以個案研究法探討組織ISMS之導入

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：95

、訪客IP：3.128.201.123

姓名

金天翼(Tien-Yi Chin) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

以個案研究法探討組織ISMS之導入

相關論文

★ 企業多角化經營策略之研究 ─以某機構拓展資訊應用服務市場為例	★ 某中小企業執行政府專案計畫之社會網絡關係分析
★ 學習型組織與價值創造的探討	★ 以社會行動研究法探討組織內的社會網絡關係-以C研究中心為例
★ 以個案研究探討半導體封測業CIM之導入	★ 消費者特性與網路使用經驗對網路購物之影響－以上海、台北學生為例
★ 醫院資訊系統應用實踐歷程之社會效果分析－以醫令資訊系統為例	★ 關係連結對網路顧客忠誠度影響之研究
★ 虛擬社群成員再訪意圖之探討-以 Fashion Guide 社群為例	★ 利用feature-opinion pair建立向量空間模型以進行使用者評論分類之研究
★ 區隔綠色消費者及探討影響綠色產品的態度與願付價格之心理決定因子	★ 消費者對仿冒品態度的前因與後果之研究-以電子產品為例
★ 角色壓力源、焦崩對組織承諾的影響－兩岸資訊從業人員之比較研究	★ 組織公民行為意圖影響因素之研究－以兩岸資訊從業人員為例
★ 資訊人員的工作特性、創造力人格特質與工作滿足的相關性研究	★ 網路購物意願影響因素之研究－以北京、台北在職班學生為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

當企業為了追求效率以及迅速因應環境的瞬息萬變，紛紛採用資訊科技協助執行各項業務時，就表示企業的資訊化程度越來越高，發生資安事故對企業造成的衝擊也隨之增加。為了強化資訊安全，降低風險發生的機率及衝擊，資訊安全管理系統 (Information Security Management System, ISMS) 已經成為全球各國政府與企業公認的資訊安全管理最佳參照與標準。
本研究以國內現今最熱門的雲端產業導入ISMS為例，從個案研究的角度，從ISMS的導入動機、差異分析作業、資產盤點與風險評鑑、建立資訊安全管理體系、教育訓練、內部稽核、管理審查、矯正預防措施，以及第三方驗證，最終在2011年初取得國際標準ISO/IEC 27001:2005認證，深入探討ISMS導入遭遇的困難與解決方式、導入的效益以及關鍵成功因素。
研究結果發現ISMS導入範圍是否包含企業的關鍵核心業務，決定了企業落實資訊安全的決心。藉由尋求專業資安顧問的協助，導入已獲得業界認可的資訊安全管理方法論，進行全方位的風險分析，從制度面將各個控制環節加以串聯。首先在資訊安全政策明確宣示組織保護的範圍，並建立資訊安全組織進行跨部門的溝通協調，讓員工清楚感受到高階主管的願景與決心。搭配適當的資安教育訓練，提升員工資訊安全意識，將資安深化於作業之中，最後使企業培養出自我持續改善的能力，進而達到企業永續經營的目的。

摘要(英)

Organizations use Information Technology (IT) to enhance their effective and efficient responses for facing this rapid growing world. The more IT they adopt, the more information security incidents can happen and the more impact they can be. In order to improve information security and decrease the probability of risk occurrence, more and more government agencies and enterprises implement the best practice, Information Security Management System (ISMS), in the information security field.
This thesis is based on the case study, which is the process of an enterprise in the cloud industry to implementing ISMS. It includes the motivation of implementation, gap analysis, asset collection, risk assessment, ISMS establishment, awareness training, internal auditing, management review, corrective and preventive actions, and third party certification so that the enterprise obtained the international ISO/IEC 27001:2005 certificate in early 2011. The contribution of this thesis is to find the difficulties and solutions, benefits, and critical success factors while implementing ISMS.
The research result indicates that the organization’s determination of putting information security into practice is based on whether its core business function is included in the ISMS scope or not. By the assistance of professional information security consultants to implement ISMS via a recognized methodology in the industry, the organization can conduct comprehensive risk analysis and adopt information security controls from different perspectives. After declaring the implementation scope in information security policy and create a dedicated information security organization to have cross-teams’ communication and coordination, employees in the organization can fully understand the support and commitment of their senior management. Along with appropriate information security trainings to enhance employees’ information security awareness, the organization can fulfill the objective of continuous improvement and the purpose of long-run business operations.

關鍵字(中)

★ 風險管理
★ 資訊安全管理系統
★ ISO 27001
★ 雲端產業
★ 資訊安全

關鍵字(英)

★ Risk Management
★ ISO 27001
★ ISMS
★ Information Security
★ Cloud Industry

論文目次

摘要 i
Abstract ii
致謝詞 iii
目錄 iv
圖目錄 vi
表目錄 vii
第一章緒論 1
1-1 研究背景 1
1-2 研究動機 4
1-3 研究目的 5
1-4 論文組織架構 6
第二章文獻探討 8
2-1 資訊安全 8
2-2 資訊安全管理系統 11
2-2-1 ISMS發展歷史 11
2-2-2 ISO/IEC 27001:2005 15
2-2-3 風險評鑑 20
2-2-4 第三方驗證 25
2-3 ISMS應用研究 27
第三章研究方法 30
3-1 研究方法的選擇 30
3-2 個案選擇 31
3-3 資料蒐集來源與方式 32
3-4 資料分析方法 33
3-5 研究效度及信度 34
第四章個案研究 35
4-1 個案背景介紹 35
4-1-1 個案公司及部門簡介 35
4-1-2 導入動機 36
4-1-3 導入顧問背景介紹 37
4-1-4 內外部溝通協調機制 38
4-1-5 資訊安全認證機構 39
4-1-6 ISMS導入範圍 39
4-2 資訊安全管理系統導入及認證歷程 39
4-2-1 資訊安全政策規劃與維運分析 46
4-2-2 風險評鑑與管理作業 52
4-2-3 建置資訊安全管理系統 58
4-2-4 落實與稽核作業 64
4-2-5 驗證與結案作業 65
4-3 個案分析與小結 66
第五章結論 69
5-1 研究結論 69
5-2 管理意涵 73
5-3 研究限制 74
5-4 未來研究方向與建議 74
參考文獻 75
附錄一威脅與脆弱性評估表 77

參考文獻

【中文部分】
[1] 王振鴻 (1999) ，「全組織導入資訊安全管理系統的個案研究」，私立長庚大學資訊管理研究所碩士論文。
[2] 行政院主計處 (2010) ，「政府機構資通安全執行概況調查報告」。
[3] 行政院研究發展考核委員會 (1999) ，「行政院及所屬各機關資訊安全管理規範」。
[4] 行政院國家資通安全會報 (2005) ，「政府機關（構）資訊安全責任等級分級作業施行計畫」。
[5] 行政院國家資通安全會報 (2009) ，「政府機關（構）資訊安全責任等級分級作業施行計畫」。
[6] 李芳菁 (2010) ，「2010年台灣資訊市場—資訊硬體、資訊軟體市場」，資策會MIC，pp. 15。
[7] 林宏昇 (2008) ，「植基於ISO 27001標準建構資訊安全稽核決策之研究－以股務資訊系統為例」，國防大學管理學院資訊管理學系碩士論文。
[8] 林勤經、樊國楨、方仁威、黃景彰 (2002) ，「資訊安全管理系統建置工作之研究」，資訊管理研究，第四卷，第二期，pp. 43-65。
[9] 洪國興、季延平、趙榮耀 (2003) ，「組織制訂資訊安全政策對資訊安全影響之研究」，資訊管理研究，pp. 72-95。
[10] 徐弘昌 (2009) ，「以ISO 27001為基礎評估電信業資訊安全管理 - 以第一類電信業者為例」，國立交通大學管理學院碩士在職專班管理科學組碩士論文。
[11] 陳明泰 (2007) ，「資訊安全標準規範於軍中管理系統之應用」，樹德科技大學資訊管理學系碩士論文。
[12] 經濟部標準檢驗局 (2008) ，「CNS 14929-1資訊技術－安全技術－資訊與通訊技術安全管理－第1部:資訊與通訊技術安全管理概念與模型」，經濟部標準檢驗局。
[13] 雷誠久 (2007) ，「醫院資訊安全管理系統之探討」，國立東華大學資訊工程學系碩士論文。
[14] Yin R. K. (2002) ，個案研究設計與方法，第三版，周海濤等譯，台北市：五南圖書出版公司。
【英文部分】
[1] ISO/IEC 27000:2009, Information technology – Security techniques – Information security management systems – Overview and vocabulary.
[2] ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements.
[3] ISO/IEC 27002:2007, Information technology – Security techniques – Code of practice for information security management.
[4] ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management.
[5] Harris, H. (2010), CISSP All-in-One Exam Guide Fifth Edition, McGraw-Hill Osborne Media.
【網路部分】
[1] (ISC)2 (2011). “CISSP® - Certified Information Systems Security Professional.” Available online: https://www.isc2.org/cissp/default.aspx. (Downloaded: Apr 21, 2011)
[2] International Register of ISMS Certificates (2011), “Register Search (Version 205 February 2011)”. Available online: http://www.iso27001certificates.com. (Downloaded: Apr 21, 2011).
[3] iThome (2009) ，「行政院A級機關近9成通過ISO 27001資安認證，B級機關僅4成」，Available online: http://www.ithome.com.tw/itadm/article.php?c=54884. (Downloaded: Feb 2, 2011).
[4] 萬幼筠、蘇啟中 (2005) ，「資訊安全的下一張認證」，勤業眾信，Available online: http://www.deloitte.com/view/tc_TW/tw/41932/46531/58426/7cfa9387372fb110VgnVCM100000ba42f00aRCRD.htm. (Downloaded: Dec 12, 2010).

指導教授

宋鎧(Kai Sung)

審核日期

2011-6-21

推文