English  |  正體中文  |  简体中文  |  Post-Print筆數 : 27 |  Items with full text/Total items : 113311/144292 (79%)
Visitors : 50940351      Online Users : 942
RC Version 6.0 © Powered By DSPACE, MIT. Enhanced by NTU Library IR team.
Scope Tips:
  • please add "double quotation mark" for query phrases to get precise results
  • please goto advance search for comprehansive author search
  • Adv. Search
    HomeLoginUploadHelpAboutAdminister Goto mobile version
    政大機構典藏 > 商學院 > 資訊管理學系 > 學位論文 >  Item 140.119/31043
    Please use this identifier to cite or link to this item: https://nccur.lib.nccu.edu.tw/handle/140.119/31043


    Title: 資訊安全「影響因素與評估模式」之研究
    Authors: 洪國興
    Contributors: 季延平
    趙榮耀



    洪國興
    Keywords: 資訊安全管理
    資訊安全管理理論
    整合系統理論
    安全政策模式
    成功關鍵因素
    多準則評估
    資訊安全評估模式
    Date: 2002
    Issue Date: 2009-09-14 09:08:36 (UTC+8)
    Abstract:   由於資訊科技的快速進步,電子商務的盛行,組織的資訊環境隨之大幅變遷,資訊系統用者已由組織內部的特定人員,迅速擴大到無國界而不特定的任何人,組織對資訊系統的依賴亦日益加深,凡此種種,都使得組織的資訊安全面臨空前的挑戰。世界各地每天都在上演著,無孔不入的網路入侵,組織內部的人謀不臧,及層出不窮的各種災害,因此,舉世無不對資訊安全更加的重視,期望資訊安全管理理論能作為組織資訊安全管理之策略方針,建構一個與技術無關的資訊安全管理系統,並評估此一系統的有效可行,實為本研究之目標。

    本研究經由文獻探討,實務觀察,將資訊安全管理理論歸納為:安全政策理論、風險管理理論、控制與稽核理論、管理系統理論、權變理論等五種,繼而針對上開理論之不足與侷限,建構資訊安全管理之「整合系統理論」,以因應組織資訊安全管理循序程序與權變程序之需,此一理論包括:安全政策、風險管理、內部控制與資訊稽核,以權變管理為基礎的資訊安全管理架構。繼而以「整合系統理論」之權變程序與「安全政策理論」為基礎,發展「安全政策模式」,進行因徑分析,經驗證結果,「組織性質」與「資訊組織規模」之大小會影響「資訊安全政策制定時間」之早晚,「資訊安全政策」會影響組織「資訊安全之提昇」,且其兩者之間有因果關係。

    本研究進而建構「影響資訊安全因素架構」,就資訊安全影響因素66項,對資訊人員進行問卷調查,經以因素分析結果,萃取八個因素構面,再以「整合系統理論」為基礎,轉化為「影響資訊安全關鍵因素架構」,包含8個關鍵因素構面。本研究以上開研究為基礎繼續發展「資訊安全評估總體指標」之層級結構,含9項評估構面,其最底層之評估準則共37項。繼而以層級程序分析法(AHP)就資訊安全評估總體指標各評估構面與評估準則進行權重評估,其評估構面權重之重要程度,依序為:「安全政策與資源」、「人員安全」、「存取控制」、「系統與網路」、「風險管理」、「實體安全」、「業務持續運作」、「資訊稽核」、「軟體管理」等,再結合目標,評估構面與評估準則之權重,建構「資訊安全多準則評估模式」。

    本研究進而以實務探討及個案研究,驗證研究結果之可用性,對於組織解決資訊安全問題之管理、產品與工具、委外服務之策略,及資訊安全管理程序等,經訪查結果顯示:組織解決資訊安全問題,具有權變管理的多元程序之特性,並發展諸多命題。又以真實個案採用「資訊安全多準則評估模式」,進行資訊安全評估,經驗証結果顯示模式的可用性。
    Reference: 中文部分
    1.Clyde, R. A. (2002), 資安著重管理架構,資訊傳真周刊,Nov.4, 2002, PP.46- 47。
    2.TCSEC(2003), 可信賴系統評估準則 (Trusted Computer System Evaluation Criteria, TCSEC), http : //www.rdec.gov.tw/mis/standard 92/ipcs/tcsec.htm
    3.刀根薰著(1993),陳名揚譯,競賽式決策制定法-AHP入門,建宏書局。
    4.尤焙麟、謝侑純與王子敬譯(2002),Maiwald, E.原著(2001),網路安全入門手冊,美商麥格羅、希爾國際公司台灣分公司。
    5.文茂平、余俊賢(2001),從Y2K與供應鏈角度看企業IT人員如何推廣資訊安全實例探討,資訊系統可信賴作業體制研討會論文集,PP.58-79。
    6. 方溪泉(1994),AHP與AHP實例應用比較-以高架橋下使用方案評估為例,國立中興大學都市計劃研究所碩士論文。
    7. 王國明、顧志遠與洪振創(1998),服務業績效評估模式建立理論與應用研究,國家科學委員會專題研究計畫成果報告(NSC87-2213-E-155-006)。
    8. 立駭科技(2002),資訊安全委外服務研究,資訊與電腦,12月,PP.33-38。
    9. 行政院主計處電子處理資料中心(2002a),九十年度資訊安全稽核報告。
    10. 行政院主計處電子處理資料中心(2002b),行政院及所屬各機關資訊安全管理規範,資訊安全手冊,第三版,PP.28-77。
    100. 劉達餘(1988),電腦資訊安全入門,松崗電腦圖書資料有限公司。
    101. 樊國楨(1995),網際網路與資訊安全,電腦與通訊,第45期,12月。
    102. 樊國楨(1999),COBIT資訊及其相關技術控管目標與應用簡介,內部稽核會訊第29期。
    103. 樊國楨、方仁威與林勤經(2001a),資訊安全管理稽核概要-以電子銀行為例,資訊系統可信賴作業體制研討會論文集,PP.169-185。
    104. 樊國楨、方仁威與林勤經(2001b),美國聯邦存款保險公司電子銀行安全與穩健檢查程序淺介,財金資訊,Vol.19, PP.23-27。
    105. 樊國楨、方仁威、林勤經與徐士坦(2001c),資訊安全管理系統驗證作業初探,建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書,經濟部標準檢驗局委辦計畫,PP.105-125。
    106. 樊國楨、方仁威與徐士坦(2001d),建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書,經濟部標準檢驗局委辦計畫,PP.1-52。
    107. 樊國楨、方仁威與林勤經(2001e),金融服務業資訊安全指導方針概述,財金資訊,Vol.19, PP.10-13。
    108. 樊國楨、時崇德(2000),一般認同系統安全原則與通資系統的永續經營計畫初探,建立我國通資訊基礎建設安全機制研究報告書(參考資料),國家安全局,PP.256-300。
    109. 樊國楨、楊晉寧(1996),互連網(Internet)電子信息交換安全-以電子公文交換作業安全為本,電腦稽核,PP.14-25。
    11. 行政院研考會(2002),電子商務風險與管理。
    110. 蔡興樺(2001),從ISO/TR 13569談金融機構之資訊安全,財金資訊,Vol.19, PP.14-17。
    111. 鄭信一(1999),現代企業資訊安全之個案研究,銘傳大學管理科學研究所碩士論文。
    112. 鄭進興、林進皇、陳嘉玫與陳年興(2003), 看準資訊安全走勢保平安-資訊安全防護與安全事件處理,資訊安全,Vol.12, PP.12-18。
    113. 鄧永基(2001),資訊安全管理系統簡介講義,重點行政機關資訊安全政策管理實務研習會。
    114. 鄧永基、張美月(2002),資安管理制度PDCA四部曲,資訊安全,Vol.11, PP.18-21。
    115. 鄧永基、張美月(2003), ISMS教戰守則,資訊安全,Vol.12, PP.29-32。
    116. 鄧家駒(1998),風險管理之理念與執行策略,風險評估與管理論文集,華泰文化公司,PP.35-57。
    117. 鄧振源(2002),計畫評估方法與應用,海洋大學運籌規劃與管理研究中心。
    118. 鄧振源、曾國雄(1989a),層級分析法(AHP)的內涵特性與應用(上),中國統計學報,第27卷,第6期,PP.13707-13724。
    119. 鄧振源、曾國雄(1989b),層級分析法(AHP)的內涵特性與應用(下),中國統計學報,第27卷,第7期,PP 13767-13786。
    12. 何全德(2000),從駭客入侵淺談網路安全防護策略,資訊與教育。
    120. 盧彥旭(2001),資訊系統委外選商評選準則及權重之建立,世新大學資訊管理學系碩士論文。
    121. 蕭建興(2000),運用多準則評估方法於新銀行經營績效評估之研究,朝陽科技大學財務金融系碩士論文。
    122. 蕭富元(1999),證券業網路下單稽核環境之研究,淡江大學資訊管理學系碩士論文。
    123. 賴溪松、葉育斌(2001),資訊安全入門,全華科技圖書公司。
    124. 謝安田(1983),企業研究方法。
    125. 謝育文(1985),分析層級程序法(AHP)應用在我國個人電腦用印表機開發之研究,國立台灣商學研究所碩士論文。
    126. 謝玲芬(1989),多目標(多準則)評估技術之探討及其在組織績效評估之應用,國立清華大學工業工程研究所碩士論文。
    127. 謝清佳、吳琮璠(1999),資訊管理-理論與實務,資訊管理智勝文化事業。
    128. 闕頌廉(1994),應用模糊數學,3版,科技圖書公司,PP.143-67。
    英文部分
    13. 何育德(1999),美國金融機構電腦使用開放系統與主從架構的電腦稽核作業之研究,中央存款保險公司。
    1. Aaker, D. A. (1984), Strategic Market Management.
    2. Anderson, J. M. (2003), Why we Need a New Definition of Information Security, Computers & Security, Vol.22, No.4, PP.308-313.
    3. AS 4444 (1996), Australian / New Zealand Standard : Information Security Management.
    4. Bacharach, S. B. (1989), Organizational Theories : Some Criteria For Evaluation, Academy of Management Review, Vol. 14, No.4, PP.496-515.
    5. Bhimani, A. (1996), Securing the Commercial Internet Communications of the ACM, Vol.39, No.6, Jane, PP29-35.
    6. Bonoma, T. V. (1985), Case Research in Marketing: Opportunities, Problems, and a Process, Journal of Marketing Research, Vol.22, May 1985, PP.199-208.
    7. Bryman, A. & Cramer, D. (1997), Quantitative Data Analysis With SPSS for Windows, London : Routledge.
    8. BS7799-1 (1999), Information Security Management-Part1 : Code of Practice for Information Security Management, BS 7799-1 : 1999, British Standards Institution (BSI), London.
    9. BS7799-2 (1999), Information Security Management Part2 : Specification for Information Security Management System, BS 7799-2 : 1999, British Standards Institution (BSI), London.
    10. BS7799-2 (2002), Information Security Management Systems-Specification With Guidance for use, BS 7799-2 : 2002, British Standards Institution (BSI), London.
    14. 余幸真(2001),學習性網站關鍵因素之研究,實踐大學企業管理研究所碩士論文。
    11. Caelli, W. , Longley, D. & Shain, M. (1989), Information Security for Managers, Stockton Press, New York.
    12. Carter, D. L. & Katz, A. J. (1996), Computer Crime and Security : the Perceptions and Experiences of Corporate Security Directors, Security Journal, 7, 1996, PP.101-108.
    13. Chan, M. T. & Kwok, L. F. (2001) Integrating Security Design Into the Software Development Process for e-Commerce Systems, Information Management & Computer Security, 9/3, PP.112-122.
    14. Chapman, D. B. & Zwicky, E. D. (1995), Building Internet Firewalls, O’Reilly & Associates.
    15. Cheon, M. J., Grover, V. & Teng, J. I. T., (1995), Theoretical Perspectives on the Outsourcing of Information Systems, Journal of Information Technology, 10, PP.209-219.
    16. Ciechanowicz, Z. (1997), Risk Analysis : Requirements, Conflicts and Problems, Computer & Security, Vol.16, No.3, PP.223-232.
    17. COBIT (1998), Governance, Control and Audit for Information and Related Technology, 3rd Edition Control Objectives.
    18. Cohen, F. (1997), Information System Attacks : A Preliminary Classification Scheme, Computers and Security, Vol.16, Issue1, PP.26-47.
    19. Cozby, P. C. (1981), Methods in Behavioral Research, 2nd ed., Palo Alton, California : Mayfield Publishing Co.
    20. Daniel, D. R (1961), Management Information Crisis, Harvard Business Review, September-October 1961, PP.111-121.
    15. 吳青松(1992),臺灣資訊電子業關鍵成功因素之探討,科技體制與產業發展小型研討會。
    21. David, C. & Rivett, B. H. P. (1978), A Structural Mapping Approach to Complex Decision Making, Journal of Operational Society, Vol.29, No.2, PP.113-128.
    22. De Vellis, R. F. (1991), Scale Development Theory and Applications. London : SAGE.
    23. Dellecave, T. Jr. (1996), Insecurity : Is Technology Putting Your Company’s Primary Asset-It’s Information-At Risk? Sales & Marketing Management, Apr., PP.39-50.
    24. Dhillon, G. & Backhouse, J. (2000), Information System Security Management in the New Millennium, Communication of the ACM, Vol.43, No.7, July 2000, PP.125-128.
    25. Dhillon, G. & Moores, S. (2001), Computer Crimes : Theorizing about the Enemy Within, Computers & Security, Vol.20, No.7, PP.715-723.
    26. Dixon, R. , Marston, C. & Coller, P. (1992), A Report on The Joint CIMA and A Computer Fraud Survey, Computer & Security Vol.11, No.4, July.
    27. Doughty, K. (2003) Implementing Enterprise Security : A Case Study Computers & Security, Vol.22, No.2, PP.99-114.
    28. Drazin, R. & Van de Ven, A.H. (1985), Alternative Forms of Fit in Contingency Theory, Administrative Science Quarterly, 30, PP.514-539.
    29. Dubin, R. (1976), Theory Build in Applied Area, Dunnette M.(ed), in Handbook of Industrial and Organizational Psychology, (Rand Mc Nally : Chicago), PP.17-40.
    30. Ein-Dor, P. & Segev, Z. (1978), Organizational Context and the Success of Management Information System, Management Science, 24(10), PP.1046 -1077.
    16. 吳思華(1988),產業政策與企業策略,中華經濟研究所。
    31. Ellison, R. J. etal. (1999), Survivable Network System Analysis : A Case Study, IEEE Software, PP.70-77.
    32. Eloff, J. H. P. (1988), Computer Security Policy : Important Issues, Computer & Security, 7 (6), PP.559-562.
    33. Eloff, M. M. & Von Sloms, S. H. (2000a), Information Security Management : An Approach to Combine Process Certification And Product Evaluation, Computers & Security, Vol.19, No.8, PP.698-709.
    34. Eloff, M. M. & Von Solms, S. H. (2000b), Information Security management : A Hierarchical Framework for Various Approaches Computers & Security, Vol.19, No.3, PP.243-256.
    35. Ettinger, J. E. (1993), Key Issues in Information Security, Information Security, Chapman & Hall, London, PP.1-10.
    36. Fenn, C., Shooter, R. & Allan, K. (2002), IT Security Outsouring-How Safe is your IT Security?, Computer Law & Security Report. Vol.18, No.2, PP.109-111.
    37. Ferguson, C. R. & Dickinson, R. (1982), Critical Success Factor or Directors in the Eighties, Business Horizons, May-June 1982, PP.14-18.
    38. Finne, T. (1998a), A Conceptual Framework for Information Security Management, Computer & Security, Vol.17, No.4, PP.303-307.
    39. Finne, T. (1998b), A Decision Support System for Improving Information, Turku Centre for Computer Science, TUCS Dissertations.
    40. Finne, T. (2000), Information Systems Risk Management : Key Concepts and Business Processes, Computers & Security, Vol.19, No.3, PP.234-242.
    17. 吳琮璠(1996),國外政府機構資訊系統安全稽核制度,存款保險資訊季刊,第10卷,第2期,PP.21-40。
    41. Fisch, E. A. & White, G. B. (1999), Secure Computer and Networks : Analysis, Design, and Implementation, CRC Press LLC, New York, USA.
    42. Fisher, R. (1984), Information System Security, Prentice-Hall, New Jersey : Englewood Clifts, 1984.
    43. Flynn, N. L. (2001), The e Policy handbook : Designing and Implementing Effective E-Mail, Internet, and Software Policies, American Management Association, New York, USA.
    44. Forte, D. (2000), Auditing and Security Policy : The Cornerstone of Company Information Protection, Network Security, Vol.2000, Issue : 3, March, PP.12-13.
    45. Frosdick, S. & Odell, A. (1996) Practical Management of Programme Risk : the Case of the National Strategy for Police Information System for England and Wales, Information Management & Computer Security, 4/5, PP.24-33.
    46. Furnell, S. M. & Karweni, T. (1999), Security Implications of Electronic Commerce : A Survey of Consumers and Business, Internet Research : Electronic Networking Applications and Policy, Vol.9, No.5, 1999, PP.372- 382.
    47. Gannon, P. (1992), French Losses Rise Sharply, Computer Fraud Section, Bull. Vol.14, No.12, 1992.
    48. Garg, A., Curtis, J. & Halper, H. (2003), Quantifying the Financial Impact of IT Security Breaches, Information Management & Computer Security, 11-2, PP.74-83.
    49. Gay, L. R. (1992), Education Research Competencies for Analysis and Application, New York : Macmillan.
    50. Gehrke, M. Pfitzmann, A. & Rannenberg, K. (1992), Information Technology Security Evaluation Criteria (ITSEC)-A Contribution to Vulnerability?, INFORMATION PROCESSING 92-Proc. IFIP 12th World Computer Congress Madrld, Spain, Sept, PP.7-11.
    18. 吳琮璠(1997),資訊管理個案研究方法,資訊管理學報,第4卷,第1期,PP.7-17。
    51. Gerber, M. & Von Solms, R. (2001), From Risk Analysis to Security Requirements, Computers & Security, Vol.20, No.7, PP.557-584.
    52. Gershon, M. (1984), The Role of Weights and Scales in the Application of Multiobjective Decision Making, European Journal of Operational Research, 15, PP.244-250 .
    53. Goguen, J. A. & Meseguer, J. (1982), Security Policies and Security Models, Symposium on Security and Privacy, IEEE, April, PP.11-20
    54. Goldman, J. E. (1998), Applied Data Communications :A Business Oriented Approach, 2nd EDS., John Wiley & Sons : New York, USA.
    55. Gollmann, D. (1999) Computer Security, John Wiley & Sons Ltd.UK.
    56. Goodhue, D. L. & Straub, D. W. (1991), Security Concerns of System Users : A Study of Perceptions of the Adequacy of Security, Information and Management, 20(1), PP.13-27.
    57. Grana, M. & Torrealdea, F.J. (1986), Hierarchically Structured Systems, European Journal of Operational Research, 25, PP.20-26.
    58. Green, P. E. & Wind, Y. (1973), Multiattribute Decision in Marketing : A Measurement Approach, Hinsdate, Ill., Dryden Press.
    59. Guieford, J. P. (1965), Fundamental Statistics in Psychology and Education, 4thed., New York : McGraw-Hill.
    60. Gupta, M., Chaturvedi, A. R., Mehta, S. & Valeri, L. (2001), The Experimental Analysis of Information Security Management Issues For Online Financial Services.
    19. 吳琮璠(1999),會計資訊系統-兼論電腦審計,智勝文化事業有限公司。
    61. Hair, JR. J. F., Anderson, R. E. Tatham, R. L., & Black, W. C. (1995), Multivariate Date Analysis with Readings, 4thed, Prentice Hall, Englewood Cliffs, New Jersey, USA.
    62. Hinde, S. (2001), If You Can Meet With Triumph and Disaster and Treat Those Two Impostors Just the Same…., Computers & Security, 20, PP.657-666.
    63. Hinde, S. (2002), Security Survey Spring Corp, Computer & Security, Vol.21, Issue : 4, PP.310-321.
    64. Hinde, S. (2003) The law, Cybercrime, Risk Assessment and Cyber Protection, Computer & Security, Vol.22, No.2, PP.90-95.
    65. Hitchings, J. (1995), Deficiencies of the Traditional Approach to Information Security and the Requirements for a New Methodology, Computers & Security Vol.14, No.5, 1995, PP.377-383.
    66. Hofer, C. W. & Schendel, D. (1978), Strategy Formulation : Analytical Concepts, NY : West Publishing Co.
    67. Hoffer, J. A. & Straub, D. W. (1994), The 9 to 5 Underground : Are you Policing Computer Crimes ? In P. Gray, W.R. King, E.R. Mclean, & H. Watson (Eds), Management of Information Systems (PP.388-401).Fort Worth, TX : Harcourt Brace.
    68. Holm, E. M. & Kurt, J. E. (1996), A Methodology for Management Information –Based Risk, Information Resources Management Journal, 9 : 2, PP.17-24.
    69. Höne, K. & Eloff, J. H. P., (2002a) Information Security Policy-what do international information security standards say?, Computer & Security, Vol.21, Issue : 5, PP.402-409.
    70. Höne, K. & Eloff, J. H. P. (2002b) What Makes an Effective Information Security Policy, Network Security, Vol.2002, Issue : 6, June, PP.14-16.
    20. 吳琮璠(2002),會計財務資訊系統,智勝文化事業有限公司。
    71. Huber, G. P. (1980), Managerial Decision Making, Scott Foresman and Company.
    72. Hwang, C. L. & Lin, M. J. (1987), Group Decision Making Under Multiple Criteria : Methods and Application, Lecture Notes in Economics and Mathematical Systems 281.
    73. Hwang, C. L. & Yoon, K. (1981), Multiple Attribute Decision Making : Methods and Applications, Springer-Verlag, New York.
    74. Ira, S. W. (1997), A CIO’S Common Sense Guide for Protecting Corporate Information, Information Strategy, The Executive’s Journal, winter, PP.42- 46.
    75. ISACA (1998), CISA Review Technical Information Manual, Information System Audit and Control Association.
    76. ISACA (2002), IS Standards, Guidelines and Procedures for Auditing and Control Professionals.
    77. ISO / IEC 15408 (1998), Common Criteria for Information Technology Evaluation, May.
    78. ISO/IEC 17799 (2000), Information technology-code of practice for information security management.
    79. Jackson, C. B. (2000), Reengineering the Business Continuity Process, in Information Security Management Handbook. eds by Krause, M. and H.F. Tipton 4th ed., PP.563-579.
    80. Janssen, R. & Rietveld (1985), Multicriteria Evaluation of Land-Reallotment Plan : A Case Study, Environment and Planning, 17A, 1653-1668.
    21. 吳琮璠、謝清佳(1999),資訊管理-理論與實務,資訊管理智勝文化事業。
    81. Kabay, M. E. (1996), The NCSA Guide to Enterprise Security, McGraw- Hill.
    82. Kaiser, H. F. & Rice, J. (1974), Little Jiffy, MarkIV, Educational and Psychological Measurement, Vol.34, No.1, PP.111-117.
    83. Kaiser, H. F. (1958), The Varimax Criterion for Analytic Rotation in Factor Analysis, Psychometrika, 23, PP.187-200.
    84. Kankanhalli, A. , Teo, H. H. , Tan, B. C. Y. & Wei, K. K. (2003), An Integrative Study of Information System Security Effectiveness, International Journal of Information Management, 23(2003), PP.139-154.
    85. Kaplan, A. (1964), The Conduct of Inquiry, New York : Chandler Co.
    86. Karen, D. L. , Houston, H. C. & Mellerrill, E. W. (1992), Threats to Information System : Today’s Reality, Yesterday’s Understanding, MIS Quarterly, PP.173-186.
    87. Keeney, R. L. & Raiffa, H. (1976), Decisions With Multiple Objectives : Preferences and Value Tradeoffs, John Wiley and Sons, New York.
    88. King, C. M., Dalton, C. E. & Osmanoglu, T. E. (2001), Security Architecture : Design Deployment and Operations, Osborne / McGraw-Hill, U.S.A.
    89. King, W. R. (1994), Organization Characteristics and Information System Planning : An Empirical Study, Information Systems Research, 5(2), PP.75- 105.
    90. Kokolakis, S. A. & Kiountouzis, E. A. (2000), Achieving Interoperability in a Multiple-Security-Policies Environment Computers & Security, Vol.19, No.3, PP.267-281.
    22. 吳瑞明(1994),系統安全問題與防護措施,資訊與教育,40期。
    91. Kühnhauser, W. E. (1999), Policy Groups, Computer & Security, Vol.18, No.4, PP.351-363.
    92. Kwok, L. F. & Longley, D. (1999), Information Security Management and Modelling, Information Management & Computer Security, 7/1 PP.30-39.
    93. Laudon, K. C. & Laudon, J. P. (1998), Management Information Systems : New Approaches to Organization & Technology, Prentice HallInc., NJ.USA.
    94. Lee, S. M., Luthans, F. & Olson, D. L. (1982), A Management Science Approach to Contingency Models of Organizational Structure, Academy of Management Journal, Vol. 25, No.3, PP.553-566.
    95. Leonard-Barton, D. (1990), Implementing Structured Software Method-Logies : A Case of Innovation in Process Technology, Interface, 17, May-June, 1990 : 6-17.
    96. Lindup, K. R. (1995), A New Model for Information Security Policies, Computers & Security, Vol.14, PP.691-695.
    97. Loch, K. D., Carr, H. H. & Warkentin, M. E. (1992), Threats to Information System : Today’s Reality, Yesterday’s Understanding, MIS Quarterly, June 1992, PP.173-186.
    98. Luthans, F. (1976), Introduction to Management : A Contingency Approach, NY : Mcgraw-Hill.
    99. March, J. G., Sproull, L. S. & Tamuz, M. (1991), Learning from Samples of One or Fewer Organization Science, 2:1:PP.1-13.
    100. Miller, G. A. (1956), The Magical Number Seven Plus or Minus Two : Some Limits on Our Capacity for Processing Information, Psychological Review, 63, PP.81-97.
    23. 吳麗娃(2001),國內B2C網站電腦稽核環境現況與等級區分之研究,淡江大學資訊管理學系碩士論文。
    101. Moulton, R. (1991), A Strategic Framework for Information Security Management, Proceedings of the 14th Computer Security Conference, October 1991, Washington D.C.
    102. Moulton, R. T. & Moulton, M. E. (1996), Electronic Communications Risk Management : A Checklist for Business Managers, Computers & Security, Vol.15, No.5, PP.377-386.
    103. Neumann, P. G. (2000), Practical Architectures for Survivable Systems and Networks, SRI International, Supported by the U.S. Army Research Laboratory (ARL).
    104. Nosworthy, J. D. (2000), A Practical Risk Analysis Approach : Managing BCM Risk, Computers & Security, Vol.19, No.7, PP.596-614.
    105. Nunnally, J. (1978), Psychometric Theory, 2nd ed., New York : McGraw-Hill.
    106. OECD (1992), Guidelines for the Security of Information System, OECD.
    107. OECD (2002), OECD Guideline for the Security of Information System and Networks, 25 July.
    108. Osborne, K. (1998), Auditing the IT Security Function, Computer & Security, Vol.17, No.1, PP.34-41.
    109. Ozier, W. (1997), Generally Accepted System Security Principles (GASSP), Computer Security Journal, Vol.13, No.2, PP.69-75.
    110. Panda, B. & Giordano, J. (1999), Defensive Information Warfare, Communications of the ACM, Vol.42, No.7, PP.31-32.
    24. 宋明哲(1993),風險管理,中華企業發展中心。
    111. Pepper, B. (1996), Information Security Standards For Outsourcing, Information Security Technical Report, Vol.1, No.3, 1996, PP.59-61.
    112. Pfleeger, C. P. (1996), Security in Computing, 2nd ed., Prentice Hall PTR : NJ. USA.
    113. Pounder, C. (2001), The European Union Proposal for a Policy towards Network and Information Security, Computers & Security, Vol.20, No.7, PP.573-576.
    114. Rackham, L. F. & Richard, R. (1995), Getting Partnering Right : How Market Leaders Are Creating Long-term Competitive Advantage, by McGraw-Hill Int’l Enterprises Inc.
    115. Rainer, R. K. JR., Snyder, C.A. & Carr, H. H. (1991), Risk Analysis for Information Technology, Journal of Management Information Systems, Summer, Vol.8, No.1, PP.129-147.
    116. Reid, R. C. & Floyd, S. A. (2001), Extending the Risk Analysis Model to Include Market-Insurance, Computers & Security, Vol.20, No.4, PP.331-339.
    117. Richard, B. (1993), Information System Security Design Methods Implications for Information System Development, ACM Computer Surveys, Vol.25, No.4, December, PP.375-414.
    118. Robbins, S. P. (1994), Management, 4th ed., Prentice-Hall International.
    119. Rokert (1979), Chief Executives Define Their Own Data Needs, Harvard Business Review, March-April 1979, PP.81-93.
    120. Rummel, R. (1970), Applied Factor Analysis, Evanston, IL : Northwestern University Press.
    25. 宋振華、楊子劍(2000),組織資訊安全體系與資訊安全整體架構,資訊系統可信賴作業體制研討會論文集,PP.114-125。
    121. Rusell, D. & Gangemi, G. T. (1992), Computer Security Basics, California, U.S.A., O’Reilly & Associates Inc.
    122. Ryan, S. D. & Bordoloi, B. (1997), Evaluating Security Threats in Mainframe and Client/Server Environments, Information & Management, 32, PP.137-146.
    123. Saaty, T. L. & Bennett, J. P. (1977), A Theory of Analytical Hierarchies Applied to Political Candidacy, Behavioral Science, 22, PP.237-245.
    124. Saaty, T. L. & Kearns, K. P. (1985), Analytical Planning, New York : Pergamon.
    125. Saaty, T. L. & Vargas, L. G. (1980), Hierarchical Analysis of Behavior in Competition : Prediction in Chess, Behavioral Science, 25, PP.180-191.
    126. Saaty, T. L. & Vargas, L.G. (1982), The Logic of Priorities, Boston : Kluwer- Nijhoff.
    127. Saaty, T. L. (1980), The Analytic Hierarchical Process, New York : McGraw-Hill.
    128. Schendel, D. & Hofer, C. W. (eds) (1979), Strategic Management : A New View of Business Policy and Planning, (Little, Brown & Company, Boston).
    129. Schneider, E. C. & Gregory, W. T. (1990), How Secure Are Your System? Avenues to Automation, Nov.
    130. Schultz, E. E., Proctor, R. W., Lien, M. C. & Salvendy, G. (2001), Usability and Security An Appraisal of Usability Issues in Information Security Methods, Computer & Security, Vol.20, No.7, PP.620-634.
    26. 宋振華、樊國楨、鍾乃業與李思堯(2000),資訊系統入侵與偵防技術簡介,建立我國通資訊基礎建設安全機制研究報告書(參考資料),國家安全局,PP.301-317。
    131. Sherwood, J. (1996) SALSA : A Method for Developing the Enterprise Security Architecture and Strategy, Computer & Security, Vol.2, No.3, PP.8- 17.
    132. Simson, G. & Gene, S. (1991), Practical UNIX Security, O’Reilly & Associates.
    133. Smith, M. (1989), Computer Security-Threats, Vulnerabilities and Countermeasures, Information Age, October, PP.205-210.
    134. Smith, M. (1993), Common Sense of Computer Security, Your Practical Guide to Information Security, McGram-Hill book Co. London.
    135. Smith, M. R. (1993), Computer Security Policies-Personnel Security, Information Security (Edited by Ettinger, J. E.) Chapman & Hall, London, PP.21-40.
    136. Straub, D. W. (1986), Computer Abuse and Computer Security : Update on an Empirical Study, Security, Audit, and Control Review, 4(2), PP.21-31.
    137. Straub, D. W. Jr. & Welke, R. J. (1998), Coping With Systems Risk : Security for Management Decision Making, MIS Quarterly, December, PP.441-469.
    138. Straub, D. W. Jr. (1990), Effective IS Security : An Empirical Study, Information System Research, 1(3), PP.255-277.
    139. Straub, D. W., Ang, S. & Evaristo, R. (1994), Normative Standard for IS Research, DATA BASES, Vol.25, No.1, PP.21-34.
    140. Tabachnick, B. G. & Fidell, L. S. (1998), Using Multivariate Statistics, (2nded.)New York : Harper & Row.
    27. 宋鎧、范淨強、郭鴻志、陳明德與季延平(2001),管理資訊系統,華泰文化事業公司。
    141. TCSEC (1985), Trusted Computer Systems Evaluation Criteria, DoD5200. 28 -STD, December.
    142. Trček, D. (2003) An Integral Framework for Information Systems Security Management, Computers & Security, Vol.22, No.4, PP.337-360.
    143. Tryfonas, T. , Kiountouzis, E. & Poulymanakou, A. (2001), Embedding Security Practices in Contemporary Information Systems Development Approaches, Information Management & Computer Security, PP.183-197.
    144. Tudor, J. K. (2001), Information Security Architecture, Auerbach of CRC Press LLC.
    145. Turban, E. , McLean, E. & Wetherbe, J. (1996), Information Technology for Management : Improving Quality and Productivity, John Wiley & Sons Inc, USA.
    146. Vallabhaneni, S. R. (1989), Auditing Computer Security : A Manual with Case Studies, John Wiley & Sons, New York.
    147. Van Duyn, J. (1985), The Human Factor in Computer Crime, Petrocelli Books, Inc., Princeton, NJ.
    148. Venter, H. S. & Eloff, J. H. P. (2003), A Taxonomy for Information Security Technologies, Computers & Security, Vol.22, No.4, PP.299-307.
    149. Vincke, P. H. , Gassner, M. & Roy, B. (1989), Multicriteria Decision-Aid, John Wiley & Sons, New York.
    150. Von Solms, R. (1996), Information Security Management: The Second Generation, Computer & Security, Vol.15, No.4, PP.281-288.
    28. 李正源、簡崑鎰譯(2000), Blacharski, D.原著(1998). Network Security in a Mixed Environment, Tom Swan : California, USA, 文魁資訊股份有限公司。
    151. Von Solms, R. (1999), Information Security Management : Why Standards are Important, Information Management & Computer Security 7/1, PP.50- 57.
    152. Von Solms, R., Van Haar, H., Von Solms, S. H. & Caelli, W. J. (1994), A Framework for Information Security Evaluation, Information & Management, 26, PP.143-153.
    153. Voogd, H. (1983), Multicriteria Evaluation for Urban and Regional Planning, Pion, London.
    154. Ward, P. & Smith, C. L. (2002), The Development of Access Control Policies for Information Technology Systems, Computers & Security, Vol.21, No.4, PP.356- 371.
    155. Weber, R. (1999), Information System Control and Audit, Prentice Hall, Upper Saddle River, New Jersey, USA.
    156. Wood, C. C. (1997), A Management View of Internet Electronic Commerce Security, Computers & Security, Vol.16, No.4, PP.316-320.
    157. Wright, M. (1999), Third Generation Risk Management Practices, Computer Fraud & Security, Feb., PP.9-12.
    158. Yin, R. (1989), Case Study Research:Design and Methods, Newburry park California, Sag Publications (rev.).
    159. Zwass, V. (1992), Management Information Systems, WM. C. Brown Publisher, USA.
    160. 欒志宏(2002),How to develop Information Security Policy講義。
    29. 李東峰(2001),企業資訊安全控制制度之研究,第三屆全國資訊管理博士生聯合研討會論文集,PP.1-22。
    30. 李東峰、林子銘(1999),資訊安全的風險管理,第五屆國際資訊管理研究暨實務研討會論文集,PP.165-172。
    31. 李東峰、林子銘(2001),風險評估觀點的資訊安全規劃架構,台灣大學資訊管理學系第十二屆國際資訊管理學術研討會。
    32. 李東峰、林子銘(2002),資訊主管企業資訊安全之風險控管決策,資訊管理研究,第四卷,第二期,2002,7,PP.1-42。
    33. 杜鴻業(1998),台灣地區企業採用Intranet的評估因素與應用模式之研究,國立交通大學管理科學研究所碩士論文。
    34. 周文賢(2000),多變量統計分析:SAS / STAT使用方法,上、下冊,待出版書稿。
    35. 周冠中(1995),外包決策評估模式之研究,以金融產業資訊系統為例,國立政治大學資訊管理研究所碩士論文。
    36. 季延平(2001)審訂,Jurban, E., Melean, E., & Wetherbe, J. 原著,資訊管理,聯緊於策略優勢,智勝文化事業公司。
    37. 林宗瀛(2002),如何制定企業安全政策,http://www.sysware.com.tw。
    38. 林莉蕙(1991),參加第二十一屆電腦稽核安全控制研討會報告,存款保險資訊,第5卷,第2期,PP.1-11。
    39. 林進財、黃旭男與陳□斌(1999),現代企業資訊安全之研究。
    40. 林傳敏(2000),電腦稽核-網路世代不能沒有電腦稽核觀念(上、下),企銀報導,第199、200期。
    41. 林勤經、樊國楨與方仁威(2001a),資訊安全管理系統建置初始工作的研究,建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書,經濟部標準檢驗局委託計畫,PP.49-79。
    42. 林勤經、樊國楨與方仁威(2001b),資訊安全認證與電子化網路社會,建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書,經濟部標準檢驗局委託計畫,PP.80-104。
    43. 林鈴玉(2001),國內網路銀行現況發展及交易安全之研究,國立交通大學管理學院(資訊管理學程)碩士論文。
    44. 林震岩(1996),資訊系統與組織配合關係之研究,國科會研究成果報告,NSC85-2416-H-033-001。
    45. 金融人員研訓中心(1987),電腦作業稽核準則,初版。
    46. 施穎偉(2000),電子商務環境供應鍊供需互動模式之研究,國立政治大學資訊管理學系博士論文。
    47. 洪國興、季延平與趙榮耀(2003),資訊安全管理系統之探討-捷運等相關個案研究,捷運技術,28期。
    48. 洪祥洋(2000),網路銀行風險管理,存款保險資訊季刊,第十三卷,第三期。
    49. 唐印星(1999),採購績效衡量關鍵因素之研究-以台灣電子汽車、鋼鐵、機械等產業為例,國立雲林科技大學工業工程與管理研究所碩士論文。
    50. 孫宇安譯,蕭如淵審閱(2002),CERT網路與系統安全實務,Allen, J. H. 原著,The CERT Guide to System and Network Security Practices,台灣培生教育出版公司。
    51. 徐鈺宗、樊國楨(2003), □動新版資訊安全管理系統-CNS17800 (BS7799-2 : 2002 ),資訊安全,Vol.12, PP.33-36。
    52. 翁俊興(1983),分析層級程序應用在投資計劃評估之研究,國立政治大學企業管理研究所碩士論文。
    53. 財政部金融資訊規劃設計小組(1989),電腦作業稽核準則,金融人員研究訓練中心。
    54. 馬秀如(1997a),談內部控制的設計與執行,會計研究月刊,財團法人中華民國會計發展基金會。
    55. 馬秀如(1997b),公開發行公司實施內部控制之研究,財團法人中華民國會計研究發展基金會。
    56. 高宏傑譯(2002),建立零缺點的安全軟體系統:如何正確防杜安全問題, Viega, J & McGraw, G. 原著,Building Secure Software : How to Avoid Security Problems the Right Way , 台灣培生教育出版公司。
    57. 涂舜授(2003),資訊安全管理與技術發展,資訊安全,Vol.12, PP.19-21。
    58. 國家安全局(2000),建立我國通資訊基礎建設安全機制研究報告書(本文),國家安全局。
    59. 張世賢、陳恆鈞(2001),公共政策-政府與市場的觀點,商鼎文化出版社。
    60. 張浩鈞(2000),質化多準則評估方法及其有效性之衡量,華梵大學工業管理學系碩士論文。
    61. 張偉斌(2000),網路資訊安全諮詢服務系統之研究,國立台北科技大學商業自動化與管理研究所碩士論文。
    62. 張盛盛、許美玲譯(1995),電腦安全的威脅與對策,資訊工業策進會。
    63. 張紹勳(2000),研究方法,滄海書局。
    64. 張慶光(1997),網路銀行技術規範與發展,金融人員研究訓練中心講義。
    65. 梁定澎(1997),資訊管理研究方法總論,資訊管理學報,第4卷,第1期,PP.1-6。
    66. 許慧珍(2001),網路安全系統應用策略之探討,資訊系統可信賴作業體制研討會論文集,PP.201-207。
    67. 陳同孝(1996),資訊安全中道德教育問題之研究,勤益學報,13期。
    68. 陳長榮、陳俊昌(2002),企業E-mail的安全管理,資訊與電腦,2002.9,PP.90-93。
    69. 陳長榮、葉良偉(2002),防火牆安全管理之實施,資訊與電腦,2002.10, PP.94-97。
    70. 陳冠竹(2003),政府採購入口網站功能架構與關鍵因素之研究,國立政治大學資訊管理學系碩士論文。
    71. 陳彥學(2000),資訊安全理論與實務,文魁資訊公司。
    72. 陳重光(2001),考量網路經濟特性下影響台灣地區商業銀行分行設立地點區位因素研究,雲林科技大學工業工程與管理研究所碩士論文。
    73. 曾淑惠(2002),以BS 7799為基礎評估銀行業的資訊安全環境,淡江大學資訊管理學系碩士論文。
    74. 黃小玲(2002),如何執行資訊安全管理系統,資訊安全,PP.20-24。
    75. 黃承聖(2000),企業資訊安全的起點-資訊安全政策,網路通訊,8月。
    76. 黃芳川(2002),資訊安全手冊,行政院主計處電子處理資料中心。
    77. 黃亮宇(1992),資訊安全規劃與管理,松崗電腦圖書公司。
    78. 黃俊英(2000),多變量分析,七版,中國經濟企業研究所。
    79. 黃姮儀(2000),台灣地區不同類型金融機構在全球資訊網路安全考量因素之研究,國立中正大學資訊管理研究所碩士論文。
    80. 黃淙澤(2002),資訊安全風險評估方法講義,中華民國電腦稽核協會。
    81. 黃智偉(2000),供應鍊管理下供應商選擇評估之研究-以台灣地區中衛體系之汽機車業與電腦資訊業為例,國立雲林科技大學工業工程與管理研究所碩士論文。
    82. 黃慶堂(1999),我國行政機關資訊安全管理之研究,國立政治大學公共行政學系碩士論文。
    83. 黃慧文(2001),COBIT觀點下網路銀行內部控制與稽核之研究,中原大學會計學系碩士論文。
    84. 楊金炎(2001),企業內部控制有關資訊系統與安全的個案研究,中原大學資訊管理學系碩士論文。
    85. 楊國樞、文崇一、吳聰賢與李亦園(2002),社會及行為科學研究法,第十三版,東華書局。
    86. 萬幼筠(2001a),企業的網路安全控管與風險評估,會計研究,第184期,PP.82-90。
    87. 萬幼筠(2001b),資訊安全政策之編制講義。
    88. 萬幼筠(2001c),網路銀行與資訊安全風險管理,財金資訊,Vol.19, PP.18- 22。
    89. 葉牧青(1989),AHP層級結構設定問題之探討,國立交通大學管理科學研究所碩士論文。
    90. 葉□政(2002),因徑分析,社會及行為科學研究法(下),楊國樞,文崇-吳聰賢、李亦園編著,東華書局出版,PP.959-1010。
    91. 虞金燕、鄭祥勝(2001),資訊安全發展趨勢與科專研發方向建議,財團法人資訊工業策進會。
    92. 資訊安全(2003),資訊安全廠商總覽,資訊安全,Vol.12, PP.4-11。
    93. 電腦稽核協會(2000),電腦稽核實務,中華民國電腦稽核協會。
    94. 廖耕億(2002),資訊系統風險評估研究探討,2002網路安全攻防專刊,2002網際網路安全工程研討會論文集。
    95. 網際商務周刊(2002),資訊安全弱點的資訊。
    96. 劉仁智(1994),多評準則決策-分析層級程序法尺度之研究,國防管理學院資源管理研究所碩士論文。
    97. 劉永森(1991),層級分析法(AHP)中機率性判斷之研究,國立中山大學資訊管理研究所碩士論文。
    98. 劉永禮(2002),以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究,元智大學工業工程與管理研究所碩士論文。
    99. 劉國昌、劉國興(2001),資訊安全,儒林出版社。
    Description: 博士
    國立政治大學
    資訊管理研究所
    86356506
    91
    Source URI: http://thesis.lib.nccu.edu.tw/record/#G0086356506
    Data Type: thesis
    Appears in Collections:[Department of MIS] Theses

    Files in This Item:

    File SizeFormat
    index.html0KbHTML2660View/Open


    All items in 政大典藏 are protected by copyright, with all rights reserved.


    社群 sharing

    著作權政策宣告 Copyright Announcement
    1.本網站之數位內容為國立政治大學所收錄之機構典藏,無償提供學術研究與公眾教育等公益性使用,惟仍請適度,合理使用本網站之內容,以尊重著作權人之權益。商業上之利用,則請先取得著作權人之授權。
    The digital content of this website is part of National Chengchi University Institutional Repository. It provides free access to academic research and public education for non-commercial use. Please utilize it in a proper and reasonable manner and respect the rights of copyright owners. For commercial use, please obtain authorization from the copyright owner in advance.

    2.本網站之製作,已盡力防止侵害著作權人之權益,如仍發現本網站之數位內容有侵害著作權人權益情事者,請權利人通知本網站維護人員(nccur@nccu.edu.tw),維護人員將立即採取移除該數位著作等補救措施。
    NCCU Institutional Repository is made to protect the interests of copyright owners. If you believe that any material on the website infringes copyright, please contact our staff(nccur@nccu.edu.tw). We will remove the work from the repository and investigate your claim.
    DSpace Software Copyright © 2002-2004  MIT &  Hewlett-Packard  /   Enhanced by   NTU Library IR team Copyright ©   - Feedback