跳到主要內容

簡易檢索 / 詳目顯示

回結果列表
研究生: 張芳珍
Fang-Chen Chang
論文名稱: 以BS7799落實資訊安全管理-管理類資訊資產分類與控管
指導教授: 范錚強
Cheng-Kiang Farn
口試委員:
學位類別: 碩士
Master
系所名稱: 管理學院 - 資訊管理學系在職專班
Executive Master of Information Management
畢業學年度: 93
語文別: 中文
論文頁數: 52
中文關鍵詞: 資訊安全資訊資產分類與控管BS7799
外文關鍵詞: BS7799, Classification and Control, Information Security, Information Assets
相關次數: 點閱:11下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 資訊安全管理已是當今不可忽視的管理議題,其主要之精神乃在於辨識出組織的重要資訊資產及其所面臨的威脅,並在資源有效地分配下,規畫合理之控管措施,以使得風險降至企業可接受範圍。這是一個風險管理的過程,管理的重點應放在組織機密資料的保護,而非所有資訊資產存取的管道上,因為如此將造成企業的成本浪費並模糊失焦。近年來國內外層出不窮的資訊安全事件,多為缺乏上述資訊安全風險管理機制所致。
    本論文為一項實務規畫研究,依據BS7799國際安全規範,針對個案公司情境和需求進行規畫和建議。從數個國內外資訊安全事件的檢討,反思一般企業或機構在資訊安全管理上的不足,並試圖從案例歸納管理類資訊資產在分類與控管上的重點。同時依據國際標準BS7799的規範,及實務上部份機構所採用的管理類資訊資產分類與控管的方法,分析歸納可供個案公司採行之建議方案。

    目 錄 摘 要 I 誌 謝 辭 II 第一章 緒論 1 第一節 研究背景與動機 1 第二節 研究目的與問題 6 第三節 研究範圍 6 第四節 研究進行方式 7 第二章 文獻探討 8 第一節 資訊安全管理議題的演進 8 第二節 國際概況 12 第三節 國內概況 20 第四節 小結 22 第三章 個案公司簡介 24 第一節 個案公司基本資料 24 第二節 個案公司之資訊特性 24 第四章 資訊資產分類與控管方法分析 26 第一節 資訊資產等級定義 26 第二節 資訊資產等級之變動性 28 第三節 資訊資產分類之決定方法 30 第四節 資訊資產分類等級決定之進行方式 34 第五節 資訊資產分類之控管 34 第五章 結論與建議 39 第一節 研究結論與規畫建議 39 第二節 未來研究建議 39 參考文獻 41

    參考文獻
    【中文部分】
    1. 王凱,「資訊安全市場發展現況與趨勢」,財團法人資訊工業策進會 資訊市場情報中心,2003年。
    2. 朱延智,企業危機管理(Business Crisis Management)第二版,台北:五南,2003 年。
    3. 李東峰,企業資訊安全控管決策之研究—從組織決策理論觀點探討,國立中央大學資訊管理研究所博士論文,2003年。
    4. 林震岩,「資訊系統與組織配合關係之研究」, 國科會研究成果報告,1996年。
    5. 徐國祥,「逐步堅實推動國家資通安全防護─專訪政務委員林逢慶」,資安人雜誌,2005年。
    6. 黃亮宇,資訊安全規畫與管理,松岡電腦圖書,台北,1992年。
    7. 曾茹萍,「你的資訊安全嗎? 66億「危險」新商機」,e天下雜誌,2002年。
    8. 楊迺仁,「不重視資訊安全,不配當主管」,管理雜誌,2003年,第356期。
    9. 資訊安全管理系統(ISMS)---CNS 17800標準介紹,經濟部標準檢驗局,91年11月28日公告。
    10. 潘建光,「伺服器發展新趨勢與資訊應用新時代」,財團法人資訊工業策進會 資訊市場情報中心,2004年。
    11. 樊國楨、徐鈺宗、楊仲英、李孝詩,「美國聯邦政府資訊安全管理系統稽核作業與相關標準初探」,2004年10月。
    12. 盧興義,危機管理在資訊安全上之研究-以防範「組織內部人員不當竊取」為例,大葉大學事業經營研究所碩士論文,2004年。
    【英文部分】
    13. BS 7799-2 – Information Security Management – Part2: Specification for Information Security Management Systems, BSI (British Standards Institution), 1999.
    14. Davis, G. B. and Olson, M. H., Management Information System: Conceptual Foundations, Structure and Development, New York, McGraw-Hill, 1985.
    15. IBM, IBM Data Security Support Programs, 1984.
    16. ISO/IEC 17799 – Information technology – Code of Practice for Information Security Management, First edition, ISO, 2000.
    17. ISO/IEC 17799 News, Asian Edition, March, 2005.
    18. Lewis, B.R., Synder, C.A., and Raiiner, R.K., “An Empirical Assessment of the Information Resource Management Construct,” Journal of Management Information Systems, Summer 1995, 12:1, 199-223.
    19. Parker D.B., “Information Security in a Nutshell,” Information Systems Security, Spring, 1997.
    【網站部分】
    20. 王宇平,「異地備援讓新碁從大火中快速重建-東科園區受災廠戶新碁總經理郭承和專訪」,資安人,http://www.isecutech.com.tw/feature/view.asp?fid=14, <Accessed, Jun/11/2005>
    21. 中華民國交通部民用航空局,民航運輸統計, http://www.caa.gov.tw/big5/statistics/, <Accessed, Jun/19/2005>
    22. 東森新聞報,「華航將募資60~90億 惟負面衝擊多 恐不利辦現增或CB」,社團法人中華民國民航飛行員協會,<Accessed, Jun/21/2005>
    23. 財政部臺灣省北區國稅局,「資訊安全政策」, http://www.ntx.gov.tw/FrontEnd/otherfiles/ntx_sec.doc, <Accessed, May/23/2005>
    24. 黃敦硯、黃以敬、許敏溶, 「19歲駭客 入侵大考中心」,自由新聞網,http://www.libertytimes.com.tw, <Accessed, Jun/11/2005>
    25. 編輯部, 「2004年回顧:資安漏洞 處處陷阱」, CNET Networks, Inc, http://taiwan.cnet.com/news/special/, <Accessed, Jan/4/2005>
    26. 賽門鐵克公司,「遵循沙氏法案規範之道」, http://information-integrity.symantec.com.tw/article.cfm?articleid=296#KEY, <Accessed, May/27/2005>
    27. Bruce Moulton, 「巴賽爾協定第二部:操作性風險與資訊安全」,http://www.symantec.com/region/tw/enterprise/article/basel.html, <Accessed, Dec/6/2004>
    28. Chief Information Officer, “Data Classification Security Policy,” http://my.gwu.edu/files/policies/DataClassificationPolicy.pdf, <Accessed, May/24/2005>
    29. Cumbria Constabulary, “Government Protective Marking Scheme Policy,” http://www.cumbria.police.uk/aboutus.htm, <Accessed, May/23/2005>
    30. Cyber-Defense, http://www.cyber-defense.org/tools/asset_classification_example.doc, <Accessed, May/24/2005>
    31. Data Classification, http://www.yourwindow.to/information-security/gl_dataclassification.htm, <Accessed, May/23/2005>
    32. Dawn Kawamoto, 「時代華納遺失60萬人事資料」, Taiwan.CENET.com : 新聞專區, http://taiwan.cnet.com, <Accessed, May/7/2005>
    33. George Washington University, “Data Classification Policy”, http://my.gwu.edu/files/policies/DataClassificationPolicy.pdf, <Accessed, May/23/2005>
    34. HIPAA Readiness Collaborative Security Policies Committee, “Data Classification Policy,” http://www.hhic.org/hipaa/documents/Data%20Classification%20Policy%20Rev%20-%20FINAL.doc, <Accessed, May/24/2005>
    35. ISMS International User Group, “Certificate Register”, http://www.xisec.com/, <Accessed, Mar/9/2005>
    36. Joris Evers, 「信用卡資料外洩案 惡意程式搞的鬼」, Taiwan.CENET.com : 新聞專區, http://taiwan.cnet.com, <Accessed, Jun/23/2005>
    37. NIST, “International Standard ISO/IEC 17799: 2000 Code of Practice for Information Security Management,” November 2002, http://csrc.nist.gov/publications/secpubs/otherpubs/reviso -faq.pdf , <Accessed, May/2003>
    38. OLC Group, 20050316_01en.pdf, http://www.olc.co.jp/en/utility/sitemap.html, <Accessed, Apr/1/2005>
    39. Todd R. Weiss, “Scope of bank data theft grows to 676,000 customers,” COMPUTERWORLD, http://www.computerworld.com/securitytopics/security/cybercrime/story/0,10801,101903,00.html, <Accessed, Jun/11/2005>

    QR CODE
    :::