行政院僑務委員會資訊安全管理現況分析 / A study of information security management -a case of OCAC

林劭怡

Unknown Date

本研究以資訊安全管理的觀點以個案研究的方式，從機關資訊安全管理的策略、技術、組織、人力以及環境等五個面向切入，訪談機關中資訊單位與業務單位人員，藉以深入探討僑務委員會的資安現況以及目前資訊安全管理所遭遇的困難，並且進一步的提出可能的解決方式以及本研究發現的研究命題。 本研究歸納出四點結論：(1)主管對於機關資訊安全的重視影響部屬對機關資訊安全管理措施的遵循與重視；(2)資訊人員跨部門溝通能力略微不足；(3)教育訓練實際效果與預期目標之間存在落差，易導致溝通問題而引起業務單位反彈；(4)機關的核心業務未納入資訊安全驗證範圍中，無法完備資安管理之落實。 針對研究發現，本研究提出之解決方法為：(1)加強資訊人員之跨部門溝通能力；(2)採取更有效的教育訓練方式；(3)將核心業務納入資訊安全驗證範圍中以確保資訊安全管理。 / Based on the theory of informationsSecurity management, The study conduct a case study of qualitative approach.Five propositions are delveloped according to the strategy of information security management, technologies, organizations, human resource and environments and the interviews of the staff of Overseas Compatriot Affairs Commission (OCAC), including IT staff and business staff. IT attempts to find out the status quo and difficulties of information security management in OCAC. Furthermore,the study also proposes plausible solutions to resolve those diffculties. The study concludes with four aspect of conclusion: (1) The manager ‘high priority and attention to information security, ead to the OCAC employees’, will affect employees’ compliance with information security rules. (2) IT staff are found to be comparatively lack of the inter-departmental communication skill to promote information security (3) There is a gap between expectation and the practical effect which then causes (4) Because the OCAC core business are not included in the scope of information security management verification, the implementation very unlikely to complete as required. According to the previous findings, the study proposes propose the plausible resolution to advance information security management in OCAC, including (1) strengthening of the inter-departmental communication skill of IT staff (2) adopting more effective way to train the core business staff, and make sure its effectiveness. (3) core businesses should be included in the scope of information security management verification to ensure that completeness and effectiveness of information security management.

資訊安全管理

ISMS

政府部門資訊安全管理之研究

蔡忠翰, Tsai, Chung-Han

Unknown Date

在90年11月至91年7月之間，中國駭客進入台灣的中華電信網路服務備用電腦等，植入木馬(trojan horse)程式，蒐集我國政府的機密資訊，已知計有42個政府機關的網站、數百台電腦遭受入侵。為了防止此類的問題發生，政府更需多加強電子化政府的安全措施，為電子化政府多增一道防線。但是面對層出不窮的駭客入侵技術及日新月新的變種電腦病毒，未來勢必面對各種可能的安全威脅如資訊公開、網路犯罪產生的新問題。如何在快速發展電子化政府之同時，運用管理與技術徹底執行資訊安全，防範電腦網路犯罪與危機為資訊安全撒下一道防護，將是電子化政府成功與否的最重要關鍵。有鑑於此，本研究由文獻中瞭解電子化政府之現況，包括電子化政府資訊安全之需求分析、制度及現有資訊安全之基本架構。探討資訊安全疏忽所造成之網路犯罪及資訊侵害，由資訊管理及技術管理二大部分進行分析、建議。而後針對關鍵尋求具體建議，以供我國參採。

電子化政府

資訊安全

資訊安全管理

資訊科技

基於內容管理系統的資訊安全標準導入輔助系統 / A Content Management System Based Assistant for Implementing ISO Information Security Standard

彭應武, Peng, Ying-Wu

Unknown Date

隨著資訊科技日益普及，近年來資安事件仍層出不窮。行政院國家資通安全會報於94年5月，訂定「政府機關(構)資訊安全責任等級分級作業實施計畫」，針對各種資訊安全的潛在威脅，提出以建立管理機制並配合技術支援服務的方式，期能有效防護資訊資產，提昇資訊安全。其中管理面的具體措施為建構「資訊安全管理系統」（ISMS, Information Security Management System），並規範列屬資安責任等級為A或B級之機關，應在規定之期限內通過由第三方(third party)公正機構驗證符合資訊安全國際標準。根據行政院科技顧問組針對A、B級機關在2008年進行資安責任等級應辦事項調查顯示，B級機關在資安認證達成率只有43%，可見通過資安認證有其困難性。 本研究依據已通過資安認證的機關的經驗分享文獻，分析歸納導入ISMS所可能遭遇的主要問題，從而主張可以採用內容管理系統(CMS, Content Management System)的平台來協助組織導入ISMS。Drupal是一套結構簡單且具高擴展性模組化的開放源碼內容管理系統，不僅容易在其平台上建立客製化的應用系統，且有大量的社群可提供技術支援，故本研採用Drupal建置輔助系統，方便組織在導入符合國際標準的ISMS(如ISO 27001)時，可以集中管理各類相關資訊，評定資產價值，計算風險值，並提供組織申請ISO驗證時作為部份佐證資料的集中管理。 / As information technology is widely used in our daily work and life, incidents of information security also occurs from time to time. In May of 2005, the National Information & Communication Security Taskforce of R.O.C. instituted “The operational plan for classifying the information security duty grade of the government agencies”. The plan demands government agencies to establish technological support services along with management mechanisms for all potential security threats to provide effective information security management. In addition, all agencies whose security grade belongs to the A or B levels must pass the third party certification for ISO Information Security Standard within a specific deadline. However, as shown in the investigation report released by the government technology advisors in 2008, the achievement rate for information security certification on grade B government agencies is only 43%. Therefore, it is perceived that there are some difficulties in passing the information security certification This thesis analyzes and summarizes the main difficulties that organizations may encounter when establishing an ISMS by following the international IS standard ISO 27001. The analysis results show that document management is a key issue. Therefore, we claim that a content management platform is a good foundation to build an assistant for an organization to establish its ISMS. To demonstrate our proposal, we choose the open source content management platform, Drupal, to set up such an assistant. By fully utilizing the simpler yet extensible structures provided Drupal, we build up an assistant system that facilitates an organization to manage all related documents centrally, to assess asset values and calculate risk values by following the ISO 27001 information security international standard. These facilities will give the organization a very strong evidence of employing a centralized information security management system when applying for ISO certification

內容管理系統

資訊安全管理系統

CMS

ISMS

ISO 27001

Drupal

戶政資訊安全管理機制之研究-以新北市戶政機關為例 / The study of residence administration information security management:the case of household registration office,New Taipei City

蔡玫娟

Unknown Date

戶政機關所掌管個人自出生到死亡之機敏隱私戶籍記錄資料，為一切行政措施的基礎資訊，並與人民權益相關，在現今已全面電腦化，並透過資訊系統加以蒐集、使用、管理與流通之過程中，僅依現行法令規章及內政部制訂之系統安全管理規範似不足以確保個資之安全性，且無法完全防杜個資之外洩，造成民眾人身安全威脅與權益受損之風險。 面對個資保護等相關法制之推行及行政院於2009年1月訂頒「國家資通訊安全發展方案〈2009-2012年〉」之願景目標，新北市政府民政局預見其重要性並率先配合辦理，期為該市戶政機關建構一優質資安環境，於2011年6月份起擇轄內三重區戶政事務所導入資訊安全管理系統及中和區戶政事務所建置個資安全管理機制；本研究以上述兩戶政機關為個案，經由資訊安全管理觀點透過質性研究方式，深入探討戶政機關於資訊〈個資〉安全之相關實務管理問題，提出資訊〈個資〉安全管理重點與建議，以供新北市政府民政局未來規劃所轄戶政機關資訊安全管理之參據。 本研究歸結出新北市戶政機關資安管理現況問題，其分別為：一、新北市戶政機關普遍缺乏資訊專業人員與知能；二、新北市無訂定全市戶政機關戶政資訊管理規範；三、新北市戶政機關資訊安全編組及職掌疊床架屋；四、新北市戶政機關欠缺風險管理及評鑑執行能力；五、新北市戶政資訊稽核機制未完備且無專業稽核人員。 針對上述研究發現，本研究建議新北市政府民政局參照內政部規範之戶役政資訊系統安全防護需求，依據ISO 27001及個人資料保護法之規範，統籌律訂新北市各區戶政事務所資訊安全編組、風險管理及稽核機制，建立一套以落實資訊安全管理為目的，明確、有效、易於遵循之規範原則，供所屬戶政機關予以遵循，並透過教育訓練加強相關人員專業知能及執行能力，最後藉PDCA循環模型之作法，強化及落實個資保護目標。

ISO 27001

資訊安全管理系統

個人資料保護法

資訊安全「影響因素與評估模式」之研究

洪國興

Unknown Date

由於資訊科技的快速進步，電子商務的盛行，組織的資訊環境隨之大幅變遷，資訊系統用者已由組織內部的特定人員，迅速擴大到無國界而不特定的任何人，組織對資訊系統的依賴亦日益加深，凡此種種，都使得組織的資訊安全面臨空前的挑戰。世界各地每天都在上演著，無孔不入的網路入侵，組織內部的人謀不臧，及層出不窮的各種災害，因此，舉世無不對資訊安全更加的重視，期望資訊安全管理理論能作為組織資訊安全管理之策略方針，建構一個與技術無關的資訊安全管理系統，並評估此一系統的有效可行，實為本研究之目標。 本研究經由文獻探討，實務觀察，將資訊安全管理理論歸納為：安全政策理論、風險管理理論、控制與稽核理論、管理系統理論、權變理論等五種，繼而針對上開理論之不足與侷限，建構資訊安全管理之「整合系統理論」，以因應組織資訊安全管理循序程序與權變程序之需，此一理論包括：安全政策、風險管理、內部控制與資訊稽核，以權變管理為基礎的資訊安全管理架構。繼而以「整合系統理論」之權變程序與「安全政策理論」為基礎，發展「安全政策模式」，進行因徑分析，經驗證結果，「組織性質」與「資訊組織規模」之大小會影響「資訊安全政策制定時間」之早晚，「資訊安全政策」會影響組織「資訊安全之提昇」，且其兩者之間有因果關係。 本研究進而建構「影響資訊安全因素架構」，就資訊安全影響因素66項，對資訊人員進行問卷調查，經以因素分析結果，萃取八個因素構面，再以「整合系統理論」為基礎，轉化為「影響資訊安全關鍵因素架構」，包含8個關鍵因素構面。本研究以上開研究為基礎繼續發展「資訊安全評估總體指標」之層級結構，含9項評估構面，其最底層之評估準則共37項。繼而以層級程序分析法（AHP）就資訊安全評估總體指標各評估構面與評估準則進行權重評估，其評估構面權重之重要程度，依序為：「安全政策與資源」、「人員安全」、「存取控制」、「系統與網路」、「風險管理」、「實體安全」、「業務持續運作」、「資訊稽核」、「軟體管理」等，再結合目標，評估構面與評估準則之權重，建構「資訊安全多準則評估模式」。 本研究進而以實務探討及個案研究，驗證研究結果之可用性，對於組織解決資訊安全問題之管理、產品與工具、委外服務之策略，及資訊安全管理程序等，經訪查結果顯示：組織解決資訊安全問題，具有權變管理的多元程序之特性，並發展諸多命題。又以真實個案採用「資訊安全多準則評估模式」，進行資訊安全評估，經驗証結果顯示模式的可用性。

資訊安全管理

資訊安全管理理論

整合系統理論

安全政策模式

成功關鍵因素

多準則評估

資訊安全評估模式

ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例 / Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C

孫天貴, Sun, Tien Kuei

Unknown Date

隨著資訊科技的蓬勃發展，資訊技術可以提昇組織效率與競爭力，資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生，資訊犯罪手法不斷翻新，所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮，對單位或公司而言風險不斷提高，傷害亦相對嚴重，甚至導致公司信譽破產，面臨倒閉威脅，為保護組織內部資訊相關資產與個人資料，並保持組織持續正常運作，資訊安全管理系統（ISMS）與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法；ISMS與PIMS分兩次來導入，造成組織增加工作負荷，有疊床架屋情形，成本有部分重複投資現象。本研究試著以資料的生命週期，資訊安全的機密性、完整性、可用性，PDCA運作模型...等角度進行本質上探討，來進行整合ISMS與PIMS的整合工作。 經文獻探討與專家學者建議，本研究突破各項盲點，從各角度分析進行多面向整合工作，並提出4點可有效整合具體作法：1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件，產出ISO27001適用性聲明須包含個資法。 本研究以國防部網站系統為例，運用整合結果進行實作，將實作經驗分享給未來有意導入ISMS與PIMS之IT人員，實作結果也證實本研究提出論點確實有效，更有效且更有邏輯性的面對各種資安與個資問題，以作業流程面來分析資安與個資，讓每個控制點更加明確，最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作，也證明本研究整合後，在實施（Plan-Do-Check-Act）管理系統確實有效，均能符合相關標準與法規。

資訊安全管理系統(ISMS)

個人資料管理系統(PIMS)

MSS

個人資料保護法

ISO27001

TPIPAS

BS10012