結合FAIR與NIST資安框架分析資安風險: 以資訊與科技服務業為例

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：55

、訪客IP：3.139.235.81

姓名

莊岳穎(YUEH-YING CHUANG) 查詢紙本館藏

畢業系所

土木工程學系

論文名稱

結合FAIR與NIST資安框架分析資安風險: 以資訊與科技服務業為例

相關論文

★ 國際巨災保險制度之研究	★ 我國推動地方層級災害防救專責單位之問題探討-以桃園縣為例
★ 公共危險物品保安監督之探討-以新竹縣為例	★ 長期照顧機構消防安全設計與防火避難設施之研究
★ 考慮土壤結構互制效應並裝設減振裝置的高層建築氣動力反應之研究	★ 結合模糊控制與類神經網路探討非線性結構控制的穩定性
★ 觀光產業天然災害風險評估與管理	★ 天然災害風險管理決策方法建立—以地震災害為例
★ 颱洪災害風險評估推測事件資料庫之建置及應用	★ 火災現場指揮幕僚運作探討-以桃園市政府消防局為例
★ 科學園區地震緊急應變計畫之研擬	★ 地震災害風險評估及地震保險之風險管理
★ 園區建築物耐震能力評估	★ 整合性多目標地震風險評估系統之建立
★ 適應性模糊滑動模態控制在結構工程上應用之研究	★ 高樓結構裝設調和液柱阻尼器減振效應之風洞實驗研究

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

為了面對網路威脅所產生不易掌控的風險、持續鞏固台灣半導體在全球領先的地位，我們將著手建立有關於我國資訊與科技服務業的資訊安全風險的評估，並量化風險值、計算投保時之保費參考依據，以便於企業組織將風險做適當轉移。
本研究首先會說明資安損失的型態，將各種損失型態做統整及歸納；本篇選擇關注在資料外洩的型態，研究採用Jack Freund & Jack Jones發展之Factor Analysis of Information Risk模型，並結合美國國家標準暨技術研究院(NIST)制定的Cybersecurity Framework作為探討之基礎，經由蒙地卡羅模擬並量化當資訊與科技服務業遭遇網路攻擊時的風險值，後續可以藉此推估出保險公司所需的危險保費。
研究結果發現，當我國資訊與科技服務業遭遇資料外洩時，若是提升了FAIR模型中的抵抗能力，則危險保費也會下降，內文具不同抵抗能力所得之風險平均值、標準差和危險保費。
這些經過蒙地卡羅模擬分析及專家估算所得到的風險值，提供保險公司為資訊與科技服務業計算保費的基準、企業本身風險管理時的良好指標。本研究所提出之流程、架構可以依使用對象的實際資料和參數分析。

摘要(英)

In order to face the unmanageable risks arising from cyber threats and continue to consolidate Taiwan′s leading position in the world of semiconductors, we establish an assessment of information security risks in Taiwan′s information and technology service industry, quantify the risk value. The insurance premium basis is used to facilitate the organization to transfer risks appropriately.
We will first explain the types of information security losses, then integrate and summarize various types of losses; choose to focus on the types of Data breach, and adopts the Factor Analysis of Information Risk model developed by Jack Freund & Jack Jones, and combine with the Cybersecurity Framework established by the National Institute of Standards and Technology (NIST) as the basis for the study. Through Monte Carlo simulation and quantification of the risk value when the information and technology service company encounter a cyber threat, the simulation results can be used to promote estimate the premiums required by the insurance company.
The results of the research finds that when Taiwan′s information and technology service industry encounters Data breach, if the resistance in the Factor Analysis of Information Risk model is improved, the risk premium will also decrease accordingly.
These risk values is obtained through Monte Carlo simulation analysis and expert estimation provide insurance companies with a benchmark for calculating premiums for the information and technology service industry and a good indicator for company risk management. However, we suggest that under this process and framework the real parameter analysis can be input according to the actual data of the company considered.

關鍵字(中)

★ 網路風險評估
★ FAIR模型
★ NIST網路安全框架
★ 蒙地卡羅模擬分析
★ 資訊與科技服務業
★ 危險保費
★ 資料外洩

關鍵字(英)

★ cyber risk assessment
★ FAIR model
★ cybersecurity framework
★ Monte Carlo simulation analysis
★ information and technology services
★ premiums
★ Data breach

論文目次

摘要 I
Abstract II
目錄 IV
圖目錄 VII
表目錄 IX
第一章緒論 1
1.1 前言 1
1.2 研究動機 3
1.3 研究目的 3
第二章文獻回顧 4
2.1 風險分析基礎概念 4
2.2 資安的損失型態 5
2.2.1 分散式阻斷服務攻擊 (DDoS) 5
2.2.2 系統遭遠端控制 7
2.2.3 雲端服務故障或中斷 (Cloud Outage) 11
2.2.4 資料勒索 (Ransomware) 15
2.2.5 資料外洩 (Data Breach) 16
2.2.6 傳染性惡意軟體 (Contagious Malware) 21
2.3 保險費率的基本結構表 22
2.3.1 淺談保險的架構 22
2.3.2 再保險 23
2.4 資料外洩之平均成本 26
第三章研究理論與方法 32
3.1 關於FAIR模型 32
3.2 FAIR模型本體論 37
3.3 FAIR模型模擬常見問題 43
3.4 NIST網路安全框架說明 44
3.5 研究分析流程 48
3.6 資料外洩之成本類型 54
第四章結果與討論 56
4.1 模擬情境參數 56
4.2 資料外洩之成本估算 57
4.3 普通小型企業組織 60
4.4 部分提升DIFF值的小型企業組織 62
4.5 極端弱的小型企業組織 63
4.6 極端強的小型企業組織 64
4.7 普通中型企業組織 65
4.8 部分提升DIFF值的中型企業組織 67
4.9 極端弱的中型企業組織 68
4.10 極端強的中型企業組織 69
4.11 普通大型企業組織 70
4.12 部分提升DIFF值的大型企業組織 72
4.13 極端弱的大型企業組織 73
4.14 極端強的大型企業組織 74
4.15 估算危險保費 75
第五章結論與建議 76
5.1 結論 76
5.2 建議 78
參考文獻 79
附錄一 Diff問卷中的NIST 108項之子類別 81
附錄二 TCap問卷題目 88
附錄三 TEF問卷題目 89

參考文獻

[1] 中華民國經濟部統計處。2022年4月6號。取自https://www.moea.gov.tw/Mns/dos/content/Content.aspx?menu_id=6836。
[2] 中華民國經濟部統計處《401》電腦及資訊服務業營業額 110 年。2022年4月6號。取自https://www.moea.gov.tw/Mns/dos/bulletin/Bulletin.aspx?kind=9&html=1&menu_id=18808&bull_id=9756。
[3] 楊敏生，「模糊理論簡介」，數學傳播期刊，第十八卷第一期，第1至5頁，民國83年3月。
[4] Jack Freund , Jack Jones, Measuring and Managing Information Risk, Elsevier Inc., USA ,2015.
[5] Kaspersky Lab, How Data Breaches Happen.取自:https://www.kaspersky.com/resource-center/definitions/data-breach。
[6] Trend Micro, Data Breaches 101,2018年8月10號。取自: https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/data-breach-101。
[7] “Managing Cyber Insurance Accumulation Risk”，Risk Management Solutions, Inc，25~26頁，2016年2月。
[8] 廖述源，李家瑋，「產險巨災損失費率釐訂之探討」，保險經營學報，241~243頁，2013年4月。
[9] Twain Taylor, 7 Biggest Cloud Outages of the Past Year, 2022年2月11日，取自: https://techgenix.com/7-biggest-cloud-outages-services-2021/。
[10] “A Reinsurance Manual of the Non-Life Branches”, Swiss Re, Swiss, 2004.
[11] 孫怡君，「我國產險再保險監理制度之研究」，銘傳大學，碩士論文，民國99年。
[12] Miklos Hajdu & Orsolya Bokor, “The Effects of Different Activity Distributions on Project Duration in PERT Networks”, Procedia,2014.
[13] “Cost of a Data Breach Report 2021”, IBM Security, July 2021.
[14] NIST官網，取自: https://www.nist.gov/。
[15] Watkins Consulting官網，取自:https://watkinsconsulting.com/our-projects/nist-csf-excel-workbook/。
[16] 徐昊宇，“結合FAIR與NIST資安框架分析資安風險:以醫療產業為例”，國立中央大學，碩士論文，民國110年。

指導教授

蔣偉寧

審核日期

2022-7-27

推文