博碩士論文 111453025 詳細資訊




以作者查詢圖書館館藏 以作者查詢臺灣博碩士 以作者查詢全國書目 勘誤回報 、線上人數:39 、訪客IP:3.142.194.124
姓名 蔡明宏(Ming-Hung Tsai)  查詢紙本館藏   畢業系所 資訊管理學系在職專班
論文名稱 已驗收的資訊系統真能符合資通系統防護基準要求?以 A 公司專案為例
(Has an Accepted Information System Really Met the Requirements of the Cybersecurity Protection Standards? A Case Study a Project of Company A)
相關論文
★ 影響ERP導入過程及成效因素之研究 - 單一公司兩次導入SAP系統之比較分析★ 運用資料倉儲技術建置物力動員資訊系統之開發
★ 買方採用自有電子市集之個案研究─以台塑企業為例★ DEA模型評估經營效率之研究—以某綜合證券商為例
★ 尋求卓越:中小企業資訊部門的管理之個案研究★ 「證券商共同網路交易平台」之可行性分析
★ 產業競合模式策略探討-以自行車產業為例★ RFID導入航空貨運站出口作業流程應用之研究
★ 綠色供應鏈活動建構之個案研究-以筆記型電腦製造業為例★ 導入資訊科技服務管理之評估-以遠東銀行為例
★ 資訊系統導入歷程中專案團隊決策衝突之探討★ 應用資源基礎理論探討持久競爭優勢-以智慧型手機H公司為例
★ 服務導向架構為基礎的企業流程管理之探討 - 以瀚宇博德股份有限公司為例★ 沙賓法案實施與企業遵循個案研究--以K公司為例
★ 資訊服務委外之個案分析-以銀行簡訊為例★ 有線電視業者經營IPTV之競爭優勢分析—以個案公司為例
檔案 [Endnote RIS 格式]    [Bibtex 格式]    [相關文章]   [文章引用]   [完整記錄]   [館藏目錄]   [檢視]  [下載]
  1. 本電子論文使用權限為同意立即開放。
  2. 已達開放權限電子全文僅授權使用者為學術研究之目的,進行個人非營利性質之檢索、閱讀、列印。
  3. 請遵守中華民國著作權法之相關規定,切勿任意重製、散佈、改作、轉貼、播送,以免觸法。

摘要(中) 近年來,網路攻擊頻繁發生,資訊安全問題備受關注。為加強資安防護,
政府頒布一系列法規和標準,對組織的資安管理提出更高要求。在此背景下,
如何確保資訊系統安全,成為政府機關與資服業者共同面臨的重大課題。
本研究以資服業者承接的政府專案為例,採用個案研究來探討中小型資服
業者在滿足客戶需求和遵循資安標準中的挑戰。聚焦分析資訊系統在符合「資
通系統防護基準」的程度或差異,並提出改善對策。
研究使用文件分析、深度訪談、屬性抽樣等質性方法,以資通安全管理法
及子法、ISO/IEC 27001、CBE、SBOM 等為依據,從專案管理、開發測試、供
應鏈管理、稽核實施等角度,梳理專案的資安管理情況,找尋問題與不足。
研究發現,中小型資服業者受限於資源、客戶需求多變、人員能力參差等
因素,在落實資安控制時面臨諸多困境。專案暴露需求不明確、安全控制不完
善、供應鏈管理鬆散等問題,難以全面符合「資通系統防護基準」要求。
據此,研究提出強化變更管理、引入威脅建模、落實安全編碼規範、完善
元件管理、細化稽核日誌、加強安全意識培訓等建議,以幫助中小型資服業者
提升專案的安全品質,強化整體資安防護,平衡合規要求和成本效率。
本研究深化了對資安標準落實的微觀理解,揭示了合規驅動資安治理的侷
限性,對主管機關和產業界推動完善資訊系統的安全有啟示的意義。
摘要(英) In recent years, frequent cyber attacks have heightened concerns over
information security. To strengthen data protection, the government has implemented
various regulations and standards, increasing demands on organizational security
management.
This study focuses on a government project undertaken by an IT service
provider, using case studies to explore the challenges small and medium-sized IT
firms face in meeting client needs while adhering to security standards. The research
employs qualitative methods such as document analysis and in-depth interviews to
evaluate the project′s adherence to "Information System Protection Standards" and
identifies areas for improvement.
Findings reveal that these firms struggle with resource limitations, fluctuating
client demands, and varying staff capabilities, leading to unclear requirements,
inadequate security controls, and loose supply chain management. Consequently, the
study suggests enhancing change management, threat modeling, security coding
practices, component management, audit logs, and security awareness training to
improve project security quality and strengthen overall data protection, balancing
compliance requirements with cost-efficiency.
This research deepens the understanding of security standard implementation and
highlights the limitations of compliance-driven security governance, providing
insights for regulatory bodies and the industry to improve information system
security.
關鍵字(中) ★ 資通安全法
★ 資訊安全管理系統
★ 軟體開發
★ 軟體物料清單
★ 事件紀錄
關鍵字(英) ★ Cyber security Act
★ ISO/IEC 27001
★ SDLC
★ SBOM
★ System log
論文目次 摘要 ......................................I
Abstract ..................................II
致謝 ......................................III
圖目錄.....................................VII
表目錄..................................... VIII

第一章 緒論 ...............................1
1.1 研究背景 ..............................1
1.2 研究動機 ..............................2
1.3 研究目的 ..............................3
1.4 論文架構 ..............................4

第二章 文獻探討 ...........................5
2.1 資通安全管理法與子法 ..................5
2.1.1 資通安全管理法 ......................6
2.1.2 資通安全管理法施行細則 ..............7
2.1.3 資通安全責任等級分級辦法 ............8
2.1.4 資通安全責任等級應辦事項 ............9
2.2 資通系統防護基準 ......................10
2.3 ISO/IEC 27001 .........................11
2.4 通用事件紀錄 ..........................13
2.5 軟體物料清單 ..........................15
2.6 文獻小結 ..............................17

第三章 研究方法 ...........................18
3.1 研究基礎 ..............................18
3.2 採用方法 ..............................18
3.3 研究對象 ..............................19
3.4 資料蒐集來源與方式 ....................20
3.4.1 次級資料 ............................20
3.4.2 初級資料 ............................21

第四章 個案分析 ...........................24
4.1 個案簡介 ..............................24
4.2 個案之專案分析 ........................25
4.2.1 專案需求 ............................25
4.2.2 文件分析 ............................26
4.2.3 訪談結果與分析 ......................27
4.2.4 資通安全防護基準檢查 ................33
4.2.5 屬性抽樣 ............................36
4.2.6 稽核總結 ............................41
4.3 個案發現 ..............................43
4.4 個案分析總結 ..........................46

第五章 結論 ...............................48
5.1 研究總結 ..............................48
5.2 研究管理意涵 ..........................48
5.3 研究建議 ..............................49
5.3.1 專案與技術建議 ......................49
5.3.2 委託方與被委託方的角色建議 ......... 51
5.4 研究限制 ..............................52
5.5 未來研究方向 ..........................53

參考文獻 ................................. 55
中文文獻 ..................................55
英文文獻 ..................................59
附錄 ......................................60
參考文獻 中文文獻
1. TEEND(2021),「Log4Shell 漏洞簡介」。(存取日期:2024/03/18,取自:https://www.trendmicro.com/zh_tw/what-is/apache-log4j-vulnerability.html)
2. 中央社(2022),「裴洛西訪台頻傳駭客攻擊 NCC:資安事件 1 小時內通報」。(存取日期:2024/03/14,取自:https://www.cna.com.tw/news/aipl/202208030231.aspx)
3. 交通部公路局(2023),「有關和雲行動服務股份有限公司 (iRent) 疑似發生用戶個資外洩事件,公路總局初步查處情形說明」。(存取日期:2024/04/29,取自:https://www.thb.gov.tw/News_Content_table.aspx?n=87&s=208674)
4. 行政院(2008),「最有利標評選辦法」,全國法規資料庫。(存取日期:2024/04/08,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030080)
5. 行政院(2018a),「資通安全管理法」,全國法規資料庫。(存取日期:2024/03/14,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297)
6. 行政院(2018b),「國家資通安全情勢報告」,全國法規資料庫。(存取日期:2024/03/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/l8nzcxYC8rOAilY)
7. 行政院(2019),「108 年國家資通安全情勢報告」,全國法規資料庫。(存取日期:2024/03/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/7tT5CqjV6Vhc8Dc)
8. 行政院(2020),「109 年國家資通安全情勢報告」,全國法規資料庫。(存取日期:2024/03/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/CyMKU5u758SH6HA)
9. 行政院(2021a),「資通系統防護基準」,全國法規資料庫。(存取日期:2024/03/14,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115)
10.行政院(2021b),「資通安全事件通報及應變辦法」,全國法規資料庫。(存取日期:2024/03/25,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030305)
11.行政院(2021c),「資通系統防護需求分級原則」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000254363)
12.行政院(2021d),「110 年國家資通安全情勢報告」,全國法規資料庫。(存取日期:2024/03/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/v7vNpbcCyEljqi3)
13.行政院(2021e),「資通安全責任等級分級辦法」,全國法規資料庫。(存取日期:2024/03/14,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304)
14.行政院(2021f),「資通安全管理法施行細則」,全國法規資料庫。(存取日期:2024/03/14,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030303)
15.行政院(2021g),「資通安全責任等級 A 級公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298107)
16.行政院(2021h),「資通安全責任等級 A 級特定非公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298108)
17.行政院(2021i),「資通安全責任等級 B 級公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109)
18.行政院(2021j),「資通安全責任等級 B 級特定非公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298110)
19.行政院(2021k),「資通安全責任等級 C 級公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298111)
20.行政院(2021l),「資通安全責任等級 C 級特定非公務機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298112)
21.行政院(2021m),「資通安全責任等級 D 級各機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298113)
22.行政院(2021n),「資通安全責任等級 E 級各機關應辦事項」,全國法規資料庫。(存取日期:2024/04/07,取自:https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298114)
23.行政院(2022),「數位發展部組織法」,全國法規資料庫。(存取日期:2024/03/14,取自:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=K0000199)
24.潘淑滿(2003),質性研究-理論與運用。台北:心理出版社。
25.數位發展部(2022),「111 年度國家資通安全情勢報告」,全國法規資料庫。存取日期:2024/03/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/dsAqeYCbJqwvgBt)
26.數位發展部(2023),「資通安全維護計畫範本」,全國法規資料庫。(存取日期:2024/04/14,取自:https://www-api.moda.gov.tw/File/Get/acs/zh-tw/IgT9WPNZENcVgsH)

英文文獻
1. Executive Office of the President (2021), ‘‘Executive Order on Improving the Nation′s Cybersecurity,” (accessed 2024/03/14, available at: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity).
2. IBM (2003), ‘‘Common Base Event: An Implementation of the Common Base Event Model Version 1.1.1,” (accessed 2024/04/07, available at: https://www.academia.edu/74957089/Canonical_situation_data_format_The_common_base_event_v1_0_1).
3. ISACA (2019), CISA Review Manual, 27th Edition, Schaumburg:ISACA.
4. ISO (2018), ‘‘ISO 19011:2018 Guidelines for Auditing Management Systems,” (accessed:2024/03/14, available at: https://www.iso.org/standard/70017.html).
5. ISO/IEC (2022a), ‘‘ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection - Information Security Management Systems Requirements,” (accessed 2024/03/14, available at: https://www.iso.org/standard/27001).
6. ISO/IEC (2022b), ‘‘ISO/IEC 27002:2022 Information Security, Cybersecurity and Privacy Protection - Information Security Controls,” (accessed 2024/03/14, available at: https://www.iso.org/standard/75652.html).
7. National Telecommunications and Information Administration (NTIA) (2021), ‘‘The Minimum Elements for a Software Bill of Materials,” (accessed 2024/03/14, available at: https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom).
指導教授 王存國(Eric T. G. Wang) 審核日期 2024-5-29
推文 facebook   plurk   twitter   funp   google   live   udn   HD   myshare   reddit   netvibes   friend   youpush   delicious   baidu   
網路書籤 Google bookmarks   del.icio.us   hemidemi   myshare   

若有論文相關問題,請聯絡國立中央大學圖書館推廣服務組 TEL:(03)422-7151轉57407,或E-mail聯絡  - 隱私權政策聲明