English  |  正體中文  |  简体中文  |  Post-Print筆數 : 27 |  Items with full text/Total items : 113822/144841 (79%)
Visitors : 51867275      Online Users : 317
RC Version 6.0 © Powered By DSPACE, MIT. Enhanced by NTU Library IR team.
Scope Tips:
  • please add "double quotation mark" for query phrases to get precise results
  • please goto advance search for comprehansive author search
    •  Adv. Search
    HomeLoginUploadHelpAboutAdminister Goto mobile version


    Please use this identifier to cite or link to this item: https://nccur.lib.nccu.edu.tw/handle/140.119/30725


    Title: 台灣資訊安全風險管理暨保險之研究
    Authors: 曾詩郁
    Contributors: 林建智
    曾詩郁
    Keywords: 資訊安全風險管理
    資訊安全保險商品
    ISO 13335
    Date: 2007
    Issue Date: 2009-09-12 12:44:46 (UTC+8)
    Abstract: 為了因應日新月異的新型態資安事件,企業們紛紛投注相當資源於資訊安全系統的建構/資訊風險的管理,但是在外部技術環境快速變化等諸多變數的不確定下,仰仗風險移轉機制,適切地將風險透過保險轉移至保險業者似乎是較合宜的選擇。何以企業們仍傾向強化風險控制、持續加強資訊安全技術層面,因此本研究擬藉由介紹國際暨台灣資訊安全發展狀況,瞭解資訊安全管理及其衍生之風險管理現況;根據前述現況分析,進一步探討在資訊安全領域中風險工具與風險管理學理之關聯性,並透過訪談相關業者,希冀透過探討資訊安全保險供給暨需求落差,提供既存風險工具之實務意涵。
    本研究發現被國際社會廣泛採用之ISO 13335資訊安全管理系統,其風險概念暨管理模組,係奠基於一般風險管理學理:在風險概念方面,係採納『風險因素導致風險事故,進而對風險標的物肇生損失』之概念,並強化資產脆弱點之重要性,藉以強調在疆域尚且不明的資訊安全領域裡,相關從業人員惟有透過持續不輟地辨識、分析暨處理新型態的威脅等諸多要素,才有逐步積貯相關知識,進一步為未來完善資訊安全管理奠下基礎;在風險管理方面,一般風險管理學理用以確認風險因素、風險事件及風險標的物之風險鑑定階段,恰可與ISO 13335中資訊界限制定、資產識別及威脅評估等步驟相呼應,由此可知ISO 13335係採用一般風險管理學理概念而來,自不待言。
    透過訪談相關業者,本研究發現資訊安全保險供給與需求存在下述特點:
     保險業者與資訊安全需求業者對資訊價值之認定不同。
     保險商品在市場上被視為行銷工具,而非實質風險移轉機制。
     保險業者缺乏客觀的標準可供遵循。
     資訊安全涵蓋範圍廣泛,非單一風險移轉機制即可。
     資訊安全需求業者對資訊價值之認定會因情境而改變。
     供應者與需求者對保險商品在風險移轉上之定位有不同認知。
    由此,本研究建議主管機關、保險業者及從事/利用電子商務之組織可參酌下述各點採取行動,藉此逐步完善國內有關電子商務之保險商品市場:
     主管機關方面,宜制訂資安規範、訂定處罰條款,並核發執照於公正的認證/稽核單位。
     保險公司方面,宜尋找第三方公正單位參與承保範圍之釐清、與被保險人簽訂保密協定、並擬訂資訊安全防護評定等級制度。
     電子商務之企業/組織,宜教育內部、根據認證機構管理原則ISO 27005、並運用科技化的資安設備,強化企業自主防護能力。
    第一章 緒論 1
    第一節 研究背景與動機 1
    第二節 研究目的 2
    第三節 研究流程與架構 3
    第四節 研究方法 5
    一、調查研究法 5
    二、研究設計 5
    第五節 文獻探討 6
    一、資料、資訊及資訊安全 6
    二、風險管理 8

    第二章 資訊安全現狀介紹 9
    第一節 國際資訊安全認證現況 9
    第二節 台灣資訊安全認證現況 12
    第三節 資訊安全風險管理之介紹 14
    一、ISO 27001資訊安全管理認證系統 15
    二、ISO 27005資訊安全風險管理簡述 21

    第三章 資訊安全風險管理探討 25
    第一節 資訊安全風險管理之概述 25
    第二節 資訊界限制定暨資產識別 31
    一、資訊界限制定 31
    二、資產識別 31
    第三節 資訊安全風險之分析 32
    一、資產價值評估 32
    二、資產依存關係之建立 34
    三、威脅評估 35
    四、脆弱性評估 36
    五、目前/計劃中保護措施之識別 39
    六、風險評估 40
    第四節 資訊安全風險工具之選擇 40
    一、防護措施之識別 41
    二、資訊科技安全架構 43
    三、各種限制條件之識別/回顧 45
    第五節 資訊安全風險管理執行與探討 46
    一、風險概念與ISO 13335風險概念之比較 46
    二、風險管理與ISO 13335風險管理之比較 52
    第六節 小結 56

    第四章 台灣資訊安全之保險相關商品-以「電子商務綜合保單」為例 58
    第一節 電子商務綜合保單之介紹 58
    第二節 訪談設計 61
    第三節 訪談紀要 62
    一、Z保險公司訪談紀要 62
    二、T金控公司訪談紀要 64
    三、C軟體公司訪談紀要 66
    第四節 訪談內容之探討 68
    第五節 小結 74

    第五章 研究結論與建議 77
    第一節 研究結論 77
    第二節 建議 78

    參考文獻 81
    《附錄一》訪談內容 83
    《附錄二》Z公司電子商務綜合保險 111
    Reference: (一)中文文獻
    [1]. 宏瞻資訊股份有限公司 編製(2005),「風險評鑑與風險管理實務課程」。
    [2]. 許鎮麟(2004),「電子商務保險之研究」,私立淡江大學保險學系保險經營碩士班,碩士學位論文。
    [3]. 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計-以國網中心為例探討風險管理」,台灣網際網路研討會。
    [4]. 胡宜仁,許鎮麟(2005),「電子商務保險析論」,保險實務與制度第4卷第2期,臺北。
    [5]. 台灣賽門鐵克股份有限公司 編製(2007),「IT風險管理報告」。
    [6]. 台灣賽門鐵克股份有限公司 編製(2008),「IT風險管理報告第二部:迷思與現實」。
    [7]. 湯宗泰、劉文良(2008),「資訊管理概論WEB 2.0思維」,臺北:學貫行銷股份有限公司。
    [8]. 經濟部標準檢驗局 編製(2006),「ISO 27001:2005資訊安全管理系統要求」。
    [9]. 行政院國家科學委員會科學技術資料中心 編製(2002),「資通安全專輯之十:資訊安全管理系統與稽核」。
    [10]. 財團法人國家實驗研究院科技政策研究與資訊中心 編製(2005),「資通安全專輯之二十:資安法規與政策管理」。
    [11]. 凌氤寶、康裕民、陳松森 合著(2006),「保險學:理論與實務」,臺北:華泰文化。
    [12]. Kenneth C. Laudon、Jane P. Laudon合著,周宣光譯(2007),「管理資訊系統-管理數位化公司」,臺北,東華書局。
    [13]. 劉興華(2008),「資訊安全風險管理(ISO/IEC FDIS 27005)議題初探」,堅實我國資訊安全管理系統稽作業相關標準系列討論會之25。
    [14]. 經濟部標準檢驗局 編製(2005),「資訊技術-資訊技術安全管理指導綱要-第1部:資訊技術安全概念與模型」。
    [15]. 經濟部標準檢驗局 編製(2005),「資訊技術-資訊技術安全管理指導綱要-第3部:資訊技術安全管理之技術」。
    (二)英文文獻
    [1]. ISO/IEC 13335-3 Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT Security
    [2]. ISO/IEC 13335-1 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security
    [3]. Solms R.V. (1999), “Information security management: why standards are important,” Information Management & Computer Seurity, 7(1), pp. 5-5(1).
    [4]. Kwok, L.F. and Longley, D. (1999), “Information security management and modeling,” Information Management & Computer Seurity, 7(1), pp. 30-39.
    [5]. Evan E. Anderson and Joobin Choobineh (2008),”Enterprise information security strategies,” Computer & Security, 27(1-2), pp. 22-29.
    [6]. Basie von Solms (2006), “Information Security- The Fourth Wave,” Computer & Security, 25(3), pp.165-168.
    [7]. Etti Baranoff (2003), “Risk Management and Insurance”, Wiely.
    Description: 碩士
    國立政治大學
    經營管理碩士學程(EMBA)
    95932258
    96
    Source URI: http://thesis.lib.nccu.edu.tw/record/#G0095932258
    Data Type: thesis
    Appears in Collections:[經營管理碩士學程EMBA] 學位論文

    Files in This Item:

    File SizeFormat
    index.html0KbHTML2311View/Open


    All items in 政大典藏 are protected by copyright, with all rights reserved.


    社群 sharing

    著作權政策宣告 Copyright Announcement
    1.本網站之數位內容為國立政治大學所收錄之機構典藏,無償提供學術研究與公眾教育等公益性使用,惟仍請適度,合理使用本網站之內容,以尊重著作權人之權益。商業上之利用,則請先取得著作權人之授權。
    The digital content of this website is part of National Chengchi University Institutional Repository. It provides free access to academic research and public education for non-commercial use. Please utilize it in a proper and reasonable manner and respect the rights of copyright owners. For commercial use, please obtain authorization from the copyright owner in advance.

    2.本網站之製作,已盡力防止侵害著作權人之權益,如仍發現本網站之數位內容有侵害著作權人權益情事者,請權利人通知本網站維護人員(nccur@nccu.edu.tw),維護人員將立即採取移除該數位著作等補救措施。
    NCCU Institutional Repository is made to protect the interests of copyright owners. If you believe that any material on the website infringes copyright, please contact our staff(nccur@nccu.edu.tw). We will remove the work from the repository and investigate your claim.
    DSpace Software Copyright © 2002-2004  MIT &  Hewlett-Packard  /   Enhanced by   NTU Library IR team Copyright ©   - Feedback