高中職學校資訊安全管理現況探討－以北區高中職為例

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：23

、訪客IP：3.21.105.77

姓名

許又云(Yu-yun Hsu) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

高中職學校資訊安全管理現況探討－以北區高中職為例
(An Exploration into the Current Situation of Information Security Management in Senior High and Vocational High Schools - Take Northern Senior High and Vocational High Schools as Examples)

相關論文

★ 技術商品銷售之技術人員關鍵職能探討	★ 資訊委外之承包商能力、信任及溝通與委外成效關係之個案研究
★ 兵工技術軍官職能需求分析-以某軍事工廠為例	★ 不同楷模學習模式對VB程式語言學習之影響
★ 影響採購「網路資料中心產品」因素之探討	★ 資訊人員績效評估之研究—以陸軍某資訊單位為例
★ 高職資料處理科學生網路成癮相關因素及其影響之探討	★ 資訊服務委外對資訊部門及人員之衝擊-某大型外商公司之個案研究
★ 二次導入ERP系統之研究-以某個案公司為例	★ 資料倉儲於證券產業應用之個案研究
★ 影響消費者採用創新數位產品之因素---以整合式手機為例	★ 企業合併下資訊系統整合過程之個案研究
★ 資料倉儲系統建置之個案研究	★ 電子表單系統導入之探討 - 以 A 公司為例
★ 企業資訊安全機制導入與評估–以H公司為例	★ 從人力網站探討國內資訊人力現況–以104銀行資料為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

本研究植基於「教育體系資通安全管理規範」，以郵寄問卷方式，調查北台灣高中職學校的資通安全實施現況，除了間接促成教育部在「教育體系資通安全管理規範」的要求、讓受訪之高中職學校以本研究問卷進行自審，然後統計各資通安全構面的落實度結果，並推估其落實度高或不足的原因，最後將「教育體系資通安全管理規範」中條列高中職學校不適用之控制措施、與研究結果做出比較討論，期望能提供政府、教育部在推動高中職教育體系資通安全之參考。
本研究發現，北區高中職學校對於資通安全政策制定情況大致良好，但資安措施落實度不足。高中職學校目前實施資安管理的動機，多出自於被動性因素（配合教育部法令規定）。另外，各學校資訊單位人力不一，未按師生人數來比例調整資訊單位的員額編制。幾乎每所學校都有發生資安事件，但卻仍有將近半數的學校未設置資安部門專門管理。而推行資安時的障礙因素多與「人」有關，包含專業人力不足、使用者或其他處室不願配合、未受到校內高層人士積極重視。而由教育部頒定之「教育體系資通安全管理規範」，其對高中職學校的適用性呈現教育部與學校認知不符、未達成共識的情形。

摘要(英)

Based on "The Norms of Information and Communication Security Management in Educational Systems", this study was conducted by mailing questionnaires to survey the current situation of implementing information and communication security management in senior high and vocational high schools. In addition to indirectly facilitating the request of "The Norms of Information and Communication Security Management in Educational Systems" by Department of Education, prompting surveyed senior high and vocational high schools review itself with the questionnaires of this study, making statistics for the level of implementing information and communication security management in every aspect, inferring the cause of sufficient or insufficient implementation, comparing the inappropriate control measures to senior high and vocational high schools listed in "The Norms of Information and Communication Security Management in Educational Systems" with the study results, this study expects to provide a reference to our government and Department of Education for promoting the information security of senior high and vocational high schools.
This study discovered that northern senior high and vocational high schools don’’t have too much problems in establishing information and communication security policies; however, they don’’t implement information security measures sufficiently. The motivation of implementing information security management is largely out of passive factors (for complying the rules and regulations of Department of Education). Furthermore, the human resources in the departments of information management of every school varies and don’’t increase or decrease according to the number of teachers and students. Although information security events happen in almost every school, there are nearly half of schools don’’t set departments of information security to deal with them. The major obstacle to promoting information security is "human," including that professional human resources are insufficient, users or other units of schools don’’t want to comply the measures of information security, and the upper management of schools doesn’’t lay great emphasize on information security. "The Norms of Information and Communication Security Management in Educational Systems" was established by Department of Education, which is partly inappropriate to and doesn’’t meet the expectation of senior high and vocational high schools.

關鍵字(中)

★ 資訊安全管理
★ 資訊安全
★ 資通安全
★ 高中職
★ 教育體系資通安全管理規範

關鍵字(英)

★ Information Security Management
★ Information Security
★ Senior High and Vocational High Schools
★ Norms of Information Security Management in Educ

論文目次

摘要...................................................i
ABSTRACT...............................................ii
致謝...................................................iv
目錄...................................................v
圖目錄.................................................viii
表目...................................................ix
第一章　緒論............................................1
1.1 研究背景與動機......................................1
1.2 研究目的............................................3
1.3 預期貢獻............................................3
1.4 研究限制與範圍......................................4
1.5 研究流程............................................4
第二章　文獻探討........................................5
2.1 資通安全............................................5
2.1.1 資通安全定義與目標...............................5
2.1.2 「資通安全管理」的重要性.........................6
2.1.3 教育體系資通安全事件案例.........................8
2.1.4 政府相關資安計畫與法規..........................10
2.2 資訊安全管理.......................................11
2.2.1 資訊安全政策、規範與程序三者的定義與比較........11
2.2.2「資訊安全管理的內容」與「資訊安全管理系統」.....12
2.3 資安標準介紹.......................................15
2.3.1 BSI與BS 7799....................................16
2.3.2 ISO與ISO 27001..................................18
2.3.3 CNS與CNS 27001、CNS 27002.......................20
2.4 教育體系資通安全...................................22
2.4.1 教育體系資通安全分級............................22
2.4.2 教育體系資通安全管理規範........................24
2.4.3 教育體系資通安全作業的挑戰......................25
2.4.4 高中職學校的資通安全準則........................29
第三章　研究方法.......................................32
3.1 研究對象...........................................32
3.2 研究工具...........................................33
3.3 資料分析...........................................34
第四章　研究結果與討論.................................36
4.1 資料分析...........................................36
4.1.1 資訊單位員工人數分析............................37
4.1.2 教職人員總數分析................................37
4.1.3 學生總數分析....................................39
4.1.4 行政用電腦數量分析..............................41
4.1.5 教學用電腦數量分析..............................43
4.2 高中職資通安全環境分析.............................45
4.2.1 各校投注於資通安全之經費分析....................45
4.2.2 資安事件分析....................................45
4.2.3 資通安全部門設置現況分析........................47
4.2.4 推行資訊安全管理措施原因分析....................48
4.2.5 資訊安全工作障礙分析............................48
4.2.6 高中職資通安全環境分析小結......................49
4.3 資通安全現況分析...................................51
4.3.1 「資訊安全政策訂定與評估」構面..................51
4.3.2 「資訊安全組織」構面............................52
4.3.3 「資訊資產分類與管制」構面......................53
4.3.4 「人員安全管理與教育訓練」構面..................54
4.3.5 「實體與環境安全」構面..........................54
4.3.6 「通訊與作業安全管理」構面......................55
4.3.7 「存取控制安全」構面............................58
4.3.8 「系統開發與維護之安全」構面....................60
4.3.9 「資訊安全事件之反應及處理」構面................62
4.3.10 「業務永續運作管理」構面.......................62
4.3.11 「相關法規與施行單位政策之符合性」構面.........63
4.3.12 各構面現況之綜合分析...........................64
4.4 教育體系資通安全管理規範對高中職學校的適用性分析...66
第五章　結論與建議.....................................72
5.1 研究結論...........................................72
5.2 研究建議...........................................74
5.3 研究限制及後續研究.................................75
參考文獻...............................................77
中文部份...............................................77
英文部份...............................................78
網頁資料...............................................78
附錄...................................................81
附錄1 本研究問卷.......................................81
附錄2 本研究問卷評核項目與「教育體系資通安全管理規範」對照表................................................87

參考文獻

中文部份
古永嘉譯，Pamela S. Schindler and Donald R. Cooper著，「企業研究方法」，第八版，麥格羅．希爾，台北市，2006。
行政院主計處電子處理資料中心，「民國96年電腦應用概況報告」，2008。
行政院研考會，「國家資通安全技術服務與防護管理計畫 SOC 參考指引」，2006。
李振昌譯，Fischer and Green著，「企業安全管理完全手冊」，紐奧良文化，台北市，2002。
李順仁，「資訊安全」，文魁資訊，台北市，2008。
杜偉欽，「結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究」，國立成功大學工程科學研究所，碩士論文，2006。
侯皇熙，「植基於BS7799探討政府部門的資訊安全管理─以海關資訊部門為例」，國立成功大學工程科學系，碩士論文，2004。
馬正維，「資訊安全國家標準之研訂現況」，資訊安全通訊，4(4)，19-28頁，1998。
張芳珍，「以BS7799落實資訊安全管理-管理類資訊資產分類與控管」，國立中央大學資訊管理研究所，碩士論文，2005。
張博竣，資訊安全管理實務，文魁資訊，台北市，2004。
教育部，「資訊安全認知與教育體系資通安全管理規範介紹」，收錄於教育部提昇校園資訊安全服務計畫，2007。
教育部，政府機關(構)資訊安全責任等級分級作業實施計畫，2007。
教育部，國中、小學資通安全管理系統實施原則，2007。
教育部，教育體系資通安全管理規範，2007。
劉聰德、蔡舜智、謝沛宏、劉瑄儀、陳彥豪、許乃文、王靜音，「剖析我國資通安全現況及挑戰」，收錄於國家科技政策關鍵議題研究，國家實驗研究院，2006。
樊國楨，「資訊安全管理標準模型初探」，財金資訊月刊，財金資訊股份有限公司主辦，40，2005。
樊國楨、林樹國、黃健誠，「資訊安全管理系統驗證標準化初探：根基於資訊安全政策與資訊安全管理系統政策」，收錄於國研院資通安全資訊網－資通安全專論，T96024， 2007。
樊國楨、徐鈺宗、楊仲英、李孝詩，「美國聯邦政府資訊安全管理系統稽核作業與相關標準初探」，資訊管理研究期刊，4，35-58頁，2004。
鄭東昇，「資訊安全管理系統與企業網路安全實作探討」，國立交通大學管理學院資訊管理學系，碩士論文，2005。
謝惠玲，「資訊安全機制規劃及建置之現況調查與分析－以國內大學校園系統為例」，靜宜大學資訊管理學系，碩士論文，2007。
英文部份
Anonymous, “Clutch Group Achieves Two Internationally Acclaimed Security Certifications”, Business Wire, New York, 2008.
ISO, “ISO/IEC 17799 Information Technology – Code of Practice for Information Secruity Management”, 2005.
ISO, “ISO/IEC 27001 Information Ttechnology – Security Techniques – Information Security Management Systems – Requirements”, 2005.
MetaGroup, “Building Information Security Operation Center”, Service Management Strategies, 2001.
網頁資料
Schneier, B. , “Computer security:will we ever learn?”, Crypto-Gram Newsletter. Retrieved 2009-03-01, from http://www.schneier.com/crypto-gram-0005.html。
BSI，「BSI台灣首頁」。2009年3月1日，取自http://www.bsigroup.tw/。
HKCERT，「黑客侵入加大洛杉磯分校數據庫，竊取80萬人個人資料」，資訊保安報，2007年1月號。2009年2月26日，取自http://www.hkcert.org/chinese/nan/home.html?newsletter&newsletter0079.pdf。
大紀元，「清華大學網站被黑黑客抨擊大學教育」。2009年2月26日，取自http://tw.epochtimes.com/b5/8/8/27/n2242470.htm。
中央社，「不滿校園霸凌高中生扮駭客犯案遭警法辦」。2009年2月26日，取自http://www.itis.tw/node/2057。
中央社，「高市光武國小遭竊-大批學童資料卡遺失」。2009年2月26日，取自http://wwwga.epochtimes.com/b5/6/5/2/n1305681.htm。
中央社，「國中基測考生資料外洩案-高中生駭客涉案」。2009年2月26日，取自http://www.epochtimes.com/b5/8/6/25/n2168156.htm。
中央社，「淡江大學資訊安全升級與調查局同級」。2009年2月26日，取自http://www.itis.tw/node/2432。
中時電子報，「寒假延長四天？高中生『駭』過頭」。2009年2月26日，取自http://tw.news.yahoo.com/article/url/d/a/070330/4/c9nv.html。
互動百科，「戴明循環」。2009年3月1日，取自：http://www.hudong.com/。
行政院國家資通安全會報，「國家資通安全會報入口網站」。2009年3月4日，取自：http://www.nicst.nat.gov.tw/index.php。
軍聞社，「海軍司令部通過ISO27001資訊安全管理認證」。資安之眼。2009年2月26日，取自http://www.itis.tw/node/2356。
國立成功大學資通安全研究與教學中心，「資安專欄」。2009年2月26日，取自http://www.twisc.ncku.edu.tw/epaper/ePaper-017/column.html。
教育部，「教育部電算中心資安事件案例宣導簡報」。2009年2月26日，取自http://www.edu.tw/files/site_content/b0089/1245.ppt。
教育部統計處，「中華民國教育統計－各級學校校數、班級數、學生及畢業生人數、教師人數及生師比」。2009年2月18日，取自http://www.edu.tw/files/site_content/B0013/b.xls。
教育部資訊安全服務網，「教育機構資安驗證機制正式啟動，接受驗證申請」。2009年2月10日，取自http://cissnet.edu.tw/。
郭耀煌，「iSecuTech2006資訊安全論壇－國內教育環境的資安挑戰與對策」。2009年3月4日，取自http://www.cc.ncnu.edu.tw/icsst/laws/edu-env-IS-policy-educc.pdf。
新社鄉公所政風室，「公務機密維護宣導資料」。2009年2月26日，取自http://www.shinshou.gov.tw/upload/nf579.doc。
經濟部標準檢驗局，「經濟部標準檢驗局入口網站」。2009年2月26日，取自http://www.bsmi.gov.tw。
資策會MIC，「2011年台灣資安市場規模首破200億大關」。資安之眼。2009年3月1日，取自http://www.itis.tw/node/2421。
賽門鐵克，「資訊安全政策、規範與程序的定義與簡介」。2009年2月14日，取自http://www.symantec.com/region/tw/enterprise/article/security_definition.html。
鍾育恆，「認識ISO國際標準之旅：台北市信義社區大學與ISO」。2009年3月6日，取自http://www.bamboo.hc.edu.tw/course/session10/syllabus/sociology/
92b-2105.html。

指導教授

周惠文(Huey-wen Chou)

審核日期

2009-6-17

推文