系統識別號 | U0002-2601201617401400 |
---|---|
DOI | 10.6846/TKU.2016.00872 |
論文名稱(中文) | 資訊安全稽核作業評量輔助系統之研究 |
論文名稱(英文) | The Research Of Information Security Auditing Operation And Assessment Assisting System |
第三語言論文名稱 | |
校院名稱 | 淡江大學 |
系所名稱(中文) | 資訊管理學系碩士在職專班 |
系所名稱(英文) | On-the-Job Graduate Program in Advanced Information Management |
外國學位學校名稱 | |
外國學位學院名稱 | |
外國學位研究所名稱 | |
學年度 | 104 |
學期 | 1 |
出版年 | 105 |
研究生(中文) | 李沛倫 |
研究生(英文) | Pei-Lun Li |
學號 | 798630090 |
學位類別 | 碩士 |
語言別 | 繁體中文 |
第二語言別 | |
口試日期 | 2016-01-14 |
論文頁數 | 73頁 |
口試委員 |
指導教授
-
劉艾華(liou@mail.tku.edu.tw)
委員 - 伍台國(w13464@yahoo.com.tw) 委員 - 鄭啟斌(cbcheng@mail.tku.edu.tw) 委員 - 劉艾華(liou@mail.tku.edu.tw) |
關鍵字(中) |
ISO/IEC 27001:2005 資訊安全威脅 資訊安全稽核 評量輔助系統 |
關鍵字(英) |
ISO/IEC 27001:2005 Information Security Threat Information Security Aduit Assessment Assisting System |
第三語言關鍵字 | |
學科別分類 | |
中文摘要 |
近年來企業組織面臨各種資訊安全威脅,推動與執行以ISO/IEC 27001:2005 資訊安全標準的稽核作業早已蔚為趨勢;但傳統人工資訊安全稽核作法有稽核結果錯誤率高、執行時間冗長且效率不彰、以及紙本紀錄無法保存長久且不環保、與稽核經驗無法有效傳承等等缺點。 本研究以某財團法人機構為例,並以原有之資訊安全稽核清單表為基本條件,依循傳統稽核流程與計畫模式,設計與建立一套系統化與行動化的稽核評量輔助系統;並利用可擴充性模版功能,替換產生不同性質稽核過程所需要的資訊,更透過手持裝置的操作,消除空間與時間的限制,達到有效的稽核紀錄存放管理;並可預先載入企業組織過往稽核報告資訊,重新依據新式計分模式進行稽核活動,經過後端資料庫統計及進行新舊模式稽核結果之對照分析,更可顯現實際客觀的資訊安全稽核結果。 |
英文摘要 |
In the face of increasing information security threats, it is now a trend among business organizations to promote and implement security audits based on the ISO/IEC 27001:2005 information security standards. However conventional manual audit has a number of shortcomings, including high error rate, time consuming, lack of efficiency, inability to preserve paper records indefinitely which is also environmentally unfriendly, and inability to effectively pass on the audit experience. This study uses a legal entity as an example and its existing information security audit checklist as basic conditions and follows the traditional audit process and planning model to design and establish a systematic and action-oriented audit and assessment aid system; scalable template features are also included for replacement of information of different natures needed during the auditing process while the use of handheld devices can eliminate the time and space constraints for effective audit log management; past audit report information of the business organization can be pre-loaded for conducting audit activities based on the new scoring model. The results of objective information security audit can be obtained through back-end database and comparative analysis on the audit results based on the old and new models. |
第三語言摘要 | |
論文目次 |
目次 =================================================== 目次 IV 表目錄 VI 圖目錄 VII 第一章 緒論 1 第一節 研究動機與目的 1 第二節 研究流程 3 第三節 論文架構 4 第二章 文獻探討 5 第一節 資訊安全的定義 5 第二節 資訊安全的威脅 9 第三節 ISO/IEC 27001:2005資訊安全標準介紹 11 第四節 ISO/IEC 27001:2005資訊安全標準規範 14 第五節 資訊安全稽核的定義 20 第六節 資訊安全稽核程序 22 第三章 研究設計 24 第一節 研究方法 24 第二節 研究對象 24 第三節 研究資料 25 第四節 研究工具 25 第五節 稽核輔助工具模型 26 第四章 研究結果與分析 29 第一節 系統架構 29 第二節 系統實作 30 第三節 稽核報告數據分析 38 第四節 系統滿意度(效益)分析 45 第五章 結論與未來展望 50 第一節 結論 50 第二節 未來展望 52 參考文獻 53 附錄A ISO/IEC 27001:2005 133 項控制措施 56 附錄B QUIS量表問卷(Questionnaire for User Interface Satisfaction) 73 表目錄 ================================================== 表2-1 「資訊安全」相關定義 6 表2-2 資訊安全威脅可能產生原因及詳細說明 10 表2-3 ISO/IEC 27001:2005之控制要項及控制目標 14 表3-1 本研究資安稽核檢查表 26 表4-1 財團法人組織機構部門分組 (研發/服務/幕僚) 41 表4-2 九大稽核大項之評分模式及群組分析統計表 42 表4-3 受測稽核人員 QUIS 問卷量表調查結果 43 圖目錄 ================================================== 圖1-1 研究流程圖 3 圖2-1 資訊安全的基本目標 8 圖2-2 資訊安全威脅可能產生的原因 10 圖2-3 ISO/IEC 27001:2005 歷史發展 12 圖2-4 資訊安全管理制度持續改進運作循環 PDCA 13 圖2-5 ISO/IEC 27001:2005 之涵蓋領域 17 圖2-6 資安稽核程序流程 23 圖3-1 稽核輔助系統功能模組圖 28 圖4-1 稽核輔助系統架構圖 29 圖4-2 稽核輔助系統登入畫面 31 圖4-3 稽核輔助系統設定畫面 32 圖4-4 稽核輔助系統設定群組畫面 32 圖4-5 稽核輔助系統通知顯示畫面 33 圖4-6 稽核輔助系統群組通知邀請顯示畫面 33 圖4-7 稽核輔助系統稽核通知顯示畫面 34 圖4-8 稽核輔助系統設定稽核時程計畫畫面 35 圖4-9 稽核輔助系統設定稽核分工畫面 35 圖4-10 稽核輔助系統稽核清單項目畫面 36 圖4-11 稽核輔助系統稽核提示畫面 37 圖4-12 稽核結果報告示意圖 38 圖4-13 原始及量尺評分方式-「創研所」對照分析雷達圖 43 圖4-14 三種部門群組(研發/服務/幕僚)九大稽核雷達圖 44 圖4-15 QUIS 量表示意圖 47 圖4-16 受測稽核人員性別分佈圖 48 圖4-17 受測稽核人員實地稽核經驗次數分佈圖 48 |
參考文獻 |
一.中文文獻 [1] 林昱良。「政府機構導入ISMS關鍵成功因素之研究-以Y地方政府為例」,宜蘭大學多媒體網路通訊數位學習學系碩士論文,2013年。 [2] 張正宏。「探討銀行業ISO/IEC 27001:2005資訊安全管理現況-以T銀行為例」,中央大學資訊管理學系碩士論文,2012年。 [3] 國研院。「資通安全資訊網」,2014年。 [4] 行政院國家資通安全會報。「政府機關(構)資通安全責任等級分級作業規定」,2015年。 [5] 財政部國有財產署網站。取自「資訊安全定義」,http://www.fnp.gov.tw/Edict.php?page=RuleInfo&act=ArtAll&TRE_ID=622,2014.存取日期:2016年2月12日 [6] 全國標準化網站。「國際標準化組織 (International Organization for Standardization, ISO)」,2013年2月25日,取自http://www.std.org.tw/program/webDocument.asp?DocuNo=09600037, 2013. [7] 劉魯青。「國軍電腦鑑識中心導入資訊安全管理系統之關鍵成功因素」,世新大學資訊管理學系碩士論文,2014年。 [8] 郭世榮。「探討組織推動 ISMS 所需的互補財產」,國立中山大學資訊管理學系碩士論文,2013年。 [9] 張嘉琪。「資訊安全風險管理實務落差之探討-以某財團法人機構為例」,私立淡江大學資訊管理學系碩士在職專班碩士論文,2013年。 [10] 國立聯合大學。取自「資訊安全宣導」網站,存取日期:2016年2月6日。 [11] 北市延平國小。取自「資訊安全與資訊倫理」網站,http://web2.ypps.tp.edu.tw/yppsweb/rights/z-02.htm, 2016.存取日期:2016年2月10日。 [12] 徐敏凱。「基於ISO 27001之校園成績管理系統的資訊安全管理-以台中市某國中學務系統為例」,私立大葉大學管理學院碩士在職專班學位論文,2014年。 [13] 楊慶隆。「資訊安全簡介」,國立東華大學資訊工程學系簡報,存取日期:2016年2月11日。 [14] 南榮科技大學網站。取自http://www.nju.edu.tw/njcc/isms/leadin_01.html,2010. [15] 高銘經營管理顧問有限公司網站。取自http://www.27665417.com.tw/blog/?page_id=260 [16] Simon Wu。取自「資訊安全=防止駭客攻擊入侵」,http://blog.wis.com.tw/2014/simon/etcsecurityincident/, WIS Blog,2014.存取日期:2016年2月11日 二.英文文獻 [17] Gary Periman. "User Interface Usability Evaluation with Web-BasedQuestionnaires", http://garyperlman.com/quest/quest.cgi?form=QUIS. [18] Wien Hong, Tung-Shou Chen, and Jeanne Chen (2014): “Reversible Data Hiding Using Delaunay Triangulation and Selective Embedment-Information Sciences, Accepted,“ Information Sciences, Accepted, NATTWN, March,2014. [19] M Whitman, H Mattord. Management of Information Security Fourth Edition.2013. [20] Thomas R. Peltier. Information Security Fundamentals. Second Edition.2013. [21] ISO/IEC. ISO/IEC 27001 Information Technology – Security Techniques– Information Security Management Systems – Requirements.2005. [22] Georg Disterer. ISO/IEC 27000, 27001 and 27002 for Information Security Management.2013. [23] R Von Solms, J Van Niekerk. From information security to cyber security- computers & security.2013. [24] Paul Benjamin Lowry, Clay Posey, Rebecca (Becky) J. Bennett and Tom L. Information Systems Journal.2015. [25] Y Chen, K Ramamurthy, KW Wen. Impacts of Comprehensive Information Security Programs on Information Security Culture.- Journal of Computer Information Systems,Volume 55, Issue 3, 2015. [26] Nick Lee, Mike Peters. Business Statistics Using EXCEL and SPSS.2015. |
論文全文使用權限 |
如有問題,歡迎洽詢!
圖書館數位資訊組 (02)2621-5656 轉 2487 或 來信