姓名 |
陳聖崴(Shen-Wei Chen)
查詢紙本館藏 |
畢業系所 |
高階主管企管碩士班 |
論文名稱 |
資訊安全管理系統升級之個案研究
|
相關論文 | |
檔案 |
[Endnote RIS 格式]
[Bibtex 格式]
[相關文章] [文章引用] [完整記錄] [館藏目錄] 至系統瀏覽論文 ( 永不開放)
|
摘要(中) |
資訊科技快速進步,雲端、大數據、物聯網等技術已經成為企業提升競爭力的利器。企業組織的資訊安全管理,是否跟上科技進步腳步進而升級,顯得格外重要。
本研究依據國際化標準組織(International Organization for Standardization,ISO)27001資訊安全管理系統(Information Security Management System,ISMS),以個案研究法,選擇以石化業個案公司之ISO 27001:2005升級轉版至ISO 27001:2013過程為例,透過文獻、檔案記錄、長期直接觀察與參與性觀察,深入瞭解資訊安全風險控管流程,可經由ISO 27001轉版升級達到何種改善精進的效果為研究目的。為此研究目的,研究首先彙整比較「個案公司對於舊版標準與新版標準ISMS之間作法差異」,接著分析「個案公司因應新版標準ISMS的風險管理施作流程」,最後再分析「個案公司轉版認證後,是否提升企業之資訊安全績效」。研究發現,轉版後的ISMS流程,加入外部及內部議題,可以刺激思考新的弱點與威脅,有助於提升企業資訊安全管理績效。建立可以量測之量化ISMS績效管理指標,能夠落實資安日常管理。
資訊安全管理是企業風險管理之一,透過ISMS制度,從制度面的管理著手,結合工作簽核流程,輔以技術面並進,更能有效強化資安防護能力。 |
摘要(英) |
An enterprise can be more competitive by utilizing the rapidly advanced information technologies including Cloud, Big Data and Internet of Things (IoT). To keep up with the modern technology for information security management is crucial to the future of the company.
This study is based on the ISO (International Organization for Standardization) 27001 Information Security Management System (ISMS) and uses the case study method to examine the upgrade from the ISO 27001: 2005 version to the ISO 27001: 2013 one of the targeted petrochemical company. With data collected from literature reviews, archival records, long-term direct observations and participatory observations, we can understand more about the information security risk control process in order to improve ISMS. This study first, compared the differences between the old and the new version of ISMS, and then analyzed the case management process in response to the new ISMS version of risk management. The study finally analyzed whether the case company has enhanced its information security performance after the revision upgrade. The results show that the upgraded ISMS adding both external and internal issues can help identifying new weaknesses and threats to improve the performance of the information security management. The established measurable ISMS performance management indicators are also useful for daily management of the information security.
Information security management is one critical aspect of the risk management of an enterprise. By implementing the ISMS system, combined with the work approval process and supplemented by technical advances, we can enhance our security capability more effectively. |
關鍵字(中) |
★ 國際化標準組織27001 ★ 資訊安全管理系統 ★ 轉版 ★ 風險管理 |
關鍵字(英) |
★ ISO 27001 ★ IInformation Security Management System ★ Upgrade Version ★ Risk Management |
論文目次 |
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 3
1.3 研究目的及研究問題 4
1.4 論文架構 4
第二章 文獻回顧 6
2.1 資訊安全管理 6
2.2資訊安全管理體系統的演進過程 7
2.3 ISO/CNS 27001資訊安全管理系統 10
2.4 舊版標準與新版標準ISMS條款差異 14
2.4.1 「本文管理系統」差異 14
2.4.2 「附錄A控制措施」差異 17
第三章 研究方法 20
3.1 採用方法 20
3.2 研究對象 21
3.3 資料蒐集來源與方式 21
3.4 資料分析方法 23
第四章 個案分析 24
4.1 個案公司背景 24
4.1.1 個案公司簡介 24
4.1.2 個案公司資訊發展簡介 25
4.2個案公司ISMS轉版作法 27
4.2.1 個案公司ISMS新舊版差異分析 27
4.2.2 個案公司ISMS新舊版差異作法及風險評鑑流程差異說明 29
4.3 個案公司轉版後之持續施作 41
4.4 個案分析小結 44
第五章 結論 47
5.1 研究總結 47
5.2 管理意涵 50
5.3 研究限制 51
5.4 未來研究方向 51
參考文獻 52 |
參考文獻 |
中文文獻
1.Yin R. K.(2009),「個案研究設計與方法」,周海濤、李永賢、張蘅譯,台北市:五南圖書出版公司,2009年11月。
2.行政院新聞傳播處(2016),「林揆:資安即國安 全力提升國內資安人才質量」。行政院全球資訊網-即時新聞,2016年12月3日。(取自2017/9/29, http://www.ey.gov.tw/News_Content2.aspx?n=F8BAEBE9491FC830&s=E02628639261AC58)
3.林昱均(2017),「CEO們最頭痛的資安問題:IT系統被中斷、業務資訊遭影響」。NOWnews今日新聞,2017年5月2日。
4.林春吟(2015),「ISO 27001 2013轉版探討–以某政府機關為例」。國立中央大學資訊管理學系在職專班碩士論文。
5.林顯東(2015),「長春石化社群力APP之創新與應用」。新北市:宏典文化出版股份有限公司,2015年6月30日。
6.林顯東(2009),「數位物流革命–長春石化集團的e化、M化、U化」。新北市:宏典文化出版股份有限公司,2015年1月1日。
7.周哲賢、黃邦平(2015),勤業眾信聯合會計師事務所,「從ISO 27001 新版標準看企業資安管理之挑戰與因應」。台北市:財金資訊季刊No.83,2015年7月。
8.黃彥棻(2013),「新版ISO 27001:2013正式出爐,企業2015年適用新標準」。台北市:iThome電腦報,2013年11月15日。
9.黃泓銘(2012),「企業資訊安全體系(ISO 27001)導入之研究–以個案公司為例」。國立中央大學管理學院高階主管企管碩士班碩士論文。
10.經濟部標準檢驗局(2006),「CNS 27001資訊技術–安全技術–資訊安全管理–要求事項,X6049」,2006年6月16日。
11.經濟部標準檢驗局(2012),「CNS 31000風險管理–原則與指導綱要」,2012年8月16日。
12.經濟部標準檢驗局(2014),「CNS 27001資訊技術–安全技術–資訊安全管理–要求事項,X6049」,2014年4月24日修訂。
13.聞美晴(2015),金融聯合徵信,「資訊安全管理系統ISO 27001:2013與ISO 27001:2005差異說明」。台北市:金融聯合徵信第二十六期,2015年6月。
14.潘金妮(2016),「以ISO/CNS 27001探討資安管理作為成功關鍵因素之研究—以國軍某單位為例」。國防大學管理學院資訊管理學系碩士論文。
15.謝君豪(2016),「面對混合式資安風險管理挑戰」。台北市:iThome電腦報,2016年12月4日。
英文文獻
1. ISO (2005), ISO 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements.
2. ISO (2013), ISO 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements. |
指導教授 |
王存國
|
審核日期 |
2018-5-24 |
推文 |
facebook plurk twitter funp google live udn HD myshare reddit netvibes friend youpush delicious baidu
|
網路書籤 |
Google bookmarks del.icio.us hemidemi myshare
|