簡易檢索 / 詳目顯示

回結果列表
研究生: 陳瑋寧
Wei-nin Chen
論文名稱: 運用層級分析法建立資訊安全績效指標權重研究-以某公家機構為例
A Framework of Aligning Information Security Performance Indicators to Business Objects with AHP- A Case Study on a Major Government Organization industry
指導教授: 查士朝
Shi-Cho Cha
口試委員: 周子銓
none
黃世禎
none
學位類別: 碩士
Master
系所名稱: 管理學院 - 管理學院MBA
School of Management International (MBA)
論文出版年: 2009
畢業學年度: 97
語文別: 中文
論文頁數: 99
中文關鍵詞: 資訊安全資安指標
外文關鍵詞: information security, security metrics
相關次數: 點閱:189下載:12
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    •   本研究的目的,在以探討組織如何有效的使用資訊安全度量指標來評估資訊安全的有效性,讓組織能容易理解評估度量所帶來的訊息及意義,並希望透過這些資訊安全評估度量的數據,找到有效且具意義的評估度量,以改善並提高組織的風險管理與有效控制能力,增加組織的防禦功能,全面掌控組織的資訊安全。
      截至目前為止,有關資訊安全的度量指標種類繁多,各個國家也訂定了很多不同的標準,然而標準很多,卻很難找到一個統一且有效的方法,可以將各個企業組織的資訊安全政策與資訊安全指標做連結。
      在此前提下,本文參考許多文獻、標準及書籍,並運用AHP層級分析法進行資訊安全度量的重要性探討,將所得到之數據做一個有效的排序,希望可以透過AHP的運用,將組織政策與目標和資訊安全績效指標做一個有意義的連結,並且建立具有意義的「資訊安全關鍵績效度量評估考核表」,提供組織做為資訊安全衡量之標的,透過這樣的分析與應用,可以協助組織降低資訊安全的風險,並可彰顯資訊安全的效益,進而促使高階主管對資訊安全管理有所認同。

      Several security metrics have been proposed to measure the effectiveness and states of information security in an organization recently. However, people in an organization may have trouble to utilize the metrics because the people may not know how to link the metrics to business objectives.
      In this case, the purpose of this article is to propose 「A Framework of Aligning Information Security Performance Indicators to Business Objects with AHP - A Case Study on a Major Government Organization industry」. In this frame work, an organization should develop a hierarchical tree of security metrics. The root of hierarchical tree is business objective. The root has several Childs to represent security objectives.
      Each security objective may have future each objective can be measures by several security metrics, which can future be matured by several sub-metrics. The organization can use AHP technology to colcalate might of the metrics. In addition to propose the framework, this study also validates the framework with us survey the literatures and develop a hierarchial tree based on the literature. The questionnaire of this study is designed by AHP, and distribute to the case companies. The case companies can develop a scale based on the result. And build a relationship between the organizational information security index and organizational strategy effectively by the scale. Finally, based on the analysis and application of the scale, the executive management will understand the importance of information security management.

    目錄 摘要I ABSTRACTII 誌謝III 目錄IV 表目錄VII 圖目錄IX 第一章緖論2 1.1研究背景與動機2 1.2研究目的2 1.3研究流程3 1.4研究限制3 第二章文獻探討5 2.1指標工具整理5 2.1.1ISO/IEC27001:20055 2.1.2COBIT6 2.1.3NIST 800-559 2.2平衡計分卡與資安指標的連結12 2.2.1SECURITY METRICS架構整理18 2.2.2其他文獻20 2.3ANALYTIC HIERARCHY PROCESS(AHP)簡介22 2.3.1AHP的應用領域22 2.3.2AHP的優點與缺點23 第三章研究方法24 3.1指標選則說明24 3.1.1資安文獻整理與參考24 3.2AHP問卷設計25 3.2.1AHP問卷資料輸入28 3.2.2特徵向量值之計算29 3.2.3模式建構之信度與效度31 第四章個案介紹33 4.1個案組織背景介紹33 4.2個案組織的資訊安全架構與資訊安全政策33 4.3個案與平衡計分卡的連結可行性35 第五章問卷調查結果討論與分析37 5.1主構面評選準則分析37 5.2財務構面評選準則分析38 5.3財務構面評選準則分析39 5.4內部流程構面評選準則分析41 5.5學習與成長構面評選準則分析44 5.6構面權重分析48 5.7整體權重分析55 5.8建構資安評估模式60 第六章結論與建議65 6.1研究發現65 6.1.1AHP研究發現65 6.1.2研究建議66 6.2.研究貢獻67 6.2.1學術面67 6.2.2實務面67 6.3.後續研究建議68 參考文獻69 附件A 度量指標說明73 附件B AHP問卷調查78 表目錄 表格 2 1  BS7799優缺點 (來源:本研究整理)6 表格 2 2 COBIT優缺點 (來源:本研究整理)9 表格 2 3 NIST優缺點 (來源:本研究整理)11 表格 2 4 IT平衡計分卡財務構面指標整理 (來源:本研究整理)14 表格 2 5 IT平衡計分卡客戶構面指標整理 (來源:本研究整理)15 表格 2 6 IT平衡計分卡內部流程構面指標整理 (來源:本研究整理)16 表格 2 7 IT平衡計分卡學習與成長構面指標整理 (來源:本研究整理)18 表格 2 8 IT平衡計分卡指標[10] (來源:本研究整理)21 表格 2 9 AHP優缺點 (來源:本研究整理)23 表格 3 1 AHP評估尺度定義 (來源:本研究整理)26 表格 3 2 AHP問卷調查範例1 (來源:本研究整理)27 表格 3 3 AHP問卷調查指標對應表 (來源:本研究整理)27 表格 3 4 AHP問卷調查範例2 (來源:本研究整理)28 表格 3 5 問卷調查登入值對照表 (來源:本研究整理)29 表格 3 6 AHP 資料輸入(範例1) (來源:本研究整理)29 表格 3 7 AHP 資料輸入(範例2) (來源:本研究整理)30 表格 3 8 SAATY所歸納的隨機指標表 (來源:本研究整理)31 表格 5 1 主構面專家群評估決策表(幾何平均數) (來源:本研究整理)37 表格 5 2 財務構面專家群評估決策表(幾何平均數) (來源:本研究整理)38 表格 5 3 「減少資安事件的損失」目標專家群評估決策表(幾何平均數)38 表格 5 4 「提升對自身的了解」目標專家群評估決策表(幾何平均數)39 表格 5 5 「加強交易安全」目標專家群評估決策表 (來源:本研究整理)39 表格 5 6 「加強交易安全」目標專家群評估決策表(幾何平均數)40 表格 5 7 「注重外部滿意度」目標專家群評估決策表(幾何平均數)40 表格 5 8 內部流程構面專家群評估決策表(幾何平均數)41 表格 5 9 「政策的一致性」目標專家群評估決策表(幾何平均數)42 表格 5 10 「減少不合法」目標專家群評估決策表(幾何平均數)43 表格 5 11 「增進系統能力」目標專家群評估決策表(幾何平均數)43 表格 5 12 「符合指導方針」目標專家群評估決策表(幾何平均數)44 表格 5 13 學習與成長構面專家群評估決策表(幾何平均數)45 表格 5 14 「增強保護」目標專家群評估決策表(幾何平均數)46 表格 5 15 「增加教育訓練與參與」目標專家群評估決策表(幾何平均數)47 表格 5 16 「具有強烈維持性」目標專家群評估決策表 (來源:本研究整理)47 表格 5 17 「滿足需求」目標專家群評估決策表(幾何平均數)48 表格 5 18 整體「財務」構面權重表 (來源:本研究整理)48 表格 5 19 整體「客戶」構面權重表 (來源:本研究整理)50 表格 5 20 整體「內部流程」構面權重表 (來源:本研究整理)51 表格 5 21 整體「學習與成長」構面權重表 (來源:本研究整理)53 表格 5 22 整體度量權重排序表 (來源:本研究整理)61 表格 5 23 整體度量權重分數對照表 (來源:本研究整理)62 表格 5 24 本研究製定「資訊安全關鍵指標績效評估表」(來源:本研究整理)63 圖目錄 圖 2 1 COBIT監控標準與預防措施指標 (來源:本研究整理)7 圖 2 2 COBIT監控標準與預防措施指標 (來源:本研究整理)8 圖 2 3 NIST層級架構 (來源:本研究整理)10 圖 2 4 平衡計分卡架構 (來源:本研究整理)12 圖 2 5 SECURITY METRICS資安BSC指標架構 (來源:本研究整理)20 圖 2 6 AHP架構 (來源:本研究整理)23 圖 3 1 資訊安全績效指標平衡計分卡25 圖 4 1 個案組織IT架構圖 (來源:本研究整理)34 圖 5 1 整體「財務」目標權重圖 (來源:本研究整理)49 圖 5 2 整體「財務」度量權重圖 (來源:本研究整理)49 圖 5 3 整體「客戶」目標權重圖 (來源:本研究整理)50 圖 5 4 整體「客戶」度量權重圖 (來源:本研究整理)51 圖 5 5 整體「內部流程」目標權重圖 (來源:本研究整理)52 圖 5 6 整體「內部流程」度量權重圖 (來源:本研究整理)53 圖 5 7 整體「學習與成長」目標權重圖 (來源:本研究整理)54 圖 5 8 整體「學習與成長」度量權重圖 (來源:本研究整理)55 圖 5 9 四大構面整體權重圖 (來源:本研究整理)56 圖 5 10 整體目標權重圖 (來源:本研究整理)57 圖 5 11 整體度量權重圖 (來源:本研究整理)58 圖 5 12 整體度量排序圖59

    [1] 林宜隆、黃淙澤,資訊安全管理制度風險評估手冊,國家資通安全會報技術服務中心,5,台北(2003)。
    [2] 王宇平, BS 7799 簡史, http://www.asmag.com/tw/feature/content.php?id=375&themeid=83&articles_group=13 (1999)。
    [3] Alan Calder and Steve Watkins, IT Goverence: a Manager’s Guide to Data Security and BS7799/ISO17799, Kogan Page, June (2005).
    [4] BS ISO/IEC 27001 Stand Alone, Lastviewed:Jul/15/2006, http://17799.standardsdirect.org/index.htm,
    [5] Information security and ISO27001 – an introduction , http://www.itgovernance.co.uk/files/
    [6] BSI, "Information security management- Part 2: Specification for information security management systems", BS 7799-2:1999, BSI (British Standards Institution) (1999).
    [7] 李慧蘭,國際資訊安全標準ISO 27001之網路架構設計-以國網中心為例探討風險管理,台灣網際網路研討會(2006)。
    [8] ITGI, COBIT (4 revision1), Control and Audit for Information and Related Technology, IT Governance Institute (2007).
    [9] James M. Turner, Performance Measurement Guide for Information Security (DRAFT), National Institute of Standards and Technology, http://csrc.nist.gov/publications/PubsSPs.html (2007).
    [10] Win Van Grembergen, “The balanced scorecard and IT governance, Idea Group Publishing,, 2 (2000).
    [11] 周齊武、Kamal Haddad、吳安妮,企業推行平衡計分卡之可行結構-台灣經理人員之觀點(一),會計研究月刊,137 - 174 ,台北 (2000)。
    [12] 吳安妮,淺談平衡計分卡成功實施之經髓概念,會計研究月刊, 26 - 198 (2002)。
    [13]  Robert S. Kaplan and David P. Norton著,朱道凱譯,平衡計分卡,臉譜出版 (2002)。
    [14] 方鴻春,企業建置ISMS之平衡績效指標研究,台灣科技大學工業管理所碩士論文,27 (2004)。
    [15] 陳正平等譯,Robert S. Kaplan,David P. Norton著,策略地圖:串連組織策略從形成到徹底實施的動態管理工具,臉譜出版,城邦文化發行,台北市 (2004)。
    [16] Wim Van Grembergen, Ronald Saull and Steven De Haes, Linking the IT Balanced Scorecard to the Business Objectives at a Major Canadian Financial group, Journal of Information Technology, Vol.5, Iss.1, pp.23 (2003).
    [17]  Wim Van Grembergen, Rik Van Bruggen, Measuring and improving corporate information technology through the balanced scorecard, Proceedings of the Fourth European Conference on the Evaluation of Information technology, Deflt, October, pp.163 (1997).
    [18] Maris Martinsons, Robert Davison and Dennis Tse c.,The balanced scorecard: a foundation for the strategic management of information systems, Decision Support Systems, PP.71 (1997).
    [19] Wim Van Grembergen and Ronald Saull, Aligning Business and Information Technology through the Balanced Scorecard at a Major Canadian Financial Group, Proceedings of the 34th Hawaii International Conference on System Sciences (2001).
    [20] Ronald Saull, The IT Balanced Scorecard -- A Roadmap to Effective Governance of a Shared Services IT Organization, Information Systems Control Journal, Volume 2 (2000).
    [21] Wim Van Grembergen, Steven De Haes and Isabelle Amelinckx, Using COBIT and the Balanced Scorecard as Instruments for Service Level Management, Information Systems Control Journal and the Journal of Information Technology Cases and Applications, Volume 4 (2003).
    [22] Shi-Ming Huang, Chia-Ling Lee and Ai-Chin Kao, Balancing performance measures for information security management - A balanced scorecard framework, Industrial Management & Data Systems(SCI/EI Journal), Volume 106 Issue 2 (2006).
    [23] 鍾玉科、戴軒廷、馬恆、張紹勳, 公部門組織績效衡量指標之建構_平衡記分卡之應用, 中華管理評論國際學報, volume 1, PP.7 (2004).
    [24] 梁鐿徽、陳正義、王秋燕建, 構高中職資訊部門平衡計分卡績效衡量指標之研究, 義守大學資訊管理研究所碩士論文 (2005).
    [25] 黃鐵豪, 層級分析法(Analytic Hierarchy Process,AHP)的介紹與應用, http://www.im.usc.edu.tw/chianson/3a/%BCh%AF%C5%A4%C0%AAR%AAk.doc (1997).
    [26]  邱稜育,探究全國品牌製造商代工零售商司有品牌的策略動機因素, 高雄第一科技大學行銷與流通管理系碩士論文 (2007).
    [27] Saaty T. L., The Analytic Hierarchy Process, McGraw Hil , New Yor. (1980).
    [28] 盧彥旭 , 資訊系統委外選商評選準則及權重之建立, 世新大學資訊管理研究所碩士論文 (2000).
    [29] 莊明政, 測量與測量的淨化, 世新大學資訊管理研究所碩士論文 (2000).
    [30] 羅福枝, 台灣資訊系統整合業工程人員績效評估之研究, 世新大學資訊管理研究所碩士論文 (2005).
    [31] 鄧振源、曾國雄, 分析層級法的內涵特性與應用,中國統計學報,Volume 27-6,PP. (1989).
    [32] 刀根薰, 競賽式決策制定法-AHP入門,建宏出版社 (1993).
    [33] Andrew Jaquith, Security Metrics-Replacing Fear, Uncertainty, and Doubt, Inc, Publishing as Addison Wesley Professional (2007).

    QR CODE