Information Security and Corporate Governance," http://www.computerworld.com/securitytopics/security/story/0,,92915,00.html?SKC=security-92915, 2004. [27] Von Solms, B., "Information Security governance: COBIT or ISO 17799 or both," Computers and Security, Vol. 24, No.2, 2005, pp. 99-104. [28] Von Solms, R., and Von Solms, S. H., "Information Security Governance: A model based on the Direct-Control Cycle," Computer & Security, Vol.26, No.6, 2006, pp. 408-412. [29] Von Solms, R., and Von Solms, S. H., "Information security governance: Due care," Computer & Security, Vol.25, No.7, 2006, pp. 494-497. [30] Von Solms, S. H., "Information Security Governance- Compliance management vs. operational management," Computer & Security, Vol.24, No.6, 2005, pp. 443-447. [31] Yin, R. K., "Case Study Research:Designs and Methods 2nd Edition," U.S.A., SAGE, 1994. |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信