簡易檢索 / 詳目顯示
| 研究生: |
金天翼 Tien-Yi Chin |
|---|---|
| 論文名稱: |
以個案研究法探討組織ISMS之導入 |
| 指導教授: |
宋鎧
Kai Sung |
| 口試委員: | |
| 學位類別: |
碩士 Master |
| 系所名稱: |
管理學院 - 資訊管理學系在職專班 Executive Master of Information Management |
| 畢業學年度: | 99 |
| 語文別: | 中文 |
| 論文頁數: | 83 |
| 中文關鍵詞: | 風險管理 、資訊安全管理系統 、ISO 27001 、雲端產業 、資訊安全 |
| 外文關鍵詞: | Risk Management, ISO 27001, ISMS, Information Security, Cloud Industry |
| 相關次數: | 點閱:11 下載:0 |
| 分享至: |
| 查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報 |
當企業為了追求效率以及迅速因應環境的瞬息萬變,紛紛採用資訊科技協助執行各項業務時,就表示企業的資訊化程度越來越高,發生資安事故對企業造成的衝擊也隨之增加。為了強化資訊安全,降低風險發生的機率及衝擊,資訊安全管理系統 (Information Security Management System, ISMS) 已經成為全球各國政府與企業公認的資訊安全管理最佳參照與標準。
本研究以國內現今最熱門的雲端產業導入ISMS為例,從個案研究的角度,從ISMS的導入動機、差異分析作業、資產盤點與風險評鑑、建立資訊安全管理體系、教育訓練、內部稽核、管理審查、矯正預防措施,以及第三方驗證,最終在2011年初取得國際標準ISO/IEC 27001:2005認證,深入探討ISMS導入遭遇的困難與解決方式、導入的效益以及關鍵成功因素。
研究結果發現ISMS導入範圍是否包含企業的關鍵核心業務,決定了企業落實資訊安全的決心。藉由尋求專業資安顧問的協助,導入已獲得業界認可的資訊安全管理方法論,進行全方位的風險分析,從制度面將各個控制環節加以串聯。首先在資訊安全政策明確宣示組織保護的範圍,並建立資訊安全組織進行跨部門的溝通協調,讓員工清楚感受到高階主管的願景與決心。搭配適當的資安教育訓練,提升員工資訊安全意識,將資安深化於作業之中,最後使企業培養出自我持續改善的能力,進而達到企業永續經營的目的。
Organizations use Information Technology (IT) to enhance their effective and efficient responses for facing this rapid growing world. The more IT they adopt, the more information security incidents can happen and the more impact they can be. In order to improve information security and decrease the probability of risk occurrence, more and more government agencies and enterprises implement the best practice, Information Security Management System (ISMS), in the information security field.
This thesis is based on the case study, which is the process of an enterprise in the cloud industry to implementing ISMS. It includes the motivation of implementation, gap analysis, asset collection, risk assessment, ISMS establishment, awareness training, internal auditing, management review, corrective and preventive actions, and third party certification so that the enterprise obtained the international ISO/IEC 27001:2005 certificate in early 2011. The contribution of this thesis is to find the difficulties and solutions, benefits, and critical success factors while implementing ISMS.
The research result indicates that the organization’s determination of putting information security into practice is based on whether its core business function is included in the ISMS scope or not. By the assistance of professional information security consultants to implement ISMS via a recognized methodology in the industry, the organization can conduct comprehensive risk analysis and adopt information security controls from different perspectives. After declaring the implementation scope in information security policy and create a dedicated information security organization to have cross-teams’ communication and coordination, employees in the organization can fully understand the support and commitment of their senior management. Along with appropriate information security trainings to enhance employees’ information security awareness, the organization can fulfill the objective of continuous improvement and the purpose of long-run business operations.
【中文部分】
[1] 王振鴻 (1999) ,「全組織導入資訊安全管理系統的個案研究」,私立長庚大學資訊管理研究所碩士論文。
[2] 行政院主計處 (2010) ,「政府機構資通安全執行概況調查報告」。
[3] 行政院研究發展考核委員會 (1999) ,「行政院及所屬各機關資訊安全管理規範」。
[4] 行政院國家資通安全會報 (2005) ,「政府機關(構)資訊安全責任等級分級作業施行計畫」。
[5] 行政院國家資通安全會報 (2009) ,「政府機關(構)資訊安全責任等級分級作業施行計畫」。
[6] 李芳菁 (2010) ,「2010年台灣資訊市場—資訊硬體、資訊軟體市場」,資策會MIC,pp. 15。
[7] 林宏昇 (2008) ,「植基於ISO 27001標準建構資訊安全稽核決策之研究-以股務資訊系統為例」,國防大學管理學院資訊管理學系碩士論文。
[8] 林勤經、樊國楨、方仁威、黃景彰 (2002) ,「資訊安全管理系統建置工作之研究」,資訊管理研究,第四卷,第二期,pp. 43-65。
[9] 洪國興、季延平、趙榮耀 (2003) ,「組織制訂資訊安全政策對資訊安全影響之研究」,資訊管理研究,pp. 72-95。
[10] 徐弘昌 (2009) ,「以ISO 27001為基礎評估電信業資訊安全管理 - 以第一類電信業者為例」,國立交通大學管理學院碩士在職專班管理科學組碩士論文。
[11] 陳明泰 (2007) ,「資訊安全標準規範於軍中管理系統之應用」,樹德科技大學資訊管理學系碩士論文。
[12] 經濟部標準檢驗局 (2008) ,「CNS 14929-1資訊技術-安全技術-資訊與通訊技術安全管理-第1部:資訊與通訊技術安全管理概念與模型」,經濟部標準檢驗局。
[13] 雷誠久 (2007) ,「醫院資訊安全管理系統之探討」,國立東華大學資訊工程學系碩士論文。
[14] Yin R. K. (2002) ,個案研究設計與方法,第三版,周海濤等譯,台北市:五南圖書出版公司。
【英文部分】
[1] ISO/IEC 27000:2009, Information technology – Security techniques – Information security management systems – Overview and vocabulary.
[2] ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements.
[3] ISO/IEC 27002:2007, Information technology – Security techniques – Code of practice for information security management.
[4] ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management.
[5] Harris, H. (2010), CISSP All-in-One Exam Guide Fifth Edition, McGraw-Hill Osborne Media.
【網路部分】
[1] (ISC)2 (2011). “CISSP® - Certified Information Systems Security Professional.” Available online: https://www.isc2.org/cissp/default.aspx. (Downloaded: Apr 21, 2011)
[2] International Register of ISMS Certificates (2011), “Register Search (Version 205 February 2011)”. Available online: http://www.iso27001certificates.com. (Downloaded: Apr 21, 2011).
[3] iThome (2009) ,「行政院A級機關近9成通過ISO 27001資安認證,B級機關僅4成」,Available online: http://www.ithome.com.tw/itadm/article.php?c=54884. (Downloaded: Feb 2, 2011).
[4] 萬幼筠、蘇啟中 (2005) ,「資訊安全的下一張認證」,勤業眾信,Available online: http://www.deloitte.com/view/tc_TW/tw/41932/46531/58426/7cfa9387372fb110VgnVCM100000ba42f00aRCRD.htm. (Downloaded: Dec 12, 2010).
