• Refine Query
  • Source
  • Publication year
  • to
  • Language
  • 1
  • 1
  • Tagged with
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • 1
  • About
  • The Global ETD Search service is a free service for researchers to find electronic theses and dissertations. This service is provided by the Networked Digital Library of Theses and Dissertations.
    Our metadata is collected from universities around the world. If you manage a university/consortium/country archive and want to be added, details can be found on the NDLTD website.
1

台灣資訊安全風險管理暨保險之研究

曾詩郁 Unknown Date (has links)
為了因應日新月異的新型態資安事件,企業們紛紛投注相當資源於資訊安全系統的建構/資訊風險的管理,但是在外部技術環境快速變化等諸多變數的不確定下,仰仗風險移轉機制,適切地將風險透過保險轉移至保險業者似乎是較合宜的選擇。何以企業們仍傾向強化風險控制、持續加強資訊安全技術層面,因此本研究擬藉由介紹國際暨台灣資訊安全發展狀況,瞭解資訊安全管理及其衍生之風險管理現況;根據前述現況分析,進一步探討在資訊安全領域中風險工具與風險管理學理之關聯性,並透過訪談相關業者,希冀透過探討資訊安全保險供給暨需求落差,提供既存風險工具之實務意涵。 本研究發現被國際社會廣泛採用之ISO 13335資訊安全管理系統,其風險概念暨管理模組,係奠基於一般風險管理學理:在風險概念方面,係採納『風險因素導致風險事故,進而對風險標的物肇生損失』之概念,並強化資產脆弱點之重要性,藉以強調在疆域尚且不明的資訊安全領域裡,相關從業人員惟有透過持續不輟地辨識、分析暨處理新型態的威脅等諸多要素,才有逐步積貯相關知識,進一步為未來完善資訊安全管理奠下基礎;在風險管理方面,一般風險管理學理用以確認風險因素、風險事件及風險標的物之風險鑑定階段,恰可與ISO 13335中資訊界限制定、資產識別及威脅評估等步驟相呼應,由此可知ISO 13335係採用一般風險管理學理概念而來,自不待言。 透過訪談相關業者,本研究發現資訊安全保險供給與需求存在下述特點:  保險業者與資訊安全需求業者對資訊價值之認定不同。  保險商品在市場上被視為行銷工具,而非實質風險移轉機制。  保險業者缺乏客觀的標準可供遵循。  資訊安全涵蓋範圍廣泛,非單一風險移轉機制即可。  資訊安全需求業者對資訊價值之認定會因情境而改變。  供應者與需求者對保險商品在風險移轉上之定位有不同認知。 由此,本研究建議主管機關、保險業者及從事/利用電子商務之組織可參酌下述各點採取行動,藉此逐步完善國內有關電子商務之保險商品市場:  主管機關方面,宜制訂資安規範、訂定處罰條款,並核發執照於公正的認證/稽核單位。  保險公司方面,宜尋找第三方公正單位參與承保範圍之釐清、與被保險人簽訂保密協定、並擬訂資訊安全防護評定等級制度。  電子商務之企業/組織,宜教育內部、根據認證機構管理原則ISO 27005、並運用科技化的資安設備,強化企業自主防護能力。

Page generated in 0.0169 seconds