1 |
資訊安全「影響因素與評估模式」之研究洪國興 Unknown Date (has links)
由於資訊科技的快速進步,電子商務的盛行,組織的資訊環境隨之大幅變遷,資訊系統用者已由組織內部的特定人員,迅速擴大到無國界而不特定的任何人,組織對資訊系統的依賴亦日益加深,凡此種種,都使得組織的資訊安全面臨空前的挑戰。世界各地每天都在上演著,無孔不入的網路入侵,組織內部的人謀不臧,及層出不窮的各種災害,因此,舉世無不對資訊安全更加的重視,期望資訊安全管理理論能作為組織資訊安全管理之策略方針,建構一個與技術無關的資訊安全管理系統,並評估此一系統的有效可行,實為本研究之目標。
本研究經由文獻探討,實務觀察,將資訊安全管理理論歸納為:安全政策理論、風險管理理論、控制與稽核理論、管理系統理論、權變理論等五種,繼而針對上開理論之不足與侷限,建構資訊安全管理之「整合系統理論」,以因應組織資訊安全管理循序程序與權變程序之需,此一理論包括:安全政策、風險管理、內部控制與資訊稽核,以權變管理為基礎的資訊安全管理架構。繼而以「整合系統理論」之權變程序與「安全政策理論」為基礎,發展「安全政策模式」,進行因徑分析,經驗證結果,「組織性質」與「資訊組織規模」之大小會影響「資訊安全政策制定時間」之早晚,「資訊安全政策」會影響組織「資訊安全之提昇」,且其兩者之間有因果關係。
本研究進而建構「影響資訊安全因素架構」,就資訊安全影響因素66項,對資訊人員進行問卷調查,經以因素分析結果,萃取八個因素構面,再以「整合系統理論」為基礎,轉化為「影響資訊安全關鍵因素架構」,包含8個關鍵因素構面。本研究以上開研究為基礎繼續發展「資訊安全評估總體指標」之層級結構,含9項評估構面,其最底層之評估準則共37項。繼而以層級程序分析法(AHP)就資訊安全評估總體指標各評估構面與評估準則進行權重評估,其評估構面權重之重要程度,依序為:「安全政策與資源」、「人員安全」、「存取控制」、「系統與網路」、「風險管理」、「實體安全」、「業務持續運作」、「資訊稽核」、「軟體管理」等,再結合目標,評估構面與評估準則之權重,建構「資訊安全多準則評估模式」。
本研究進而以實務探討及個案研究,驗證研究結果之可用性,對於組織解決資訊安全問題之管理、產品與工具、委外服務之策略,及資訊安全管理程序等,經訪查結果顯示:組織解決資訊安全問題,具有權變管理的多元程序之特性,並發展諸多命題。又以真實個案採用「資訊安全多準則評估模式」,進行資訊安全評估,經驗証結果顯示模式的可用性。
|
Page generated in 0.0252 seconds