電子學位論文服務

§ 瀏覽學位論文書目資料

本論文電子全文於2009-09-01起於校外公開使用
本論文紙本於2009-07-21起公開使用

系統識別號	U0002-2006200912095100
DOI	10.6846/TKU.2009.00704
論文名稱(中文)	補強COBIT控制要項以滿足ISO27001資安要求之研究
論文名稱(英文)	A Study of Enhancement of COBIT Controls Conformity Security Requirements
第三語言論文名稱
校院名稱	淡江大學
系所名稱(中文)	資訊管理學系碩士在職專班
系所名稱(英文)	On-the-Job Graduate Program in Advanced Information Management
外國學位學校名稱
外國學位學院名稱
外國學位研究所名稱
學年度	97
學期	2
出版年	98
研究生(中文)	章孝成
研究生(英文)	Hsiao-Chen Chang
學號	795630101
學位類別	碩士
語言別	繁體中文
第二語言別
口試日期	2009-06-07
論文頁數	82頁
口試委員	指導教授 - 梁德昭(tcliang@mail.im.tku.edu.tw) 委員 - 黃明達(Mdhwang@mail.tku.edu.tw) 委員 - 吳宗禮委員 - 連志成
關鍵字(中)	資安事故電腦鑑識
關鍵字(英)	COBIT ISO27001 ISMS
第三語言關鍵字
學科別分類
中文摘要	COBIT(Control Objectives for Information Technology, COBIT)自1996年推出第一版以來，隨著科技與企業需求的演變，已成為企業或政府機關導入IT治理的標準。然而，由於COBIT主要精神是為了配合組織或單位營運需求，但是對於資安事故控管、防範方面，比起ISMS較無完整的控制。是以，當資安事故發生時，COBIT控制措施是否能即時鑑別資安事故或問題，並採取適當行動來降低對組織的損害? 本研究企圖為發生異常或無法解決之資安狀況時，提出一套採用電腦鑑識工具與程序作為輔助媒介，以發掘問題癥結，補強COBIT控制要項之亡羊補牢程序，希望藉由此套程序能縮短組織對資安事故反應時間、降低風險，同時協助完成或提升各COBIT控制目標達成率，又可符合組織營運的管理要求。
英文摘要	The evolution of technology and business requirements has seen COBIT (Control Objectives for Information Technology) become the standard for IT governance in the corporate and government sectors since the first version was released in 1996. COBIT was originally intended to support an organization or agency's operating requirements, however, so its information security incident control and prevention elements are less comprehensive than ISMS. In that case, are COBIT controls adequate for immediately identifying information security incidents or problems and taking the appropriate measures to minimize the threat to the organization? This study attempts to propose a set of auxiliary computer forensic tools and procedures that can be used to identify the cause of the problem when there is an anomaly or unsolvable information security incident. This procedure will reinforce the post-incident response capability of COBIT controls to shorten the organization's response times to security incidents and reduce their potential risk. At the same time, it will also help realize or improve the target accomplishment rates of each COBIT control while meeting the organization's management needs.
第三語言摘要
論文目次	中文摘要 ..................................................................................................................... I 英文摘要 .................................................................................................................... II 誌謝辭 ...................................................................................................................... III 目錄 .......................................................................................................................... IV 表目錄 ...................................................................................................................... V 圖目錄 ....................................................................................................................... VI 第一章緒論 ............................................................................................................. 1 第一節研究背景 ............................................................................................. 1 第二節研究動機 ............................................................................................. 1 第三節研究目的 ............................................................................................. 2 第二章文獻探討 ..................................................................................................... 3 第一節資訊科技相關控制目標COBIT4.1 ..................................................... 3 第二節 COBIT與ISMS、ISO27001 ................................................................ 13 第三節電腦鑑識 ........................................................................................... 16 第三章以電腦鑑識輔助COBIT控制項目的程序 ............................................... 20 第一節資安事故對組織的影響 ................................................................... 20 第二節資安事故處理程序 ........................................................................... 23 第三節鑑識與分析程序 ............................................................................... 25 第四章補強COBIT控制要項之後驗程序............................................................. 33 第一節資安事故處理過程說明 ................................................................... 33 第二節範例說明 ........................................................................................... 38 第五章結論 ........................................................................................................... 41 參考文獻 ................................................................................................................... 42 附錄一 COBIT與ISO27001對應表 ....................................................................... 45 附錄二 COBIT控制要項中不屬於資安管制對應表 ........................................... 72 附錄三鑑識工具比較表 ....................................................................................... 81 表目錄表2.1 COBIT4.1主要參考來源 ............................................................................... 4 表2.2 COBIT4.1四個領域的說明 ........................................................................... 5 表2.3 COBIT4.1資訊準則 ....................................................................................... 7 表2.4 COBIT4.1的IT資源 ....................................................................................... 7 表2.5 COBIT4.1控管過程項目 ............................................................................... 9 表2.6 COBIT4.1的6個通用控制目標 .................................................................. 10 表2.7 COBIT4.1的6個應用控制目標 .................................................................. 17 表2.8 目前各研究中提及之電腦鑑識程序整理 .................................................. 17 表3.1 COBIT IT Goals與IT Process對應表 .......................................................... 24 表3.2 和資安事故相關COBIT IT Goals與IT Process對應表 .............................. 25 表3.3 資安事故、電腦鑑識、COBIT IT Goals關連表 ........................................... 29 表4.1 資安事故、COBIT IT Goals、IT Process對應表 ........................................... 34 表4.2 CSI 2006~2008年資安調查報告 ................................................................. 38 圖目錄圖2.1 COBIT版本進展 .......................................................................................... 3 圖2.2 COBIT四個領域互動關係 .......................................................................... 5 圖2.3 COBIT4.1的基礎導向 ................................................................................. 6 圖2.4 企業目標轉化為IT目標 ............................................................................. 8 圖2.5 COBIT4.1各階層目標關係圖 ..................................................................... 8 圖2.6 COBIT4.1的成果量測 ............................................................................... 11 圖2.7 COBIT的績效指標 .................................................................................... 12 圖2.8 機密性、完整性、可用性關係與特性 ........................................................ 13 圖2.9 P-D-C-A循環 ............................................................................................. 14 圖2.10 COBIT與ISMS關係 .................................................................................. 15 圖3.1 COBIT4.1的運作框架 ............................................................................... 20 圖3.2 因應資安事故補強COBIT控制流程........................................................ 22 圖3.3 COBIT與電腦鑑識程序關係圖 ................................................................ 23 圖3.4 2004~2008年來較常發生的資安威脅或攻擊事件統計圖 ...................... 28 圖4.1 資安事故處理流程 .................................................................................... 33
參考文獻	【1】王子敬、謝俼純、尤焙譯，Eric Maiwald著，2002，網路安全入門手冊，第二版，麥格羅.希爾國際出版社。【2】王旭正，民95，資安事件之電腦鑑識即時應變工具使用研究，2006電子商務與數位生活研討會。【3】王旭正、林建一、高大宇、柯巧心，民95，P2P架構下智慧財產權之爭議與數位證據的判讀，民95資通安全分析專論。【4】王旭正、柯宏叡、楊誠育，民91，網站入侵安全的證據存留鑑識探討，Communications of the CCISA，2002，Vol.8 No4。【5】王旭正、高大宇、吳忠哲、江安展，民94，資訊時代資安事件：數位媒介證據的來源、依據、判斷與說服力，民94資通安全分析專論。【6】吳豐乾，民93，基植於Windows系統的電腦鑑識工具之研究，私立樹德科技大學資訊管理研究所碩士論文。【7】周國華（民96），周國華簡報檔，屏東商業技術學院會計系-企業資訊系統風險與控制(961210課程講義)。【8】林宜隆、歐啟銘，民97，數位鑑識工具之比較—以Encase5.0、FTK1.6及Helix1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例，2008數位科技與創新管理研討會論文集。【9】林宜隆、藍添興，民92，數位證據蒐證程序之初探，2003年第七屆資訊管理學術暨警政資訊實務研討會。【10】孫宇安譯，Julia H. Allen著，2002，SERT網路與系統安全實務，培生教育出版社集團。【11】梁德昭、章孝成，民98，以電腦鑑識手段針對資安事故補強COBIT控制要項之研究，第二十屆國際資訊管理學術研討會。【12】傅雅萍、樊國楨、楊中皇（民97）。CORAS用於ISAC之研究。經濟部標準檢驗局－堅實我國ISMS稽作業系列討論會參考資料，97年度第一季（970331課程講義）。【13】樊國楨（民97），樊國楨簡報檔，異術科技股份有限公司-資訊安全管理系統CNS (ISO/IEC 27000)屬別(Family)標準系列之回顧與前瞻（970331課程講義）。【14】歐陽惠華（民96），ISO 27002與COBIT 4.1控制措施之對映分析，國立高雄師範大學資訊教育研究所碩士論文。【15】蕭瑞祥（民93），蕭瑞祥簡報檔，私立康寧醫護暨管理專科學校-ISMS與公司治理（931002課程講義）。【16】蕭瑞祥、梁德昭、鄭哲斌、趙立本，民96，數位鑑識程序以資料流之概念架構模型，2007年第九屆網際空間：資安、犯罪與法律社會研究暨實務研討會論文集。【17】錢世傑，民96，錢世傑簡報檔，交通部資通安全會報-電腦暨網路犯罪案例報告（960731課程講義）。【18】錢世傑、錢世豐、劉嘉明、張紹斌著，民93，電腦鑑識與企業安全，初版，文魁資訊股份有限公司。【19】鐘瑩譯，Michael Mullins 著，2004，處理安全七步驟，http://taiwan.cnet.com/enterprise/topic/0,2000062938,20088256,00.htm 【20】 Computer Security Institute (CSI). (2008). CSI Survey 2008 – The 13th Annual Computer Crime and Security Survey. 【21】 Digital Forensic Research Workshop (DFRWS) Research Road Map, Utica, NY. (2001) http://www.dfrws.org/archive.html 【22】 International Organization for Standardization (ISO). (2005). Information technology – Code of practice for information security management. ISO/IEC 17799:2005. 【23】 IT Governance Institute (ITGI). (2006). COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.0. 【24】 IT Governance Institute (ITGI). (2007). COBIT 4.1. 【25】 IT Governance Institute (ITGI). (2007). COBIT 4.1：Tables Linking Goals And Processes, AppendixI. 【26】 IT Governance Institute (ITGI). (2007). IT Assurance Guide Using COBIT. 【27】 Kuchta, Kelly J., 2002, Forensic Fieldwork：Experience Is the Best Teacher. , Information System Security, Vol. 3 Issue 1,p29-33. 【28】 Mark M. Pollitt, “An Ad Hoc Review of Digital Forensic Models”, 2nd International Workshop on Systematic Approaches to Digital Forensic Engineering, 2007. 【29】 Mark Reith, Clint Carr, and Gregg Gunsch,2002, An Examination of Digital Forensic Models? International Journal of Digital Evidence, Issue 3,Vo1.1 Fall 2002. 【30】 Ms Foo Mei Ling (2007). COBIT 4.1: An Update. ISACA/MNCC IT Governance Conference 22nd and 23rd May 2007. 【31】 http://www.accessdata.com 【32】 http://www.bsigroup.com/en/Standards-and-Publications/Industry-Sectors/Security/IT-Security 【33】 http://www.cops.org（www.iacis.com）【34】 http://www.e-fense.com 【35】 http://www.forensics-intl.com 【36】 http://www.guidancesoftware.com 【37】 http://www.isaca.org 【38】 http://www.itgi.org 【39】 http://www.knoppix-std.org 【40】 http://www.nist.gov/index.html
論文全文使用權限	校內：校內紙本論文立即公開同意電子論文全文授權校園內公開校內電子論文延後至2009-09-01公開校內書目立即公開校外：同意授權校外電子論文延後至2009-09-01公開

返回頁首

如有問題，歡迎洽詢！
圖書館數位資訊組　(02)2621-5656 轉 2487 或來信