探討銀行業ISO/IEC 27001: 2005 資訊安全管理現況-以T 銀行為例

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：14

、訪客IP：3.145.104.139

姓名

張正宏(Cheng-hung Chang) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

探討銀行業ISO/IEC 27001: 2005 資訊安全管理現況-以T 銀行為例
(A Study on the ISO 27001: 2005 in Banking: Current Status of Information Security Mangement - A Case Study of T Bank)

相關論文

★ 技術商品銷售之技術人員關鍵職能探討	★ 資訊委外之承包商能力、信任及溝通與委外成效關係之個案研究
★ 兵工技術軍官職能需求分析-以某軍事工廠為例	★ 不同楷模學習模式對VB程式語言學習之影響
★ 影響採購「網路資料中心產品」因素之探討	★ 資訊人員績效評估之研究—以陸軍某資訊單位為例
★ 高職資料處理科學生網路成癮相關因素及其影響之探討	★ 資訊服務委外對資訊部門及人員之衝擊-某大型外商公司之個案研究
★ 二次導入ERP系統之研究-以某個案公司為例	★ 資料倉儲於證券產業應用之個案研究
★ 影響消費者採用創新數位產品之因素---以整合式手機為例	★ 企業合併下資訊系統整合過程之個案研究
★ 資料倉儲系統建置之個案研究	★ 電子表單系統導入之探討 - 以 A 公司為例
★ 企業資訊安全機制導入與評估–以H公司為例	★ 從人力網站探討國內資訊人力現況–以104銀行資料為例

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

[檢視]

[下載]

本電子論文使用權限為同意立即開放。
已達開放權限電子全文僅授權使用者為學術研究之目的，進行個人非營利性質之檢索、閱讀、列印。
請遵守中華民國著作權法之相關規定，切勿任意重製、散佈、改作、轉貼、播送，以免觸法。

摘要(中)

在高度競爭的環境下，銀行依賴資訊系統程度也日益增加。然而隨著資訊安全事件不斷發生，遵循一套良好規範的資訊安全管理系統 (Information Security Management System, ISMS)，將是落實資訊安全的重要環節。本研究以個案銀行作為研究對象，透過以ISO 27001 為基礎的問卷，調查133 項控制措施中對銀行最為關鍵的項目。此外，本研究亦調查員工在組織導入ISMS 後，對於其資訊安全幫助程度及行政效率影響程度的認知。
研究結果發現，對銀行而言共有10 項關鍵措施，分別為「人力資源管理」構面的1 項；「安全政策」、「資訊安全的組織」與「實體與環境安全」構面各有2項以及「通訊與作業管理」構面的3 項。因此銀行在導入ISMS 時，可針對相關的控制措施特別著墨並投入較多的資源。
另外，研究發現組織導入ISMS 後不僅對於資訊安全有所助益，對於行政效率也沒有產生負面的影響。有鑑於此，建議尚未導入ISMS 的銀行，可以審慎評估導入的可行性，以增強組織的資訊安全。除此之外，受訪者對於「ISMS 對組織資訊安全的幫助程度」可能會因為不同科別與職等的特性，導致態度上有所差異。所以組織亦可在導入ISMS 時，考量不同群體的特質，提出對應的措施。

摘要(英)

In a highly competeive enronment, banks rely more and more on infromation security system. However, with the incresing information secutiry incidents, it would be very important for banks to follow a well-defined information security management system (ISMS). This research takes a bank as the case study. The researcher wants to find out those important controls among those 133 ones based on the questionaries of ISO 27001. Besides, this study also wants to find out if it helps or promotes staff’’s understanding towards administration effect after implementing ISMS.
This study finds out there are ten key controls for bank. There are one control that comes form human resources security, six from security policy, orgination of imformation security, physical and environmental security, and three form communications and operations management. As a result, when implementing ISMS, banks should put more importance and human resource on those related meausres.
What’’s more this study also finds that implementing ISMS not only helps the imformation security but also does no negative effect to the administration effiency. As a reuslt, the researcher suggests banks which do not implement ISMS could take the possibilty of implementing ISMS into serious consideration to reinforce the information security of the orgination. Besides, the attitude of interviewers towards "the level that ISMS helps imformation security of banks" differs from different departments and job. Therefore, when an orgination could take this into consideration when implementing ISMS and find out its solution.

關鍵字(中)

★ 銀行
★ 資訊安全
★ ISO 27001
★ 資訊安全管理系統

關鍵字(英)

★ ISMS
★ ISO 27001
★ Information Security
★ Information Security Management System
★ Bank

論文目次

摘要 .............................................................................................................. i
Abstract .............................................................................................................. ii
致謝 ............................................................................................................. iii
目錄 ............................................................................................................. iv
圖目錄 ............................................................................................................. vi
表目錄 ............................................................................................................ vii
第一章緒論 ...................................................................................................... 1
1.1 研究背景與動機 .............................................................................................. 1
1.2 研究目的與貢獻 .............................................................................................. 2
1.3 研究範圍 .......................................................................................................... 3
1.4 論文架構 .......................................................................................................... 3
第二章文獻探討 ............................................................................................... 5
2.1 資訊安全定義及目標 ...................................................................................... 5
2.2 資訊安全的威脅 .............................................................................................. 7
2.3 資訊安全事件案例 ........................................................................................ 10
2.4 資訊安全標準介紹 ........................................................................................ 13
2.5 資通安全分級 ................................................................................................ 19
第三章研究方法 ............................................................................................. 22
3.1 個案研究簡述 ................................................................................................ 22
3.2 研究對象 ........................................................................................................ 23
3.3 研究工具 ........................................................................................................ 24
第四章研究結果與討論 .................................................................................. 26
4.1 個案銀行背景簡介 ........................................................................................ 26
4.2 受訪者基本資料分析 .................................................................................... 27
4.3 資訊安全控制措施重要度分析 .................................................................... 31
4.4 實際查核結果對照 ........................................................................................ 49
4.5 導入ISMS 對於組織影響 ............................................................................. 53
4.6 小結 ................................................................................................................ 60
第五章結論與建議 ......................................................................................... 61
5.1 研究結論 ........................................................................................................ 61
5.2 實務建議 ........................................................................................................ 62
5.3 研究限制 ........................................................................................................ 62
5.4 未來研究方向 ................................................................................................ 63
參考文獻 ........................................................................................................... 64
中文部份 .................................................................................................................... 64
英文部份 .................................................................................................................... 65
網路文獻 .................................................................................................................... 66
附錄一問卷內容 ............................................................................................. 68
附錄二本研究問卷評核項目與ISO 27001 附錄A 對照表 .............................. 75

參考文獻

中文部份
1. 王振鴻 (2009)，「全組織導入資訊安全管理系統的個案研究」，長庚大學資訊管理學研究所碩士論文。
2. 吳琮璠、謝清佳 (2003)，資訊管理：理論與實務，臺北市，智勝出版社。
3. 李順仁 (2007)，資訊安全（第二版），臺北市，文魁資訊。
4. 杜偉欽 (2006)，「結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究」，國立成功大學工程科學研究所碩士論文。
5. 周宣光 (2007)，管理資訊系統--- 管理數位化公司 (Management Information Systems: Managing the Digital Firm)（第7版），臺北市，東華書局。
6. 林宏昇 (2008)，「植基於ISO27001標準建構資訊安全稽核決策之研究－以股務資訊系統為例」，國防大學國防管理學院國防資訊研究所碩士論文。
7. 林麗英 (2010)，「資訊安全管理系統績效評估之研究－以檔案管理局為例」，朝陽科技大學資訊管理研究所碩士論文。
8. 周海濤、李永賢、張蘅譯 (2009)，個案研究-設計與方法，臺北市，五南圖書。Yin, R. K. 原著 (1994)。
9. 侯皇熙 (2004)，「植基於BS7799探討政府部門的資訊安全管理 ─ 以海關資訊部門為例」，國立成功大學工程科學系專班碩士論文。
10. 翁文笛 (2004)，「資訊安全廣告之整體趨勢變化與廣告表現探討」，國立中山大學傳播管理研究所碩士論文。
11. 黃彥男、高天助、林劍秋 (2011)，世界經濟論壇「網路整備度」評比分析與展望. 研考雙月刊，35(4)，143-148。
12. 葉乃菁、李順仁 (2004)，網路安全理論與實務，臺北市，文魁資訊。
13. 羅英嘉 (2008)，CISSP與資訊安全基礎技術，臺北市，財團法人資訊工業策進會數位教育研究所。
英文部份
1. Boehmer, W. (2008). Appraisal of the Effectiveness and Efficiency of an Information Security Management System Based on ISO 27001. The Second International Conference on Emerging Security Information, Systems and Technologies (224-231). IEEE.
2. Department of Defense. (2010). Department of Defense Dictionary of Military and Associated Terms.
3. IBM (1984). IBM Data Security Support Programs.
4. ISO/IEC. (2005). ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements.
5. ISO/IEC. (2007). ISO/IEC 27002:2007 Information technology – Security techniques – Code of practice.
6. OECD. (1992). OECD Guidelines for the Security of Information Systems.
7. Parker, D.B. (1997). The Strategic Values of Information Security in Business. Computers & Security, 16(7), 572-582.
8. Schneider, E.C., & Therkalsen, G.W. (1990). How Secure Are Your System? Avenues to Automation, 68-72.
9. Yin, R. K. (2009). Case study research: Design and methods (4th ed.). Thousand Oaks, CA: Sage.
10. Von Solms, R. (1997). Driving Safely on the Information Superhighway. Information, 5(1), 20-22.

網路文獻
1. CERTR Coordination Center (February 12, 2009), “CERT Statistics” [Announcement]. Retrieved April 26, 2012, from the World Wide Web: http://www.cert.org/stats/cert_stats.html
2. Computer Security Institute (2011), “CSI Computer Crime and Security Survey 2010/2011”. Retrieved April 26, 2012, from the World Wide Web: http://gocsi.com/survey
3. International Register of ISMS Certificates (n.d.), “Number of Certificates Per Country” [Announcement]. Retrieved April 12, 2012, from the World Wide Web: http://www.ISO27001certificates.com
4. 中華民國教育部（無日期），「教育部重編國語辭典修訂本」，2012年4月19日，取自：http://dict.revised.moe.edu.tw
5. 主計處電子處理資料中心 (2011)，「99年電腦應用概況報告」，2012年4月19日，取自：http://www.dgbas.gov.tw/public/Attachment/193017144571.pdf
6. 全國標準化網站（無日期），「國際標準化組織 (International Organization for Standardization, ISO)」，2012年4月26日，取自：http://www.std.org.tw/program/webDocument.asp?DocuNo=09600037
7. 行政院國家資通安全會報技術服務中心 (2012)，「資安新聞」，2012年4月26日，取自：http://www.icst.org.tw/index.aspx
8. 林宜隆（無日期），「我國資通安全專業人才規劃之探討」，2012年4月19日，取自：www.pra.cpu.edu.tw/paper/4/9.pdf
9. 國家資通安全會報（無日期），「各政府機關(構)落實資安等級實行計劃」，2012年4月19日，取自：http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CFEQFjAA&url=http%3A%2F%2Fwww.ntrc.edu.tw%2Fregulation%2Fsecurity_level.pdf&ei=nN-9T7e9OeegmQXw08E1&usg=AFQjCNETYEt_FsAl_1By8nGwlKbezp0j6Q&sig2=EglDVlArZ95OxygtZ4pWGw
10. 萬事達、威士卡遇駭千萬用戶遭殃（2012年3月31日），世界新聞網，2012年4月19日，取自: http://www.worldjournal.com/view/aUSnews/18066370/article-%E8%90%AC%E4%BA%8B%E9%81%94%E3%80%81%E5%A8%81%E5%A3%AB%E5%8D%A1%E9%81%87%E9%A7%AD-%E5%8D%83%E8%90%AC%E7%94%A8%E6%88%B6%E9%81%AD%E6%AE%83?instance=hot_us
11. 資策會FIND（2012年1月10日），「2011年9月底止台灣上網人口」，2012年4月19日，取自：http://www.find.org.tw/find/home.aspx?page=many&id=304

指導教授

周惠文(Huey-wen Chou)

審核日期

2012-7-21

推文