資訊人員安全管理對企業資訊系統安全之影響

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：33

、訪客IP：3.145.63.7

姓名

林保祥(Pao-Hsiang Lin) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

資訊人員安全管理對企業資訊系統安全之影響
(Influence to that enterprise's information system is safe of personnel's safety management of information)

相關論文

★ 企業再造或企業組織精簡--以一家無線電視公司為例	★ 銀行業的資訊系統危機管理
★ 平衡計分卡、企業智能在企業績效管理之角色	★ 資訊系統再造管理議題之研究-以臺灣證券集中保管公司存託系統為例
★ 客服中心資訊系統之管理	★ 以科技接受模式探討採用網路ATM因素之研究
★ 美容瘦身業導入門市銷售系統之關鍵成功因素探討	★ 台商在中國大陸與越南投資遭遇問題之比較研究
★ 飛機維護管理分散式資料庫整合平台之研究-以A航空公司為例	★ 經營環境劇烈變化下企業服務系統迅速開發專案管理之個案研究－以A公司為例
★ 資訊相關從業人員之宗教信仰強度對生命意義、感激與寬恕之影響	★ 部落格經營研究—社交智能對部落格社會互動與內容之影響
★ 資管教育讓資管學生了解企業管理問題嗎?	★ 社群網站自我揭露的社會抑制之研究-人情智能與成人依附之考量
★ 人情智能對感知的情緒貼圖使用恰當性之影響	★ 行動通訊軟體使用者的人情智能對社群互動，社群認同及社群信任之影響

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

資訊安全的維護，常常偏重於資訊安全的技術。然而有越來越多的事實表明，資訊安全的層面甚廣，它不僅僅是一個技術問題，而且是一個管理問題。根據統計數據顯示，資訊安全所面臨的問題，屬自然因素所影響的，僅占15%；而人為因素的影響，卻高達85%。更進一步的，在此85%的比例中組織內部人員之原因就占了80%。故人為因素實為近日資訊安全的主要問題，因此如何有效管理人為因素導致的缺失，實為討論及探究的重點。
資訊管理，尤其是資訊人員的管理，必須處理有關「人」的議題，然而，涉及人的議題，似乎總有一些模糊難解之處。至今企業仍然無法發展出一套完美的甄選辦法，正確地為企業篩選出最適當的人才。本研究為國內少數參考BS7799關於人員安全管理規範，將資訊人員的安全管理分為聘用前、聘用後、升職前及定期稽核四個項目，分別探討「聘用前執行品德評估」、「聘用後執行情緒評估」、「升職前考慮品德情緒」及「定期做人員稽核」對資訊安全之影響程度。
本研究以問卷自我評估方式，以就讀於二所知名大學在職專班的同學為研究對象(N=94)。研究發現經營年限、公司規模對資安事件發生無影響，而執行BS7799的企業對資安事件發生有較佳的預防效果；此外執行「聘用前執行品德評估」、「聘用後執行情緒評估」、「升職前考慮品德情緒」及「定期做人員稽核」對於未來發生資安事件之機會較低，同時也對於未來發生資安事件有抑制效果，而大部份的研究對象也同時認為人員品德素質對資安事件之發生有影響。建議實務上由「升職前考慮品德情緒」及「定期做人員稽核」先執行，效果明顯且實施簡易。

摘要(英)

The maintenance of the information safety, often overweight the technology of the information safety. According to statistics, the problem that information faces safely, belong to natural factor influence, only account for 15%; And the influence of the human factor, is up to 85%. Further, the reason organizing inside personnel accounts for 80% in 85% of the proportions here. So the human factor is a subject matter of the recent information safety in fact, so what a disappearance of managing the human factor and causing effectively, it is a focal point discussed and probing into in fact.
Information management, especially the management of information personnel, must deal with the topic about ’’ people ’’, but, the topic related to people, seem to always have some fuzzy and difficult to resolve places. This research consults BS7799 and audit four projects regularly before dividing the safety management of information personnel into employing, after employing, promote, probe into separately “carry out morality and assess before employ”, “carry out after not employing mood assess”, “consider morality mood in front of not promoting” and “do personnel audit regularly” influence degree against information safety.
This research assesses the way with the questionnaire oneself(N=94). Discover that the size, company’’s scale have not influenced the incident of information safety to manage time, and less frequency happens to the incident of information safety to enterprises carrying out BS7799; In addition operational staff safety management happen information safety incident have lower taking place incident of information safety have result of suppressing chances to future.

關鍵字(中)

★ BS7799
★ 資訊安全
★ 人員安全

關鍵字(英)

★ Personnel Security
★ Information Security
★ BS7799

論文目次

中文摘要 i
英文摘要 ii
誌謝 iii
目錄 iv
表目錄 viii
圖目錄 x
第一章緒論 1
1.1. 研究背景 1
1.2. 研究動機及目的 3
1.3. 研究流程 4
1.4. 論文組織 6
第二章文獻參考 7
2.1. 資訊安全 7
2.1.1. 資訊安全概念 7
2.1.2. 資訊安全面臨的主要問題 8
2.2. 因人為因素導致之資安事件回顧 10
2.2.1. 愛普生遭入侵案 10
2.2.2. Sony生保遺失內含14萬筆個資的PC 11
2.2.3. 美國線上工程師盜9200萬筆電郵帳號 11
2.2.4. 德國LGT銀行人員離職後出賣客戶資料 11
2.2.5. 漢光演習機密資料外洩 12
2.2.6. 威盛商業間諜 12
2.2.7. 銀行資料外洩客戶遭冒名盜刷 12
2.2.8. 警所私灌FOXY偵查筆錄外洩 12
2.2.9. 東森購物台外洩客戶個人資料 13
2.2.10. 資安事件整理及結論 13
2.3. 國內資訊安全相關之研究發現 14
2.4. 現行著名的資安標準：TCSEC、COBIT、BS7799、ISO27001 18
2.5. BS7799-資訊人員安全管理規範 27
2.6. BS7799與新版ISO27001之差異說明 34
第三章研究方法及流程 37
3.1. 研究架構 37
3.2. 研究工具 39
3.3. 研究假說 41
3.3.1. 企業發生資安事件的假設 41
3.3.2. 企業未來發生資安事件的假設 41
3.4. 資料收集方法 42
3.5. 資料分析方法 42
第四章問卷彙總及分析 44
4.1. 問卷回收情形 44
4.1.1. 問卷發展與回收情況 44
4.1.2. 研究對象-中央大學資訊管理研究所在職專班一、二年級學生 44
4.1.3. 研究對象-中央大學資訊管理研究所在職專班畢業歷屆校友 44
4.1.4. 研究對象-元智大學資訊管理研究所在職專班二年級學生 45
4.2. 基本資料分析 45
4.2.1. 研究對象的性別、年齡、學歷與所學背景分佈 45
4.2.2. 研究對象職務內容的分佈 46
4.2.3. 研究對象管理工作比率的分佈 47
4.2.4. 研究對象服務單位的分析 47
4.2.5. 研究對象資訊部門狀況分析 49
4.2.6. 研究對象對服務單位資訊安全認知分析 50
4.2.7. 研究對象服務單位人員安全管理現況分析 51
4.3. 資料分析及假說檢定 53
4.3.1. 經營年限、公司規模、公開發行及執行BS7799對資安事件發生有無影響 53
4.3.2. 聘用前、後之人員安全管理對資安事件發生有無影響 55
4.3.3. 聘用前、後之人員安全管理對未來發生資安事件可能性 58
4.3.4. 聘用前、後之人員安全管理對抑制資安事件效果 60
4.4. 假說檢定結果彙整 62
第五章結論與建議 63
5.1. 研究結果與討論 63
5.2. 研究貢獻 64
5.2.1. 學術上的貢獻 64
5.2.2. 管理實務意涵 65
5.3. 研究限制 66
5.3.1. 樣本數不多與抽樣方式 66
5.3.2. 測量方式的問題 66
5.3.3. 測量問卷的使用 66
5.4. 未來研究方向 67
5.4.1. 資訊人員的個人因素對資安事件發生機率的影響 67
5.4.2. 其它有效預防資安事件發生的資訊人員安全管理措施 67
5.4.3. 非資訊人員安全管理因素對企業資訊安全的影響 67
參考文獻……………………………………………………………………………………68
附錄A 研究問卷………………………………………………………………………..71
附錄B 中英文關鍵字一覽表…………………………………………………………..76
附錄C 以「人」為研究主題之資訊安全相關學術論文……………………………..91
附錄D 國內資訊安全相關學術論文一覽表…………………………………………..94
附錄E 國內資訊安全相關學術論文-以校名及系所為分組條件…………...……….113

參考文獻

1. 周宣光(2000)，「管理資訊系統」，台北，東華書局。
2. 黃亮宇(1992)，「資訊安全規劃與管理」，台北，松崗電腦圖書。
3. 黃慶堂(1999)，「我國行政機關資訊安全管理之研究」，政治大學公共行政系碩士論文。
4. 劉永禮(2002)，「以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究」，元智大學工業工程與管理研究所碩士論文。
5. 樊國幀(1999)，「通資訊安全工作初始方向芻議」，資訊安全通訊，第五卷，第三期，1-7頁。
6. 歐陽惠華(2007)，「ISO 27002與COBIT 4.1控制措施之對映分析」，高雄師範大學資訊教育研究所碩士論文。
7. BS 7799-1(2002), Information Security Management- Part 1: Code of Practice for Information Security Management, British Standards Institution, London.
8. BS 7799-2(2002), Information Security Management- Part 2: Specification for Information Security Management Systems, British Standards Institution, London.
9. COBIT 4.1(2007), IT Governance Institute (ITGI), [online], Available: http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm.
10. Hardy, G. (2006), “Using IT governance and COBIT to deliver value with IT and respond to legal, regulatory and compliance challenges,” Information Security Technical Report, Volume 11, Issue 1, 55-61. Elsevier Ltd.
11. Hutt, A. E. (1995), “Management's Role in Computer Security,” Computer Security Handbook, New York: Wiley.
12. IBM(1984), IBM Data Security Support Programs, USA.
13. ISO/IEC TR 13335-3:1998, Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security, International Organization for Standardization.
14. ISO/IEC 27001:2005, Information technology-Security techniques-Information security management security management systems-Requirements, British Standards Institution, London.
15. OECD(1992), “OECD Recommendation,” Guidelines and Explanatory Memorandum for the Security of Information Systems.
16. OECD(2001), “OECD Guidelines for the Security of Information Systems, In formation Security Objective,” [online], Available: http://www,oecd.org/oecd/pages/displaygeneral/0.3380.EN-document-43-noderectorate-no-no-10249-13.EF.html#title.
17. Schneider, E. C. and G. W. Therkalsen(1990), “How Secure Are Your System?,” Avenues To Automation, November, 68-72.
18. Spruit, M. E. M. and M. Looijen(1996), “IT Security in Dutch Practice,” Computer & Security, Volume 15, Number 2, 157-170. Elsevier Ltd.
19. 行政院研考會，「可信賴資訊系統安全評估評鑑標準簡史」，[online]，Available：http://www.rdec.gov.tw/ipcs/gd_os.htm#tcse，2001年。
20. 行政院國家資通安全會報技術服務中心，「政府機關資訊安全問卷調查」，[公告]，2009年6月13 日取自：http://www.dgbas.gov.tw/ct.asp?xItem=9022&ctNode=418。
21. 愛普生遭入侵案（2009年6月17日）。取自： http://homepage.vghtpe.gov.tw/~ged/lefta/b1_054htm.htm
22. Sony生保遺失內含14萬筆個資的PC（2009年6月17日）。取自：http://www.itis.tw/node/2693
23. 美國線上工程師盜9200萬筆電郵帳號（2009年6月17日）。取自： http://forum.icst.org.tw/phpbb/viewtopic.php?f=5&t=2999
24. 德國LGT銀行人員離職後出賣客戶資料（2009年6月17日）。取自： http://www.epochtimes.com/b5/8/2/28/n2025940.htm
25. 漢光演習機密資料外洩（2009年6月17日）。取自： http://www.ttv.com.tw/096/04/0960430/09604304710403I.htm
26. 威盛商業間諜（2009年6月17日）。取自： http://news.taiwannet.com.tw/newsdata/showdetail1.php?ID=6844
27. 銀行資料外洩客戶遭冒名盜刷（2009年6月17日）。取自： http://forum.icst.org.tw/phpbb/viewtopic.php?f=5&t=13583
28. 警所私灌FOXY偵查筆錄外洩（2009年6月17日）。取自： http://www.libertytimes.com.tw/2007/new/apr/13/today-life1.htm
29. 東森購物台外洩客戶個人資料（2009年6月17日）。取自： http://www.itis.tw/node/2862
30. Foo Mei Ling(2007), “COBIT ® 4.1: An Update ISACA/MNCC IT Governance Conference, 22nd and 23rd May 2007,” Page8. Retrieved June 13, 2009, from : http://www.isaca.org.my/doc/itgc07/day1-6.pdf

指導教授

林子銘

審核日期

2009-7-6

推文