資訊安全「影響因素與評估模式」之研究

洪國興

Unknown Date

由於資訊科技的快速進步，電子商務的盛行，組織的資訊環境隨之大幅變遷，資訊系統用者已由組織內部的特定人員，迅速擴大到無國界而不特定的任何人，組織對資訊系統的依賴亦日益加深，凡此種種，都使得組織的資訊安全面臨空前的挑戰。世界各地每天都在上演著，無孔不入的網路入侵，組織內部的人謀不臧，及層出不窮的各種災害，因此，舉世無不對資訊安全更加的重視，期望資訊安全管理理論能作為組織資訊安全管理之策略方針，建構一個與技術無關的資訊安全管理系統，並評估此一系統的有效可行，實為本研究之目標。 本研究經由文獻探討，實務觀察，將資訊安全管理理論歸納為：安全政策理論、風險管理理論、控制與稽核理論、管理系統理論、權變理論等五種，繼而針對上開理論之不足與侷限，建構資訊安全管理之「整合系統理論」，以因應組織資訊安全管理循序程序與權變程序之需，此一理論包括：安全政策、風險管理、內部控制與資訊稽核，以權變管理為基礎的資訊安全管理架構。繼而以「整合系統理論」之權變程序與「安全政策理論」為基礎，發展「安全政策模式」，進行因徑分析，經驗證結果，「組織性質」與「資訊組織規模」之大小會影響「資訊安全政策制定時間」之早晚，「資訊安全政策」會影響組織「資訊安全之提昇」，且其兩者之間有因果關係。 本研究進而建構「影響資訊安全因素架構」，就資訊安全影響因素66項，對資訊人員進行問卷調查，經以因素分析結果，萃取八個因素構面，再以「整合系統理論」為基礎，轉化為「影響資訊安全關鍵因素架構」，包含8個關鍵因素構面。本研究以上開研究為基礎繼續發展「資訊安全評估總體指標」之層級結構，含9項評估構面，其最底層之評估準則共37項。繼而以層級程序分析法（AHP）就資訊安全評估總體指標各評估構面與評估準則進行權重評估，其評估構面權重之重要程度，依序為：「安全政策與資源」、「人員安全」、「存取控制」、「系統與網路」、「風險管理」、「實體安全」、「業務持續運作」、「資訊稽核」、「軟體管理」等，再結合目標，評估構面與評估準則之權重，建構「資訊安全多準則評估模式」。 本研究進而以實務探討及個案研究，驗證研究結果之可用性，對於組織解決資訊安全問題之管理、產品與工具、委外服務之策略，及資訊安全管理程序等，經訪查結果顯示：組織解決資訊安全問題，具有權變管理的多元程序之特性，並發展諸多命題。又以真實個案採用「資訊安全多準則評估模式」，進行資訊安全評估，經驗証結果顯示模式的可用性。

資訊安全管理

資訊安全管理理論

整合系統理論

安全政策模式

成功關鍵因素

多準則評估

資訊安全評估模式