| 姓名 |
林志宏(Chih-Hung Lin)
查詢紙本館藏 |
畢業系所 |
資訊管理學系在職專班 |
| 論文名稱 |
導入資訊安全管理制度之資安管理成熟度研究-以B個案公司為例
(A Study on Security Management Maturity of the Information Security Management System As B Company Case)
|
| 相關論文 | |
| 檔案 |
 [Endnote RIS 格式]
[Bibtex 格式]
 [相關文章]  [文章引用]  [完整記錄]  [館藏目錄]  至系統瀏覽論文 ( 永不開放)
|
| 摘要(中) |
在日異頻繁的資訊安全事件中,大多數的企業組織均已體會到資訊安全管理的重要性,資訊安全管理制度(ISMS)是國際上受到認可的資訊安全管理標準,是整體資訊安全管理系統的一部分,包括:資訊安全組織、資訊安全政策、規劃活動、職責、實施、流程和資源等,以風險評鑑的作法為基礎,用以建立實施、運行、監控、檢視、維護和改善資訊安全。提供適當的安全控制措施及充分地資訊資產保護,以確保組織的資訊安全;並賦予利害關係人的信賴。
ISMS是規範、建立及實施資訊安全管理系統的方式,以及落實文件化的要求,可以確保ISMS在組織內部能夠有效的運作;並即時掌握資訊安全現況,把可能發生的資訊安全風險危害與損失,降低至企業組織可接受的程度範圍內,確保企業永續經營。持續落實資訊安全管理,在導入ISO 27001制度化、文件化及系統化的管理機制後,將透過規劃-執行-查核-行動(PDCA)等,持續進行管理與技術的改善及強化,期以提供更優質、更安全的服務。
本研究以個案研究法及參照ISO/IEC 27001附錄A5-A18控制措施設計評分表評估企業導入ISMS之管理成熟度分析方式,以某金控公司下子公司為研究個案,探討現行的企業中,透過ISMS成熟度模型分析,瞭解組織現況差異分析、ISMS導入及資訊安全管理系統之國際資安認證,確保企業資安管理符合國際資訊安全標準,並診斷企業在資安管理成熟度及落實的程度之研究,以作為未來強化組織改善資訊安全的依據。
關鍵字:資訊安全管理制度,規劃-執行-查核-行動,ISO27001,資安管理成熟度。 |
| 摘要(英) |
In the frequent and frequent information security incidents, most enterprise organizations have realized the importance of information security management. The Information Security Management System (ISMS) is an internationally recognized information security management standard and an overall information security management system. Some of these include: information security organizations, information security policies, planning activities, responsibilities, implementation, processes, resources, etc., based on risk assessment practices for establishing, implementing, monitoring, reviewing, maintaining, and improving information security. Provide appropriate security controls and adequate protection of information assets to ensure the security of the organization′s information; and give stakeholders the trust.
The Information Security Management System regulates, establishes and implements information security management systems, and implements documented requirements to ensure that information security management systems can be effectively operated within the organization; The occurrence of information security risk hazards and losses will be reduced to an acceptable level within the organization of the enterprise to ensure the sustainable operation of the enterprise. Continue to implement information security management. After introducing the ISO 27001 institutionalized, documented, and systematic management mechanism, we will continue to improve and strengthen management and technology through planning-execution-check-action (PDCA), etc., to provide Better and safer service.
This study uses the case study method and reference to the ISO/IEC 27001 appendix A5-A18 control measure design score table to evaluate the management maturity analysis of the company′s introduction into the ISMS, using a subsidiary of a financial control company as a research case to discuss the current Analyze the ISMS maturity model to understand the current status of organizational differences analysis, ISMS import and international security verification of information security management systems to ensure that the company′s security management complies with international information security standards, and diagnoses the degree of maturity and implementation of corporate security management Research as a basis for strengthening information security in the future.
Keyword: Information Security ManagementSystem , PDCA , ISO27001 , Maturity of Information Security Management. |
| 關鍵字(中) |
★ 資訊安全管理制度
★ 規劃-執行-查核-行動
★ ISO27001
★ 資安管理成熟度 |
關鍵字(英) |
★ Information Security Management System
★ PDCA
★ ISO27001
★ Maturity of Information Security Management |
| 論文目次 |
目錄
摘要 v
Abstract vi
誌謝 vii
目錄 viii
圖目錄 x
表目錄 xi
一、 緒論 1
1-1 研究背景 1
1-2 研究動機 4
1-3 研究目的 5
1-4 研究範圍與限制 5
1-5 研究流程 6
二、 文獻探討 7
2-1 資訊安全管理制度 7
2-2 資訊安全管理制度的運作架構 8
2-3 ISO 27001標準條文內容 10
三、 ISO/IEC 27001資安認證 13
3-1 組織現況差異分析 13
3-2 資安政策與組織及制度文件 14
3-3 資訊資產盤點 15
3-4 風險評鑑 16
3-5 營運衝擊分析 18
3-6 資安內稽 19
3-7 管理審查 20
3-8 矯正措施 20
3-9 第三方驗證 21
四、 個案研究 23
4-1 個案公司簡介 23
4-2 個案公司實際作法 26
4-2-1 組織現況差異分析實際作法 26
4-2-2 資安政策與組織及制度文件實際作法 28
4-2-3 資訊資產實際作法 29
4-2-4 風險評鑑實際作法 31
4-2-5 營運衝擊分析實際作法 32
4-2-6 資安內部稽核實際作法 33
4-2-7 管理審查實際作法 36
4-2-8 矯正措施實際作法 36
4-2-9 第三方驗證實際作法 37
4-3 資安管理能力成熟度評分表及模型分析設計 38
4-3-1 資安管理能力成熟度評分表設計 38
4-3-2 資安管理能力成熟度模型分析設計 40
4-4 實際導入ISMS資安管理成熟度比較分析 40
五、 研究結論與建議 43
5-1 研究結論 43
5-2 研究建議 45
5-3 研究貢獻 46
參考文獻 47
附錄一 ISO/IEC 27000系列 51
附錄二 各階文件代號及名稱對照表 53
附錄三 資訊資產之分類與群組 57
附錄四 評分表 60 |
| 參考文獻 |
【中文文獻】
1.行政院國家資通安全會報(民104),「政府機關(構)資通安全責任等級分級作業規定」,取自植根法律網http://www.rootlaw.com.tw/LawContent.aspx?LawID=A040020001002900-1040120,存取時間:2018/4/14。
2.金融監督管理為員會保險局(民106)「保險業辦理電子商務應注意事項」,取自植根法律http://www.rootlaw.com.tw/LawContent.aspx?LawID=A040390061030000-1061120,存取時間:2018/4/14。
3.趨勢科技(2017),「趨勢科技2017資安預測公布:資安威脅三高駭客淘金熱潮來襲!」,取自http://www.trendmicro.tw/tw/about-us/newsroom/releases/articles/20161214030445.html,存取時間:2018/4/14。
4.維基百科(2018a),「ISO/IEC 27000系列」,取自http://www.wikiwand.com/zh-tw/ISO/IEC_27000系列;https://zh.wikipedia.org/wiki/ISO/IEC_27000系列,存取時間:2018/4/14。
5.維基百科(2018b),「愛德華茲·戴明」,取自https://zh.wikipedia.org/wiki/愛德華茲·戴明,存取時間:2018/4/14。
6.維基百科(2018c),「PDCA」,取自https://zh.wikipedia.org/wiki/PDCA,存取時間:2018/4/14。
7.經濟部標準檢驗局(民103),CNS27001資訊技術-安全技術-資訊安全管理系統-要求事項,取自經濟部標準檢驗局國家標準(CNS)網路服務系統 http://www.cnsonline.com.tw/,存取時間:2018/5/28。
8.經濟部標準檢驗局(民104a),CNS27002資訊技術-安全技術-資訊安全控制措施之作業規範,取自經濟部標準檢驗局國家標準(CNS)網路服務系統 http://www.cnsonline.com.tw/,存取時間:2018/5/28。
9.經濟部標準檢驗局(民104b),CNS27006資訊技術-安全技術-提供資訊安全管理系統稽核與驗證機構之要求,取自經濟部標準檢驗局國家標準(CNS)網路服務系統 http://www.cnsonline.com.tw/,存取時間:2018/5/28。
10.經濟部標準檢驗局(民106),CNS22301社會安全-事業持續管理系統-要求事項,取自經濟部標準檢驗局國家標準(CNS)網路服務系統 http://www.cnsonline.com.tw/,存取時間:2018/5/28。
11.經濟部標準檢驗局(民101),CNS31000風險管理-原則與指導綱要,民101 年。取自經濟部標準檢驗局國家標準(CNS)網路服務系統 http://www.cnsonline.com.tw/,存取時間:2018/5/28。
12.BSI英國標準協會(2018),BSI第167期電子報:強化企業組織的資訊韌性(information resilience)以提升整體資安管理的成熟度及綜效,取自BSI英國標準協會網站https://www.bsigroup.com/LocalFiles/zh-tw/e-news/No167/167-Jan.html,存取時間:2018/5/28。
13.彭金玉、趙家民(2009),企業風險管理的指引-ISO31000(風險管理系統),環境與管理研究第十卷第一期,P19-P31。
14.黃丙喜、王央成、李宗勳、施正屏、姚大鈞、馬士元、王价巨(2014)。動態風險逆轉:避開決策陷阱,成功逆轉風險。台北:商周出版 城邦文化事業股份有限公司。
15.SGS通用檢驗公正集團(2012),「ISO 27001:2013資訊安全管理系統:主導稽核員訓練課程」,台北:教育訓練中心。
16.財團法人保險事業發展中心(民107),「保險資安管理與內部稽核實務」,台北:教育訓練場所。
17.行政院資通安全處(民107a),「資安服務團隊訓練課程:資安治理成熟度評審」,台北:教育訓練場所。
18.行政院資通安全處(民107b),「公務人員訓資安職能訓練課程:資訊系統風險管理」,台北:教育訓練場所。
【英文文獻】
1.World Economic Forum(2018) ,The Global Risks Report 2018, 13th Edition. Retrieved from http://www3.weforum.org/docs/WEF_GRR18_Report.pdf.
2.ISO(2013a), “ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO (Annex SL Normative Proposals for management system standards), 4th ed., 2013”,(accessed 2018/5/28,available at:https://www.iso.org/sites/directives/2016/consolidated/index.xhtml#_idTextAnchor545).
3.ISO(2013b), “ISO/IEC 27001:2013, Information technology -- Security techniques -- Information security management systems -- Requirements, Publication Date :2013-10”,(accessed 2018/5/28,available at:https://www.iso.org/standard/54534.html).
4.ISO(2013c), “ISO/IEC 27002:2013, Information technology -- Security techniques -- Code of practice for information security controls,Publication Date :2013-10”,(accessed 2018/5/28,available at:https://www.iso.org/standard/54533.html).
5.ISO(2015), “ISO/IEC 27006:2015 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems,Publication Date :2015-10”,(accessed 2018/5/28,available at:https://www.iso.org/standard/62313.html).
6.ISO(2012), “ISO 22301:2012 Societal security -- Business continuity management systems -- Requirements,Publication Date :2012-05”,(accessed 2018/5/28,available at:https://www.iso.org/standard/50038.html).
7.ISO(2009), “ISO 31000:2009Risk management -- Principles and guidelines,Publication Date :2009-11”,(accessed 2018/5/28,available at:https://www.iso.org/standard/43170.html). |
| 指導教授 |
林熙禎(Shi-Jen Lin)
|
審核日期 |
2018-6-27 |
| 推文 |
 facebook  plurk  twitter  funp  google  live  udn  HD  myshare  reddit  netvibes  friend  youpush  delicious  baidu
|
| 網路書籤 |
 Google bookmarks  del.icio.us  hemidemi myshare
|
