應用錯誤樹分析方法獲取組織資訊安全需求之研究 / A Study of Appling Fault Tree Analysis to Acquire the Security Requirements of An Information System

顏小娟, Hsiao Chuan Yen

Unknown Date

根據研究報告調查發現，即使組織已經使用了安全機制仍無法完全阻止危害組織資訊安全事件的發生，這是因為組織的資訊安全管理是一個不斷改善的過程，並不是使用了安全防護措施之後，就可以高枕無憂，除了架構安全防護機制外，還需要去分析資訊的機密性、完整性或可得性等是否真能夠受到保護？所使用的安全機制是否真能解決組織的資訊安全問題？或是所提供的安全程度是否能接受等？ 為了解決上述等問題，本研究希望從管理的角度切入，應用錯誤樹分析方法在資訊安全管理的領域上，希望藉由此方法幫助管理者獲知組織的資訊安全需求，然後透過資訊安全管理不斷改善的過程，改善組織資訊安全的弱點，提高組織安全的可靠度。 依據研究架構，結合BS7799此資訊安全管理標準，並應用錯誤樹分析方法，將資訊安全政策轉換為資訊安全模型，由此資訊安全模型作進一步的定性與定量分析；本研究利用錯誤樹分析方法的六個步驟，實際模擬組織資訊安全需求獲得的過程，並透過分析的結果，幫助組織從中獲取資訊安全的需求，找出資訊安全的弱點，作為組織資訊安全改進的參考與依據。 / As the investigate report dictated, the degree of security of an information system does not only depend on the security mechanism installed by the organization. It is a continuous and recursive procedure. Most researches are technique-oriented currently. In order to adjust this bias, this research propose a new approach, which is from the management perspective. BS7799 is used for the information security policy reference. FTA is used to build up the information security model and acquire the requirements of an information system and verify its effectiveness. The result can promote the reliability of the information system and reduce the vulnerability of the system too.

資訊安全

錯誤樹分析

Information Security

Fault Tree Analysis