以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：43

、訪客IP：18.218.169.50

姓名	曾立行(Li-Hsing Tseng)  查詢紙本館藏	畢業系所	土木工程學系
論文名稱	結合FAIR與NIST資安框架分析資安風險：以金融業為例
相關論文	★ 國際巨災保險制度之研究 ★ 我國推動地方層級災害防救專責單位之問題探討-以桃園縣為例 ★ 公共危險物品保安監督之探討-以新竹縣為例 ★ 長期照顧機構消防安全設計與防火避難設施之研究 ★ 考慮土壤結構互制效應並裝設減振裝置的高層建築氣動力反應之研究 ★ 結合模糊控制與類神經網路探討非線性結構控制的穩定性 ★ 觀光產業天然災害風險評估與管理 ★ 天然災害風險管理決策方法建立—以地震災害為例 ★ 颱洪災害風險評估推測事件資料庫之建置及應用 ★ 火災現場指揮幕僚運作探討-以桃園市政府消防局為例 ★ 科學園區地震緊急應變計畫之研擬 ★ 地震災害風險評估及地震保險之風險管理 ★ 園區建築物耐震能力評估 ★ 整合性多目標地震風險評估系統之建立 ★ 適應性模糊滑動模態控制在結構工程上應用之研究 ★ 高樓結構裝設調和液柱阻尼器減振效應之風洞實驗研究
檔案	[Endnote RIS 格式]    [Bibtex 格式]    [相關文章]   [文章引用]   [完整記錄]   [館藏目錄]   [檢視]  [下載] 本電子論文使用權限為同意立即開放。 已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。 請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。
摘要(中)	近年來，全球受新冠肺炎(COVID-19)疫情持續影響，如今早已改變人們原本生活的面貌，同時全球經濟、產業型態帶來非常大的變化，然而此迅速變化也讓許多產業尋求智慧及數位化生產，以減低疫情所帶來的影響，此結果不僅使高科技及數位化產業之發展，也導致生活型態之轉變，遠距工作比例增加，更帶來相應之資安風險，若管理不當可能會對組織的營運造成很深的影響並會帶來相當大的金錢損失。即使解決漏洞本身的問題後，將來也非常有可能造成長久且深遠的後續影響，甚至將影響組織名譽及品牌的形象。 本研究介紹網路風險之構成及所需參數，進而透過FAIR(factor analysis of information risk)與NIST (National Institute of Standards and Technology)資安框架探討台灣之金融產業其攻擊類型、損失大小等等，最後透過python模擬其保費計算。
摘要(英)	In recent years, the world has been continuously affected by the new crown pneumonia (COVID-19) epidemic, which has already changed people′s original life. At the same time, the global economy and industrial patterns have brought great changes. However, this impact has also caused many industries to seek intelligent and digital production, trying to reduce the impact of the epidemic, not only unexpectedly accelerate the development of high-tech industries and digital industries, but also lead to changes in lifestyles, increasing the proportion of remote work, and bring corresponding information security risks. Improper management can severely impact an organization′s reputation to operate and result in considerable monetary losses. Even after solving the problem of the vulnerability itself, it may cause long-term and far-reaching follow-up effects, affecting the organization′s goodwill and brand image. This research introduces the composition and required parameters of network risk, and then discusses the types of attacks and the size of losses in Taiwan′s financial industry through FAIR (factor analysis of information risk) and NIST (National Institute of Standards and Technology) information security frameworks. Finally, assesses its premium calculation through a software developed using Python.
關鍵字(中)	★ 網路風險 ★ 資安風險 ★ 保費計算 ★ FAIR ★ NIST	關鍵字(英)	★ cyber security ★ cyber insurance ★ data breach ★ FAIR ★ NIST
論文目次	摘要 i Abstract ii 目錄 iii 表目錄 vi 圖目錄 vii 第一章 緒論 1 1.1 研究動機與目的 1 1.2 研究內容 3 第二章 NIST資安框架 4 2.1 NIST 4 2.2 NIST資安框架簡介 4 2.3 與其他資安框架差異 6 2.3.1 NIST資安框架 6 2.3.2 HITRUST資安框架 10 2.3.3 MITRE ATT&CK資安框架 11 2.3.4 ACSC Essential Eight資安框架 11 2.3.5 網路安全框架比較 12 2.4 NIST框架之演進 13 2.5 NIST重點領域 13 2.5.1 聯邦機構網路安全聯盟 13 2.5.2 國際層面影響 14 2.5.3 小企業意識和資源 14 2.6 與利益者相關之重要議題 14 2.6.1 信任機制 14 2.6.2 網路攻擊生命週期 15 2.6.3 網路安全勞動力 16 2.6.4 網路供應鏈風險管理 16 2.6.5 身分和訪問管理 16 2.6.6 物連網 17 2.6.7 測量網路風險 17 2.6.8 參考技術 17 2.6.9 安全軟體開發 18 第三章 研究方法與流程 19 3.1 FAIR簡介 19 3.1.1 基本風險概念 19 3.1.2 FAIR術語 20 3.1.3 以PERT方法建立Beta分佈 21 3.1.4 FAIR本體論 24 3.1.5 FAIR分析流程 26 3.1.6 風險分析結果 28 3.2 問卷形式 30 3.2.1 假設理論 31 3.2.2 問卷編製原則與步驟 31 3.2.3 NIST問卷形式 33 3.2.4 由NIST問卷求企業自評Diff值 35 3.2.5 TEF、TCap問卷形式 37 3.3 執行分析之軟體介紹 38 第四章 研究結果 39 4.1 產業類型分類 39 4.1.1 金融業之攻擊類型 40 4.1.2 依經驗與FAIR手冊建議定義數值 41 4.1.3 金融業之損失幅度 43 4.1.4 企業防範方法 46 4.2 由問卷結果得Diff值 47 4.3 輸入運算軟體得風險值 48 4.4 由軟體輸出結果估算保費 50 第五章 結論與建議 51 5.1 結論 51 5.2 建議 52 參考文獻 53 附錄A NIST問卷題目 56 附錄B TEF問卷題目 62 附錄C TCap問卷題目 63
參考文獻	【1】 NIST.(2018年4月16日). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 . 擷取自 https：//nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf 【2】 UPAS 內網安全，盡在掌握.(2020年12月15日).公部門一定要認識的 NIST CSF —各國都在使用的熱門資安架構. 擷取自https：//medium.com/upas/%E5%B8%B6%E4%BD%A0%E8%AA%8D%E8%AD%98nist-cybersecurity-framework-303fb84e252c 【3】 徐昊宇.(2021年6月). 結合 FAIR 與 NIST 資安框架分析資安風險：以醫療產業為例 【4】 NIST.(2022年2月22日). NIST Seeks Input to Update Cybersecurity Framework, Supply Chain Guidance. 改編自 https：//www.nist.gov/news-events/news/2022/02/nist-seeks-input-update-cybersecurity-framework-supply-chain-guidance 【5】 NIST.(2018年4月16日). Framework for Improving Critical Infrastructure Cybersecurity. 擷取自 https：//www.nist.gov/system/files/documents/2018/05/14/framework_v1.1_with_markup.pdf 【6】 CIO.GOV(2018年3月30日). Release of the Federal Cybersecurity Risk Determination Report and Action Plan to the President of the United States. 擷取自https：//www.cio.gov/2018/05/30/Risk-Report/ 【7】 Lawrence A Gordon, Martin P Loeb, Lei Zhou.(2020年3月30日). Integrating cost–benefit analysis into the NIST Cybersecurity Framework via the Gordon–Loeb Model. 擷取自 https：//academic.oup.com/cybersecurity/article/6/1/tyaa005/5813544?login=true 【8】 RSI Security.(2020年11月10日). WHAT’S THE DIFFERENCE BETWEEN HITRUST AND NIST. 擷取自 https：//blog.rsisecurity.com/whats-the-difference-between-hitrust-and-nist/ 【9】 iThome羅正漢.(2019年9月26日).【提升企業網路安全新利器】NIST網路安全框架崛起，成為企業資安共通標準. 擷取自 https：//www.ithome.com.tw/news/133169 【10】 iThome羅正漢.(2019年6月19日). 【不只幫助攻擊入侵行為的理解，更便於企業防禦評估】資安攻防新戰略MITRE ATT&CK. 擷取自 https：//www.ithome.com.tw/news/131274 【11】 iThome羅正漢.(2019年3月22日). 降低網路攻擊或災損從事前防範做起，澳洲政府實施八大減緩策略. 擷取自https：//www.ithome.com.tw/news/129541 【12】 First Focus. Essential Eight vs NIST CSF： Cybersecurity In Focus. 擷取自 https：//www.firstfocus.com.au/insights/article/essential-eight-vs-nist/ 【13】 Draft-NISTIR8170. (2017年5月). The Cybersecurity Framework ：Implementation Guidance for Federal Agencies. 擷取自 extension：//ebkimaahhkeiplegpghijhgmlcdkeppf/pdf-viewer/web/viewer.html?file=https%3A%2F%2Fcsrc.nist.gov%2Fcsrc%2Fmedia%2Fpublications%2Fnistir%2F8170%2Fdraft%2Fdocuments%2Fnistir8170-draft.pdf 【14】 維基百科.DevOps流程示意圖. 擷取自https：//zh.wikipedia.org/wiki/DevOps 【15】 Jack Freund and Jack Jones.(2014年8月22日). Measuring and Managing Information Risk： A FAIR Approach 【16】 IBM Cloud Education.(2020年8月24日). 蒙地卡羅模擬. 擷取自https：//www.ibm.com/tw-zh/cloud/learn/monte-carlo-simulation 【17】 Corporate Finance Institute(CFI).Delphi Method. 擷取自https：//corporatefinanceinstitute.com/resources/knowledge/other/delphi-method/#：~：text=What%20is%20the%20Delphi%20Method%3F%20The%20Delphi%20method%2C,group%20of%20experts%20through%20several%20rounds%20of%20questions. 【18】 IBM Security. Cost of a Data Breach Report 2021. 擷取自 https：//www.ibm.com/security/data-breach
指導教授	蔣偉寧	審核日期	2022-8-18
推文	facebook   plurk   twitter   funp   google   live   udn   HD   myshare   reddit   netvibes   friend   youpush   delicious   baidu
網路書籤	Google bookmarks   del.icio.us   hemidemi   myshare