ISO 27001:2013轉版探討－以某政府機關為例

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：48

、訪客IP：3.145.112.91

姓名

林春吟(Lin-chun Yin) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

ISO 27001:2013轉版探討－以某政府機關為例
(ISO 27001:2005 to ISO 27001:2013 conversion - A case study of a government agency)

相關論文

★ 技術商品銷售之技術人員關鍵職能探討	★ 資訊委外之承包商能力、信任及溝通與委外成效關係之個案研究
★ 兵工技術軍官職能需求分析-以某軍事工廠為例	★ 不同楷模學習模式對VB程式語言學習之影響
★ 影響採購「網路資料中心產品」因素之探討	★ 資訊人員績效評估之研究—以陸軍某資訊單位為例
★ 高職資料處理科學生網路成癮相關因素及其影響之探討	★ 資訊服務委外對資訊部門及人員之衝擊-某大型外商公司之個案研究
★ 二次導入ERP系統之研究-以某個案公司為例	★ 資料倉儲於證券產業應用之個案研究
★ 影響消費者採用創新數位產品之因素---以整合式手機為例	★ 企業合併下資訊系統整合過程之個案研究
★ 資料倉儲系統建置之個案研究	★ 電子表單系統導入之探討 - 以 A 公司為例
★ 企業資訊安全機制導入與評估–以H公司為例	★ 從人力網站探討國內資訊人力現況–以104銀行資料為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 ( 永不開放)

摘要(中)

ISO/IEC 27001國際標準（以下簡稱ISO 27001）為目前國際上廣為各國採用的資訊安全管理系統驗證標準，隨著資訊科技的快速發展，如社群網站的普及、雲端應用的發展、行動商務的活絡等資訊應用型態不斷推陳出新，企業組織所要面對的資訊安全威脅也日趨複雜而多變，國際標準組織（International Standards Organization, ISO）為利各組織能因應資訊安全的變化，修正更新ISO 27001的內容並於2013年10月1日正式發行，對於已導入ISO 27001:2005的機關則需於2年緩衝期內完成ISMS轉版作業，以維持ISMS認證之持續有效性。
本研究以通過ISO 27001:2013轉版之政府機關為例，從個案研究角度分析ISO 27001新舊標準之差異性及實務資安控制作為，找出轉版過程中組織所面對的管理問題及解決方法，期能提供各組織實施轉版時之作業參考，協助組織持續維護有效的ISMS認證資格，共同打造完善的政府資訊安全防護網。
個案研究結果發現，在標準架構上，個案機關採行的新版標準ISO Annex SL，有利於未來各國際標準間整合，本次轉版在控制領域上，由舊版標準的11個控制領域、39個控制目標、133個控制措施，調整成14個控制領域、35個控制目標、114個控制措施，其中組織全景評鑑要求為重大變革。個案機關先前已導入之ISO 27001:2005組織，需重新從組織風險角度，整體性評估內、外部議題及關注方資安需求，以分析出真正符合組織資訊安全要求的範圍。在轉版過程中，認證機關、資安顧問及個案機關對新版標準的做法見解不盡相同，唯有不斷的溝通、討論才能找出真正適合組織的做法，而導入ISMS並不代表不會再發生資安事件，當資安事件發生，應面對它、處理它、紀錄它，將資安事件處理經驗傳承下去，才能持續有效強化組織資安防護機制。

摘要(英)

ISO/IEC 27001 International Standardization (referring to ISO 27001 as below) is currently the mostly used for information security management system verification standard in every country. Following with the rapid development of information technology, the patterns of information application is constantly innovating, for example, the popularity of social network, development of cloud application and the vividness of mobile business etc. The threat of information security which we are about to face is becoming much more complicated and multiple. International Standards Organization (ISO) revised and renewed the content of ISO 27001 and then officially published on October, 10, 2013. Therefore, every organization could deal with the change of information security. Regarding to the organizations which have been implemented ISO 27001:2005, they need to complete the version transferring operation of ISMS to maintain the continuing effectiveness of ISMS certification.
This research is using the government organization which passed ISO 27001:2013 version transferring as an example to analyze the difference of new and old ISO 27001 and the actual operation of information security from the angle of case study. Finding the management problem and solution that the organization is facing in the process of version transferring, I hope I can provide to every organization as an operation reference when they are implementing the version transferring. And then it can help the organizations to maintain the qualification of effective ISMS certification so we can build a completed safety net of government information security together.
The result of the research turned out that in the structure of standard, new version of standard using ISO Annex SL is beneficial to the integration of each international standard in the future. In the field of control, from 11 control fields, 39 categories, 133 controls turned into 14 control fields, 35 categories, 114 controls. Among them, the request of organization panoramic evaluation is the significant change. The organizations that already implemented ISO 27001:2005 need to reassess internal, external issues and the information security demand of interested parties overall from the angle of organization risk so that they can analyze the scope of information security request which really suits the organization. In the process of version transferring, the opinions for the operation of new version standard between the certification body, information security consultant and the organization in this case are different from each other. Only constant communication, discussion could find the best way that really suits for the organization. In addition, implementing ISMS is not representing that the event of information security will not happen. When the information security event happens, we should face it, deal with it and record it and then pass the experience of dealing the information security event so that we can constantly force the information security protection system of organization effectively.

關鍵字(中)

★ ISO 27001
★ 轉版
★ ISMS
★ 資訊安全管理系統

關鍵字(英)

★ ISO 27001
★ Version of the Converion
★ ISMS
★ Information Security Management System

論文目次

摘要 iv
ABSTRACT v
誌謝 vii
目錄 viii
圖目錄 ix
表目錄 x
第一章緒論 1
1.1 研究背景 1
1.2 研究動機 2
1.3 研究目的 3
1.4 論文架構 4
第二章文獻探討 6
2.1 資訊安全的定義 6
2.2 我國資訊安全發展現況 7
2.3 資訊安全管理系統 9
2.4 資訊安全國際標準 17
第三章研究方法 22
3.1 研究方法的選擇 22
3.2 研究對象 23
3.3 資料蒐集及分析 25
3.4 研究效度及信度 26
第四章個案分析 27
4.1 個案研究背景 27
4.2 ISMS轉版歷程 29
4.3 個案分析小結 56
第五章結論 60
5.1 研究結論 60
5.2 管理意涵 63
5.3 研究限制及未來研究方向 64
參考文獻 65

參考文獻

中文文獻
1. TUV NORD（2014），資訊安全管理系統主導稽核員／稽核員訓練課程學員課前預習手冊，TUV NORD。
2. Yin R. K.（2009），個案研究設計與方法，第三版，周海濤等譯，台北市：五南圖書出版公司。
3. 行政院（2002），行政院所屬各機關資訊業務委外服務作業參考原則，行政院。
4. 行政院國家資通安全會報（2010），資訊系統分類分級與鑑別機制參考手冊，行政院。
5. 行政院國家資通安全會報（2013），國家資通訊安全發展方案（102年至105年），行政院。
6. 行政院資通安全辦公室（2013），資訊安全通識學員手冊，行政院。
7. 余昌霖（2013），以ISO 27001為基礎探討個資法對電信業者的影響-以F公司為例，國立中央大學資訊管理學系碩士論文。
8. 金天翼（2011），以個案研究法探討組織ISMS之導入，國立中央大學資訊管理學系碩士論文。
9. 胡志鑫（2015），風險評鑑管理教育訓練簡報，德欣寰宇科技股分有限公司。
10. 陳成聰（2015），ISMS導入作業說明簡報，德欣寰宇科技股分有限公司。
11. 焦明德（2015），ISMS文件修撰啟始會議簡報，德欣寰宇科技股分有限公司。
12. 黃明祥、林詠章（2011），資訊與網路安全概論，台北市：高立圖書有限公司。
英文文獻
13. ISO/IEC. (2014), ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary.
14. ISO/IEC. (2005), ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements.
15. ISO/IEC. (2013), ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements.
16. ISO. (2019), ISO 31000 Risk management - Principles and Guidelines.
網路文獻
17. iThome（2014），「iCloud漏洞讓好萊塢女星私密照外流：資安專家談雲端帳號自保之道」，http://www.ithome.com.tw/news/90640，存取日期：2015/02/02。
18. 行政院國家資通安全會報（2014），「我國重大資安政策進程」，http://www.nicst.ey.gov.tw/News_Content3.aspx?n=F7DE3E86444BC9A8&sms=FB4DC0329B2277CF&s=1ACE1B808B9444DF，存取日期：2015/02/25。
19. 陳伯榆（2015），「企業防洩密，雲端控管不可少」，精品科技資安部， http://static.itho.me/infosec/2015/track+k1-4.pdf，存取日期：2015/03/01。
20. 馬立強（2014），「ISO 27001:2013轉版實務注意事項」，資安人科技網， http://mis.bankshung.net/2014/05/iso-270012013.html，存取日期：2015/02/05。
21. 黃彥棻（2013），「新版ISO 27001:2013正式出爐，企業2015年適用新標準」，iThome，http://www.ithome.com.tw/node/83807，存取日期：2015/02/20。
22. 趨勢科技（2015），「中國延邊幫以行動裝置惡意程式偷走南韓網銀用戶數百萬美元」，趨勢科技全球技術支援與研發中心，http://blog.trendmicro.com.tw/?p=11283，存取日期：2015/02/12。

指導教授

周惠文(H. W. Chou)

審核日期

2015-6-29

推文