系統識別號 | U0002-2306201412452100 |
---|---|
DOI | 10.6846/TKU.2014.00906 |
論文名稱(中文) | 國安機關推動資安治理現存問題與落差因素分析之研究 |
論文名稱(英文) | A study of the problems and gaps of implementation of information security governance of national security government organizations |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊管理學系碩士在職專班 |
系所名稱(英文) | On-the-Job Graduate Program in Advanced Information Management |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 102 |
學期 | 2 |
出版年 | 103 |
研究生(中文) | 吳將煇 |
研究生(英文) | Jiang-Hui Wu |
學號 | 701630054 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2014-06-21 |
論文頁數 | 76頁 |
口試委員 |
指導教授
-
蕭瑞祥(rsshaw@mail.tku.edu.tw)
委員 - 鄭啟斌(cbcheng@mail.tku.edu.tw) 委員 - 蕭育如(yrsyau@nfu.edu.tw) |
關鍵字(中) |
資安治理 資訊安全 資安治理成熟度 |
關鍵字(英) |
Information Security Governance Information Security Maturity of Information Security Governance |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
我國2012年有344萬次的駭客攻擊,有251次成為資安事件,鑑於2013年美國史諾登(Edward Snowden)洩密案,對國家安全的影響,從資安的角度來探討其原因,資安治理工作執行的落差也可能是主要的肇因之一,所以本文以我國相關部門為例,探討治理現況與執行上的落差與問題。 本研究採用個案研究法,對象為國安機關某業務單位,爰引我國資通安全政策等相關文獻,以問卷調查及深入訪談來瞭解個案現況,找出不同部門及階層之間對資安治理工作推展現存落差與問題,並提出建議。研究結果發現在風險管理及組織與人員方面,因不同部門與階層確實存有顯著性落差,根究其原因在於人員對政策指導認知、教育訓練及作業權責區分等都有所不足,建議治理高層與資訊部門應加強整體人員對政策與規範的認知,同時可藉由導入ISO27001(CNS27001)、ISO27005(CNS27005)等國際標準最佳實務,來提升組織內人員對風險管理的認識與能力,結合適當的資安人力配置、提供必要的專業訓練、合理明確的授權等措施,以增進國家資安防處之嚴謹可靠。 |
英文摘要 |
We were attacked by hackers 3,340,000 times in 2012, and almost caused 251 information crisis. That Edward Snowden revealing confidential state secret in 2013 had great influence on the relationship between information security and national security. One of the reasons that cause the case might be lake of information security management. In this study, we discuss the status quo of information security management and investigate the real challenge it faces in our country. In this study, we take one of the departments of Ministry of state security as our case study. With relative references about information security policies of our country and that of the government, we use survey to know the status quo of the case and investigate the real challenge it faces, trying to find out if the information security works well, and if there is any obstacle existed in information security between different departments and different positions. The results of this study indicates some gaps among risk management, organizations and personnel does exist, and that’s because lack of policy acknowledgement, training and distinction between responsibility and accountability. The governing body and the information department should help their personnel to fully understand the policy, and help them know more about risk management through ISO27001(CNS27001) and ISO27005(CNS27005). With adequate information security manpower disposition, training, reasonable and definite authorization, the information security of our national system would be much stronger. |
第三語言摘要 | |
論文目次 |
第一章 緒論 1 第一節 研究背景與動機 1 第二節 研究目的 3 第三節 研究範圍與限制 4 第四節 研究流程 5 第五節 論文架構 6 第二章 文獻探討 7 第一節 治理的定義 7 第二節 IT治理的定義 8 第三節 資通訊安全治理的定義 9 第四節 資通安全治理成熟度 11 第五節 我國的資通安全政策 15 第三章 研究設計 19 第一節 研究方法 19 第二節 研究對象 19 第三節 問卷設計 20 第四節 抽樣情況 23 第四章 資料分析 25 第一節 問卷回收與信度 25 第二節 單位資安現況基本調查分析 26 第三節 資安治理成熟度調查結果 28 第四節 顯著性落差構面與問題分析 30 第五節 深入訪談情況彙整 41 第五章 結論與建議 54 第一節 結論 54 第二節 建議 57 第三節 未來研究方向 59 參考文獻 62 附錄一、單位治安治理成熟度調查問卷 65 附錄二、深入訪談問卷 72 附錄三、Wilcoxon-Mann-Whitney檢定四個構面各群體的結果 75 表目錄 表2-1資安治理成熟度評估工具列表 15 表3-1資安治理-業務對IT依賴度與成熟度對應關係 22 表3-2問卷調查抽樣情況列表 23 表3-3深入訪談取樣情況列表 24 表4-1 Cronbach'sα信度列表 25 表4-2單位資安現況基本調查列表 27 表4-3資安治理成熟度評分結果 29 表4-4資安治理成熟度評鑑結果 30 表4-5各構面分別以部門及階層為分組變數的檢定結果 31 表4-6各構面之問項分別以部門與階層為分組變數的檢定結果 32 表4-7在各構面出現顯著的問項數目分佈情況 33 表4-8經Wilcoxon-Mann-Whitney 檢定顯著的問項列表 34 表4-9風險管理問項填答分布的情況 37 表4-10組織與人員問項填答分布的情況 40 表4-11深入訪談內容彙整表 43 圖目錄 圖2-1本研究之研究流程圖 5 圖2-2資通安全治理與IT治理間之關係 9 圖2-3資通安全治理概念圖 10 圖2-4我國重大資安政策發展進程 16 圖2-5四期計畫執行策略與行動方案圖 18 |
參考文獻 |
一、中文文獻 [1]中央廣播電台,〈史諾登偷資料 網路蜘蛛建功〉,網址:http://news.rti.org.tw/index_newsContent.aspx?nid=482973&id=2。上網日期:2014年2月10日。 [2]中時電子報,〈國安局:駭客陸駭客攻擊我高科技〉,網址:http://news.chinatimes.com/focus/11050106/122013032100084.html。上網日期:2013年12月22日。 [3]東森新聞雲,〈除「駭」 蕭秀琴:去年被攻擊344萬次,只有251次得逞〉,網址:http://www.ettoday.net/news/20130429/199243.htm#ixzz2uFX5mfDN 。上網日期:2013年12月30日。 [4]蘋果日報,〈1天316次 國安局:中國駭客攻擊大幅成長〉,網址:http://www.appledaily.com.tw/realtimenews/article/new/20130901/252141/ 。上網日期:2013年12月27日。 [5]電週文化事業,〈韓國史上最大APT駭客事件始末〉,網址:http://www.ithome.com.tw/node/80029 。上網日期:2013年12月27日。 [6]行政院科技顧問組,《資安推動發展政策整合研究-資安治理機制與資安建設持續發展規劃》,臺北,2007。 [7]行政院科技顧問組,《資安治理機制研究規劃報告》,臺北,2009。 [8]行政院國家資通安全會報,《建立我國通資訊基礎設安全機制計畫(94年至97年) 》,臺北,2007。 [9]行政院國家資通安全會報,《政府機關(構)資訊安全責任等級分級作業施行計畫》,臺北, 2009。 [10]行政院國家資通安全會報,《國家資通訊安全發展方案(98年至101年) 》,臺北,2009。 [11]行政院國家資通安全會報,《2010資通安全政策白皮書》,臺北,2013。 [12]行政院國家資通安全會報,《國家資通訊安全發展方案(103年至105年) 》,臺北, 2013。 [13]國家標準檢驗局,《CNS27014》,臺北,2013。 二、英文文獻 [1]CGTF, “Information Security Governance: A Call to Action,” Corporate Governance Task Force Report, 2004. [2]ESCAP.What is Good Governance? http://www.unescap.org/pdd/prs/ProjectActivities/Ongoing/gg/governance.asp, accessed 2014/02/28. [3]EDUCAUSE Security Tasks Force, “Information Security Governance Assessment Tool For Higher Education,” Colorado and Washington, 2004. [4]Hair, J. F., Multivariate Data Analysis: A Global Perspective, Upper Saddle River, N.J.; London : Pearson Education, 2010. [5]ISO/IEC 27014:2013, Information technology—Security techniques—Governance of information security, 2013. [6]IT Governance Institute. About Governance of Enterprise IT (GEIT). http://www.itgi.org/About-Governance-of-Enterprise-IT.html, accessed 2014/02/28. [7]IT Governance Institute, Board briefing on IT Governance 2nd Edition, 2003. [8]IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition, 2006. [9]Posthumus, S., and von Solms. R., “A Framework for the Governance of Information Security,” Computers & Security (23:8), Dec. 2004, pp. 638-646. [10]The World Band. What is our approach to governace. http://web.worldbank.org/WBSITE/EXTERNAL/WBI/EXTWBIGOVANTCOR/0,,contentMDK:20678937~pagePK:64168445~piPK:64168309~theSitePK:1740530,00.html , accessed 2014/02/28 [11]van Grembergen, W., “Introduction to the Minitrack IT Governance and its Mechanisms,” Proceedings of the 38th Hawaii International Conference on System Sceiences, 2005, pp. 235-235. [12]von Solms, R., and von Solms, S. H., “Information Security Governance: A model based on the Direct-Control Cycle,” Computers & Security (25:6), 2006, pp. 408-412. |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信