淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-2006200912095100
中文論文名稱 補強COBIT控制要項以滿足ISO27001資安要求之研究
英文論文名稱 A Study of Enhancement of COBIT Controls Conformity Security Requirements
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士在職專班
系所名稱(英) On-the-Job Graduate Program in Advanced Information Management
學年度 97
學期 2
出版年 98
研究生中文姓名 章孝成
研究生英文姓名 Hsiao-Chen Chang
學號 795630101
學位類別 碩士
語文別 中文
口試日期 2009-06-07
論文頁數 82頁
口試委員 指導教授-梁德昭
委員-黃明達
委員-吳宗禮
委員-連志成
中文關鍵字 資安事故  電腦鑑識 
英文關鍵字 COBIT  ISO27001  ISMS 
學科別分類
中文摘要 COBIT(Control Objectives for Information Technology, COBIT)自1996年推出第一版以來,隨著科技與企業需求的演變,已成為企業或政府機關導入IT治理的標準。然而,由於COBIT主要精神是為了配合組織或單位營運需求,但是對於資安事故控管、防範方面,比起ISMS較無完整的控制。是以,當資安事故發生時,COBIT控制措施是否能即時鑑別資安事故或問題,並採取適當行動來降低對組織的損害?
本研究企圖為發生異常或無法解決之資安狀況時,提出一套採用電腦鑑識工具與程序作為輔助媒介,以發掘問題癥結,補強COBIT控制要項之亡羊補牢程序,希望藉由此套程序能縮短組織對資安事故反應時間、降低風險,同時協助完成或提升各COBIT控制目標達成率,又可符合組織營運的管理要求。
英文摘要 The evolution of technology and business requirements has seen COBIT (Control Objectives for Information Technology) become the standard for IT governance in the corporate and government sectors since the first version was released in 1996. COBIT was originally intended to support an organization or agency's operating requirements, however, so its information security incident control and prevention elements are less comprehensive than ISMS. In that case, are COBIT controls adequate for immediately identifying information security incidents or problems and taking the appropriate measures to minimize the threat to the organization?
This study attempts to propose a set of auxiliary computer forensic tools and procedures that can be used to identify the cause of the problem when there is an anomaly or unsolvable information security incident. This procedure will reinforce the post-incident response capability of COBIT controls to shorten the organization's response times to security incidents and reduce their potential risk. At the same time, it will also help realize or improve the target accomplishment rates of each COBIT control while meeting the organization's management needs.
論文目次 中文摘要 ..................................................................................................................... I
英文摘要 .................................................................................................................... II
誌謝辭 ...................................................................................................................... III
目錄 .......................................................................................................................... IV
表目錄 ...................................................................................................................... V
圖目錄 ....................................................................................................................... VI
第一章 緒論 ............................................................................................................. 1
第一節 研究背景 ............................................................................................. 1
第二節 研究動機 ............................................................................................. 1
第三節 研究目的 ............................................................................................. 2
第二章 文獻探討 ..................................................................................................... 3
第一節 資訊科技相關控制目標COBIT4.1 ..................................................... 3
第二節 COBIT與ISMS、ISO27001 ................................................................ 13
第三節 電腦鑑識 ........................................................................................... 16
第三章 以電腦鑑識輔助COBIT控制項目的程序 ............................................... 20
第一節 資安事故對組織的影響 ................................................................... 20
第二節 資安事故處理程序 ........................................................................... 23
第三節 鑑識與分析程序 ............................................................................... 25
第四章 補強COBIT控制要項之後驗程序............................................................. 33
第一節 資安事故處理過程說明 ................................................................... 33
第二節 範例說明 ........................................................................................... 38
第五章 結論 ........................................................................................................... 41
參考文獻 ................................................................................................................... 42
附錄一 COBIT與ISO27001對應表 ....................................................................... 45
附錄二 COBIT控制要項中不屬於資安管制對應表 ........................................... 72
附錄三 鑑識工具比較表 ....................................................................................... 81
表目錄

表2.1 COBIT4.1主要參考來源 ............................................................................... 4
表2.2 COBIT4.1四個領域的說明 ........................................................................... 5
表2.3 COBIT4.1資訊準則 ....................................................................................... 7
表2.4 COBIT4.1的IT資源 ....................................................................................... 7
表2.5 COBIT4.1控管過程項目 ............................................................................... 9
表2.6 COBIT4.1的6個通用控制目標 .................................................................. 10
表2.7 COBIT4.1的6個應用控制目標 .................................................................. 17
表2.8 目前各研究中提及之電腦鑑識程序整理 .................................................. 17
表3.1 COBIT IT Goals與IT Process對應表 .......................................................... 24
表3.2 和資安事故相關COBIT IT Goals與IT Process對應表 .............................. 25
表3.3 資安事故、電腦鑑識、COBIT IT Goals關連表 ........................................... 29
表4.1 資安事故、COBIT IT Goals、IT Process對應表 ........................................... 34
表4.2 CSI 2006~2008年資安調查報告 ................................................................. 38
圖目錄

圖2.1 COBIT版本進展 .......................................................................................... 3
圖2.2 COBIT四個領域互動關係 .......................................................................... 5
圖2.3 COBIT4.1的基礎導向 ................................................................................. 6
圖2.4 企業目標轉化為IT目標 ............................................................................. 8
圖2.5 COBIT4.1各階層目標關係圖 ..................................................................... 8
圖2.6 COBIT4.1的成果量測 ............................................................................... 11
圖2.7 COBIT的績效指標 .................................................................................... 12
圖2.8 機密性、完整性、可用性關係與特性 ........................................................ 13
圖2.9 P-D-C-A循環 ............................................................................................. 14
圖2.10 COBIT與ISMS關係 .................................................................................. 15
圖3.1 COBIT4.1的運作框架 ............................................................................... 20
圖3.2 因應資安事故補強COBIT控制流程........................................................ 22
圖3.3 COBIT與電腦鑑識程序關係圖 ................................................................ 23
圖3.4 2004~2008年來較常發生的資安威脅或攻擊事件統計圖 ...................... 28
圖4.1 資安事故處理流程 .................................................................................... 33
參考文獻 【1】 王子敬、謝俼純、尤焙 譯,Eric Maiwald著,2002,網路安全入門手冊,第二版,麥格羅.希爾國際出版社。
【2】 王旭正,民95,資安事件之電腦鑑識即時應變工具使用研究,2006電子商務與數位生活研討會。
【3】 王旭正、林建一、高大宇、柯巧心,民95,P2P架構下智慧財產權之爭議與數位證據的判讀,民95資通安全分析專論。
【4】 王旭正、柯宏叡、楊誠育,民91,網站入侵安全的證據存留鑑識探討,Communications of the CCISA,2002,Vol.8 No4。
【5】 王旭正、高大宇、吳忠哲、江安展,民94,資訊時代資安事件:數位媒介證據的來源、依據、判斷與說服力,民94資通安全分析專論。
【6】 吳豐乾,民93,基植於Windows系統的電腦鑑識工具之研究,私立樹德科技大學資訊管理研究所碩士論文。
【7】 周國華(民96),周國華簡報檔,屏東商業技術學院會計系-企業資訊系統風險與控制(961210課程講義)。
【8】 林宜隆、歐啟銘,民97,數位鑑識工具之比較—以Encase5.0、FTK1.6及Helix1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例,2008數位科技與創新管理研討會論文集。
【9】 林宜隆、藍添興,民92,數位證據蒐證程序之初探,2003年第七屆資訊管理學術暨警政資訊實務研討會。
【10】 孫宇安 譯,Julia H. Allen著,2002,SERT網路與系統安全實務,培生教育出版社集團。
【11】 梁德昭、章孝成,民98,以電腦鑑識手段針對資安事故補強COBIT控制要項之研究,第二十屆國際資訊管理學術研討會。
【12】 傅雅萍、樊國楨、楊中皇(民97)。CORAS用於ISAC之研究。經濟部標準檢驗局-堅實我國ISMS稽作業系列討論會參考資料,97年度第一季(970331課程講義)。
【13】 樊國楨(民97),樊國楨簡報檔,異術科技股份有限公司-資訊安全管理系統CNS (ISO/IEC 27000)屬別(Family)標準系列之回顧與前瞻(970331課程講義)。
【14】 歐陽惠華(民96),ISO 27002與COBIT 4.1控制措施之對映分析,國立高雄師範大學資訊教育研究所碩士論文。
【15】 蕭瑞祥(民93),蕭瑞祥簡報檔,私立康寧醫護暨管理專科學校-ISMS與公司治理(931002課程講義)。
【16】 蕭瑞祥、梁德昭、鄭哲斌、趙立本,民96,數位鑑識程序以資料流之概念架構模型,2007年第九屆網際空間:資安、犯罪與法律社會研究暨實務研討會論文集。
【17】 錢世傑,民96,錢世傑簡報檔,交通部資通安全會報-電腦暨網路犯罪案例報告(960731課程講義)。
【18】 錢世傑、錢世豐、劉嘉明、張紹斌 著,民93,電腦鑑識與企業安全,初版,文魁資訊股份有限公司。
【19】 鐘瑩 譯,Michael Mullins 著,2004,處理安全七步驟,http://taiwan.cnet.com/enterprise/topic/0,2000062938,20088256,00.htm
【20】 Computer Security Institute (CSI). (2008). CSI Survey 2008 – The 13th Annual Computer Crime and Security Survey.
【21】 Digital Forensic Research Workshop (DFRWS) Research Road Map, Utica, NY. (2001) http://www.dfrws.org/archive.html
【22】 International Organization for Standardization (ISO). (2005). Information technology – Code of practice for information security management. ISO/IEC 17799:2005.
【23】 IT Governance Institute (ITGI). (2006). COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.0.
【24】 IT Governance Institute (ITGI). (2007). COBIT 4.1.
【25】 IT Governance Institute (ITGI). (2007). COBIT 4.1:Tables Linking Goals And Processes, AppendixI.
【26】 IT Governance Institute (ITGI). (2007). IT Assurance Guide Using COBIT.
【27】 Kuchta, Kelly J., 2002, Forensic Fieldwork:Experience Is the Best Teacher. , Information System Security, Vol. 3 Issue 1,p29-33.
【28】 Mark M. Pollitt, “An Ad Hoc Review of Digital Forensic Models”, 2nd International Workshop on Systematic Approaches to Digital Forensic Engineering, 2007.
【29】 Mark Reith, Clint Carr, and Gregg Gunsch,2002, An Examination of Digital Forensic Models? International Journal of Digital Evidence, Issue 3,Vo1.1 Fall 2002.
【30】 Ms Foo Mei Ling (2007). COBIT 4.1: An Update. ISACA/MNCC IT Governance Conference 22nd and 23rd May 2007.
【31】 http://www.accessdata.com
【32】 http://www.bsigroup.com/en/Standards-and-Publications/Industry-Sectors/Security/IT-Security
【33】 http://www.cops.org(www.iacis.com)
【34】 http://www.e-fense.com
【35】 http://www.forensics-intl.com
【36】 http://www.guidancesoftware.com
【37】 http://www.isaca.org
【38】 http://www.itgi.org
【39】 http://www.knoppix-std.org
【40】 http://www.nist.gov/index.html
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2009-07-21公開。
  • 同意授權瀏覽/列印電子全文服務,於2009-09-01起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信