淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-2601201617401400
中文論文名稱 資訊安全稽核作業評量輔助系統之研究
英文論文名稱 The Research Of Information Security Auditing Operation And Assessment Assisting System
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士在職專班
系所名稱(英) On-the-Job Graduate Program in Advanced Information Management
學年度 104
學期 1
出版年 105
研究生中文姓名 李沛倫
研究生英文姓名 Pei-Lun Li
學號 798630090
學位類別 碩士
語文別 中文
口試日期 2016-01-14
論文頁數 73頁
口試委員 指導教授-劉艾華
委員-伍台國
委員-鄭啟斌
委員-劉艾華
中文關鍵字 ISO/IEC 27001:2005  資訊安全威脅  資訊安全稽核  評量輔助系統 
英文關鍵字 ISO/IEC 27001:2005  Information Security Threat  Information Security Aduit  Assessment Assisting System 
學科別分類
中文摘要 近年來企業組織面臨各種資訊安全威脅,推動與執行以ISO/IEC 27001:2005 資訊安全標準的稽核作業早已蔚為趨勢;但傳統人工資訊安全稽核作法有稽核結果錯誤率高、執行時間冗長且效率不彰、以及紙本紀錄無法保存長久且不環保、與稽核經驗無法有效傳承等等缺點。

本研究以某財團法人機構為例,並以原有之資訊安全稽核清單表為基本條件,依循傳統稽核流程與計畫模式,設計與建立一套系統化與行動化的稽核評量輔助系統;並利用可擴充性模版功能,替換產生不同性質稽核過程所需要的資訊,更透過手持裝置的操作,消除空間與時間的限制,達到有效的稽核紀錄存放管理;並可預先載入企業組織過往稽核報告資訊,重新依據新式計分模式進行稽核活動,經過後端資料庫統計及進行新舊模式稽核結果之對照分析,更可顯現實際客觀的資訊安全稽核結果。
英文摘要 In the face of increasing information security threats, it is now a trend among business organizations to promote and implement security audits based on the ISO/IEC 27001:2005 information security standards. However conventional manual audit has a number of shortcomings, including high error rate, time consuming, lack of efficiency, inability to preserve paper records indefinitely which is also environmentally unfriendly, and inability to effectively pass on the audit experience.

This study uses a legal entity as an example and its existing information security audit checklist as basic conditions and follows the traditional audit process and planning model to design and establish a systematic and action-oriented audit and assessment aid system; scalable template features are also included for replacement of information of different natures needed during the auditing process while the use of handheld devices can eliminate the time and space constraints for effective audit log management; past audit report information of the business organization can be pre-loaded for conducting audit activities based on the new scoring model. The results of objective information security audit can be obtained through back-end database and comparative analysis on the audit results based on the old and new models.
論文目次 目次
===================================================
目次 IV
表目錄 VI
圖目錄 VII
第一章 緒論 1
第一節 研究動機與目的 1
第二節 研究流程 3
第三節 論文架構 4
第二章 文獻探討 5
第一節 資訊安全的定義 5
第二節 資訊安全的威脅 9
第三節 ISO/IEC 27001:2005資訊安全標準介紹 11
第四節 ISO/IEC 27001:2005資訊安全標準規範 14
第五節 資訊安全稽核的定義 20
第六節 資訊安全稽核程序 22
第三章 研究設計 24
第一節 研究方法 24
第二節 研究對象 24
第三節 研究資料 25
第四節 研究工具 25
第五節 稽核輔助工具模型 26
第四章 研究結果與分析 29
第一節 系統架構 29
第二節 系統實作 30
第三節 稽核報告數據分析 38
第四節 系統滿意度(效益)分析 45
第五章 結論與未來展望 50
第一節 結論 50
第二節 未來展望 52
參考文獻 53
附錄A ISO/IEC 27001:2005 133 項控制措施 56
附錄B QUIS量表問卷(Questionnaire for User Interface Satisfaction) 73

表目錄
==================================================
表2-1 「資訊安全」相關定義 6
表2-2 資訊安全威脅可能產生原因及詳細說明 10
表2-3 ISO/IEC 27001:2005之控制要項及控制目標 14
表3-1 本研究資安稽核檢查表 26
表4-1 財團法人組織機構部門分組 (研發/服務/幕僚) 41
表4-2 九大稽核大項之評分模式及群組分析統計表 42
表4-3 受測稽核人員 QUIS 問卷量表調查結果 43

圖目錄
==================================================
圖1-1 研究流程圖 3
圖2-1 資訊安全的基本目標 8
圖2-2 資訊安全威脅可能產生的原因 10
圖2-3 ISO/IEC 27001:2005 歷史發展 12
圖2-4 資訊安全管理制度持續改進運作循環 PDCA 13
圖2-5 ISO/IEC 27001:2005 之涵蓋領域 17
圖2-6 資安稽核程序流程 23
圖3-1 稽核輔助系統功能模組圖 28
圖4-1 稽核輔助系統架構圖 29
圖4-2 稽核輔助系統登入畫面 31
圖4-3 稽核輔助系統設定畫面 32
圖4-4 稽核輔助系統設定群組畫面 32
圖4-5 稽核輔助系統通知顯示畫面 33
圖4-6 稽核輔助系統群組通知邀請顯示畫面 33
圖4-7 稽核輔助系統稽核通知顯示畫面 34
圖4-8 稽核輔助系統設定稽核時程計畫畫面 35
圖4-9 稽核輔助系統設定稽核分工畫面 35
圖4-10 稽核輔助系統稽核清單項目畫面 36
圖4-11 稽核輔助系統稽核提示畫面 37
圖4-12 稽核結果報告示意圖 38
圖4-13 原始及量尺評分方式-「創研所」對照分析雷達圖 43
圖4-14 三種部門群組(研發/服務/幕僚)九大稽核雷達圖 44
圖4-15 QUIS 量表示意圖 47
圖4-16 受測稽核人員性別分佈圖 48
圖4-17 受測稽核人員實地稽核經驗次數分佈圖 48
參考文獻 一.中文文獻
[1] 林昱良。「政府機構導入ISMS關鍵成功因素之研究-以Y地方政府為例」,宜蘭大學多媒體網路通訊數位學習學系碩士論文,2013年。
[2] 張正宏。「探討銀行業ISO/IEC 27001:2005資訊安全管理現況-以T銀行為例」,中央大學資訊管理學系碩士論文,2012年。
[3] 國研院。「資通安全資訊網」,2014年。
[4] 行政院國家資通安全會報。「政府機關(構)資通安全責任等級分級作業規定」,2015年。
[5] 財政部國有財產署網站。取自「資訊安全定義」,http://www.fnp.gov.tw/Edict.php?page=RuleInfo&act=ArtAll&TRE_ID=622,2014.存取日期:2016年2月12日
[6] 全國標準化網站。「國際標準化組織 (International Organization for Standardization, ISO)」,2013年2月25日,取自http://www.std.org.tw/program/webDocument.asp?DocuNo=09600037, 2013.
[7] 劉魯青。「國軍電腦鑑識中心導入資訊安全管理系統之關鍵成功因素」,世新大學資訊管理學系碩士論文,2014年。
[8] 郭世榮。「探討組織推動 ISMS 所需的互補財產」,國立中山大學資訊管理學系碩士論文,2013年。
[9] 張嘉琪。「資訊安全風險管理實務落差之探討-以某財團法人機構為例」,私立淡江大學資訊管理學系碩士在職專班碩士論文,2013年。
[10] 國立聯合大學。取自「資訊安全宣導」網站,存取日期:2016年2月6日。
[11] 北市延平國小。取自「資訊安全與資訊倫理」網站,http://web2.ypps.tp.edu.tw/yppsweb/rights/z-02.htm, 2016.存取日期:2016年2月10日。
[12] 徐敏凱。「基於ISO 27001之校園成績管理系統的資訊安全管理-以台中市某國中學務系統為例」,私立大葉大學管理學院碩士在職專班學位論文,2014年。
[13] 楊慶隆。「資訊安全簡介」,國立東華大學資訊工程學系簡報,存取日期:2016年2月11日。
[14] 南榮科技大學網站。取自http://www.nju.edu.tw/njcc/isms/leadin_01.html,2010.
[15] 高銘經營管理顧問有限公司網站。取自http://www.27665417.com.tw/blog/?page_id=260
[16] Simon Wu。取自「資訊安全=防止駭客攻擊入侵」,http://blog.wis.com.tw/2014/simon/etcsecurityincident/, WIS Blog,2014.存取日期:2016年2月11日

二.英文文獻
[17] Gary Periman. "User Interface Usability Evaluation with Web-BasedQuestionnaires", http://garyperlman.com/quest/quest.cgi?form=QUIS.
[18] Wien Hong, Tung-Shou Chen, and Jeanne Chen (2014): “Reversible Data Hiding Using Delaunay Triangulation and Selective Embedment-Information Sciences, Accepted,“ Information Sciences, Accepted, NATTWN, March,2014.
[19] M Whitman, H Mattord. Management of Information Security Fourth Edition.2013.
[20] Thomas R. Peltier. Information Security Fundamentals. Second Edition.2013.
[21] ISO/IEC. ISO/IEC 27001 Information Technology – Security Techniques– Information Security Management Systems – Requirements.2005.
[22] Georg Disterer. ISO/IEC 27000, 27001 and 27002 for Information Security Management.2013.
[23] R Von Solms, J Van Niekerk. From information security to cyber security- computers & security.2013.
[24] Paul Benjamin Lowry, Clay Posey, Rebecca (Becky) J. Bennett and Tom L. Information Systems Journal.2015.
[25] Y Chen, K Ramamurthy, KW Wen. Impacts of Comprehensive Information Security Programs on Information Security Culture.- Journal of Computer Information Systems,Volume 55, Issue 3, 2015.
[26] Nick Lee, Mike Peters. Business Statistics Using EXCEL and SPSS.2015.
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2016-02-19公開。
  • 同意授權瀏覽/列印電子全文服務,於2016-02-19起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2486 或 來信