簡易檢索 / 詳目顯示

研究生: 楊正康
Cheng-Kang Yang
論文名稱: 保險業導入資訊安全管理系統之個案研究 – S保險公司的資安危機與轉機
The case study of Implementing ISMS to Insurance Company
指導教授: 楊朝龍
Chao-Lung Yang
口試委員: 羅乃維
Kung-Jeng Wang
學位類別: 碩士
系所名稱: 管理學院 - 工業管理系
Department of Industrial Management
論文出版年: 2019
畢業學年度: 107
語文別: 中文
論文頁數: 67
中文關鍵詞: 資訊安全管理系統風險管理內外部稽核機制資訊安全事故
外文關鍵詞: Information Security Management System, Risk Management, Internal/ External Audit Mechanism, Information Security Incident
相關次數: 點閱:566下載:0
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報
  • 本文管理個案—S公司是一間保險公司,多年來經營有方,屢建佳績,在台灣的保險業之中締造出亮眼的成績單。近年來因應急遽成長的業務量,大舉擴充資訊營運設備及人力,並以擁有同業中頂尖的IT團隊自豪。然而,S保險公司在2011年卻一連發生三起資安事故與客戶資料外洩的事件,除其核心系統「要保系統」被駭客勒索外,經舉報在某社交網站發現1700多筆該公司客戶的要保資料,此外又發現離職的人員攜走數百筆VIP重要客戶資料。造成S保險公司的客戶流失及負面名聲,間接衍生出收入損失及營運危機。為應付潛在危機並降低營運上的風險,S保險公司決心建立符合自身的資訊安全管理系統(Information Security Management System),期待引進有效的管理方法, 強化公司整體的資訊安全管控。但早已習慣原有公司文化,看重「速度、效率」而輕「管控、監督」的資深員工們,對於新的管理制度多加以抵制,不然就是應付了事,增加了許多推動的阻力。對此,管理階層從而加強適切的教育訓練、用對的方法、並將資安稽核加入原本的內部稽核機制中。在左右開弓的模式下, 使新的管理制度快速進入軌道。透過案例的探討,可以讓學習者了解,一個擁有穩定獲利並有市場規模的成熟企業在經營的過程中,除了新的業務開發與創新外,健全的企業管理策略,完善的公司治理,如何守住原本就已佔領的灘頭堡,不因為內、外部危機而撤守,或許才是企業最重視的議題。本論文包含個案內容和教師手冊兩部分,透過本論文,藉此培養領導者決策思維,必須嚴謹客觀分析,比較其結果優劣及所掌握的資訊,進而在日後碰到類似狀況時,能從個案中獲得不同角度的啟發,並可觸類旁通,增加思考的層面,確保決策的執行成效。

    Information Security Management System (ISMS) is a set of policies and procedures describing the controls that the organization implements for protecting the confidentiality, integrity and availability of information assets from internal or external threats and vulnerabilities. In this case study, the scenario of introducing ISMS to the insurance company is investigated. In 2011, S insurance company suffered three information security incidents causing information leakage and business crisis. Thus, the top management decided to establish their own ISMS suiting to S company itself in order to control all potential risks of information security. However, the ISMS implementation met huge resistances from internal employees. The security control execution could not synchronize original company culture and staff operation habit. In addition, because the resources that S insurance company can provide for implementing information security controls were restricted, how to prioritize the analyzed risks for these limited resources is the other critical issue. The information security internal and external audit mechanism was appropriately established as well in order to monitor and oversee the ISMS status. The managerial methodology such as risk management, information asset management, information security management, and business continuity management are used in this case to assist enterprises resolve the mentioned issues and avoid the failure of implementing ISMS. This case is suitable as a teaching material for enterprises to study the practical implement of ISMS.

    摘要 I Abstract II 誌謝 III 目錄 IV 表目錄 5 圖目錄 6 第1章 個案背景介紹 7 第1節 保險業概況 7 第2節 S保險公司的發展沿革歷史 11 第3節 S保險公司所遭遇的管理問題 14 第2章 個案本文 18 第1節 開場白 18 第2節 導入ISMS的衝擊及蛻變 22 第3節 S保險公司成功導入ISMS的關鍵決策?成功導入關鍵因素? 47 第3章 個案討論 50 第1節 個案總覽 50 第2節 教學目標與適用課程 51 第3節 學生課前準備及討論問題 52 第4節 個案人物背景 53 第5節 個案分析 53 第6節 課程結論 63 第7節 教學建議及時間分配 63 第4章 結論 64 參考文獻 66

    一、 中文部分
    1. 法務部,個人資料保護法,全國法規資料庫,https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
    2. 法務部,個人資料保護法施行細則,全國法規資料庫,https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022
    3. 中華民國人壽保險商業同業公會,壽險業辦理資訊安全防護自律規範,http://www.lia-roc.org.tw/index06/law/壽險業辦理資訊安全防護自律規範.htm
    4. 中華民國保險代理人商業同業公會,保險經紀人資訊安全作業控管自律規範,http://www.ciaa.org.tw/doc/CIAA_laws/保險代理人資訊安全作業控管自律規範.pdf
    5. 中華民國國家標準,CNS 27001 資訊技術 – 安全技術 – 資訊安全管理系統 – 要求事項
    6. 金管會,保險業內部控制及稽核制度實施辦法,https://law.fsc.gov.tw/law/LawContent.aspx?id=FL006839
    二、 網路部分
    7. 台灣人最愛買保險,解讀近15年關鍵大數據 – 經濟日報引用財團法人保險事業發展中心報告,https://money.udn.com/money/story/8853/3041917,2018
    8. 保險業的新常態:驅動創新的保險科技 – PWC資誠聯合會計師事務所2017 年全球金融科技調查報告,https://www.pwc.tw/zh/publications/topic-report/fintech-2-0-insurance.html,2017
    9. 台灣保險業的困局與因應 – 財團法人國家政策研究基金會,https://www.npf.org.tw/3/8990 ,2011
    三、 英文部分
    10. ISO/IEC 27001:2013, Information Technology – Security Techniques – Information Security Management System – Requirements
    11. ISO/IEC 27002:2013, Information Technology – Security Techniques – Code of practice for Information Security Controls
    12. ISO/IEC 27005, Information Technology – Security Techniques –Information Security Risk Management
    13. ISO 31000:2009, Risk Management – Principles and Guidelines.
    14. ISO/IEC 27007, Information Technology – Security Techniques – Guidelines for Information Security Management Systems Auditing
    15. ISO 22301, Societal Security – Business Continuity Management Systems – Requirements

    無法下載圖示 全文公開日期 2024/01/28 (校內網路)
    全文公開日期 2026/01/28 (校外網路)
    全文公開日期 2026/01/28 (國家圖書館:臺灣博碩士論文系統)