企業資訊安全營運管理之績效評估

Chiung-Ying Huang; 黃瓊瑩

請用此 Handle URI 來引用此文件： http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/10270

完整後設資料紀錄

DC 欄位	值	語言
dc.contributor.advisor	孫雅麗(Yeali S. SUN)
dc.contributor.author	Chiung-Ying Huang	en
dc.contributor.author	黃瓊瑩	zh_TW
dc.date.accessioned	2021-05-20T21:15:47Z	-
dc.date.available	2013-06-30
dc.date.available	2021-05-20T21:15:47Z	-
dc.date.copyright	2011-02-20
dc.date.issued	2011
dc.date.submitted	2011-01-28
dc.identifier.citation	[1]A Complete Guide to the Common Vulnerability Scoring System, Version 2.0, Forum of Incident and Security Teams (FIRST) and the Common Vulnerability Scoring System-Special Interest Group (CVSS-SIG)., June 2007. [2]Maizlitsh B. and Handler R., IT Portfolio Management: Step by Step, John Wiley & Sons, 2005, p. 53. [3]COBIT 4.1 - Control Objectives for Information and related Technology, IT Governance Institute (ITGITM), 2007. [4]Conficker, Wikipedia, , http://en.wikipedia.org/wiki/Conficker [5]Doran, George T. 'There's a S.M.A.R.T. way to write managements's goals and objectives.' and Miller, Arthur F. & Cunningham, James A 'How to avoid costly job mismatches' Management Review, Nov 1981, Volume 70 Issue 11. [6]Federal Information Security Management Act (TITLE III—Information Security), December 2002. [7]ISO/IEC - Information technology — Security techniques — Information security incident management, First edition, 2004-10-15. [8]ISO/IEC 27006 - Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. [9]Jaquith Andrew, “Security Metrics, Replacing Fear, Uncertainty, and Doubt”, Addison Wesley, 4th Printing, October 2008. [10]The New Oxford American Dictionary, Second Edition, Hardback, Mar 2005, ISBN13: 9780195170771, ISBN10: 0195170776, Oxford University Press. [11]Zavidniak Paul, Dr. D’Amico Anita and McCallam Dennis H., “Achieving Information Resiliency”, Information Security Technical Report, Vol 4, No. 3 (1999) 54-62, Elsevier Science Ltd. [12]九十四年度國家資通安全技術服務與防護管理計畫：資安規範整體發展藍圖。執行機構：財團法人資訊工業策進會。行政院研考會委託。 [13]中華民國97 年電腦應用概況報告，行政院主計處電子處理資料中心，中華民國 98 年9 月編印。 [14]台灣金融卡多元應用-網路ATM之應用與發展，李成全，財金資訊季刊第64期，2010/03/30。 [15]金管會銀行局98年7月27日銀局(法)字第09800303590、09800303591號函，由銀行公會與聯徵中心共同研商於98年12月前辦理作業風險外部損失資料庫。 [16]金融機構自動化服務概況，行政院金融監督管理委員會銀行局統計室，2010/11/15。 [17]計算機信息系統安全等級保護管理要求，GA/T 391-2002, 中華人民共和國公共安全行業標準，2002/7/18實施。 [18]總統令：個人資料保護法，中華民國99年5月26日，華總一義字第09900125121號。 [19]國家資通安全政策研討會，行政院國家資通安全會報，中華民國98 年6 月。 [20]淺談BASEL II，蔡明熹，http://blog.sina.com.tw/ases_1995/category.php?pbgid=33445&categoryid=134682，2007/10/01。 [21]慎選合適的企業防火牆，資訊與電腦 208期(民國86年11月)：頁95-96。 [22]資訊安全通訊：Vol.14 Number 1, P11, 中華民國資訊安全學會。 [23]銀行公會98年8月10日全風字第0980002071A號函，作業風險資料報送。
dc.identifier.uri	http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/10270	-
dc.description.abstract	企業經營者均體認資訊安全對企業IT營運的重要性，但投資在資訊安全防護上的資源，是否得到合理效益，如何評估資訊安全營運管理的績效？由於資訊安全涉及複雜的技術與管理問題，且攻擊手法與變化甚為快速，每一個環節都有可能衍生風險，過去沒有問題的IT環境，不保證現在或未來仍能固若金湯、安全無虞。企業除了自行聘用資訊安全專長的員工負責企業本身的安全，也可以選擇委外專業的資訊安全服務廠商，提供企業資訊安全服務。本論文探討資訊安全營運管理的技術架構，並設計「技術管理」與「營運管理」的績效評估指標，用來衡量資訊安全營運管理表現的良窳。這些指標可以當作日常營運管理的工具，隨時了解整體營運管理的表現，及時採取各種矯正或改善措施，控制資訊安全風險。本論文進一步依照所設計績效評估指標，就真實發生的個案，計算實際金錢損失以衡量投資效益。各項績效評估指標，依照Specific, Measureable, Attainable, Repeatable, Time-dependent的S.M.A.R.T 原則設計，內容均為量化的單位如小時、次數、百分比等，避免個人主觀 (Subjective) 認定不同，而有不同判斷。各項指標可以合理的代價（時間、金錢、人力）有效取得，具備可操作性。有了適當的績效評估指標，本論文運用真實個案，嘗試回答以下管理者關心的問題。 ●投入的資訊安全成本，是否獲得「合理效益」？ ●要「投資多少」資源，才能達到安全的程度？ ●資訊安全的狀態「比」過去好嗎？	zh_TW
dc.description.abstract	Information Security is a pivotal component in modern business activities without questions. Enterprise should exercise due care to perform the ongoing maintenance necessary to keep IT systems in proper working order, or to abide by what is commonly expected in a situation. IT head is responsible to implement countermeasures to provide protection from those threats. By developing and implementing security policies, procedures, and standards, shows that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees from possible threats. It is especially important if the due care situation exists because of a contract, regulation, or law. However, there’s been a lack of well-defined performance evaluations indexes to understand the return of investment regarding information security operations. The thesis designs “technical management” and “operational management” performance indexes to help enterprise top management level to evlautie the return regarding the money paid for security operations. Moreover, real security incident cases are discussed and the financial losses are calculated as well to response the concerns from the top management viewpoints: 1)Am I spending the right amount of money? 2)How much should I pay for information security? 3)Am I better off than I was this time last year? The indexes designed in the thesis are evaluated to a number, percentage or time elapsed. They are contextually specific, measureable, attainable (cheap to gather) repeatable and time-dependent. In addition, all of the indexed are clear, unambiguous and can be consistently measured without subjective distortion.	en
dc.description.provenance	Made available in DSpace on 2021-05-20T21:15:47Z (GMT). No. of bitstreams: 1 ntu-100-P96747011-1.pdf: 5011111 bytes, checksum: 1884e89afe07ff7ae28820236f8435c3 (MD5) Previous issue date: 2011	en
dc.description.tableofcontents	第一章緒論 1 第一節、研究背景與動機 1 第二節、研究目的 2 第二章文獻探討 4 第一節、 COBIT 簡介 4 第二節、 CVSS –共通弱點評分系統 9 第三節、銀行業資訊安全損失估算方法 11 第四節、個人資料保護法的罰則 15 第三章 SOC 資訊安全服務概述 17 第一節、服務概述 17 第二節、 SOC 平台之技術架構 18 第三節、組織與人力 21 第四節、資安事件管理作業 24 第五節、 SOC 營運技術與智慧 29 第六節、 SOC 績效評估架構 31 第四章技術管理指標 32 第一節、組態管理 32 第二節、弱點管理 33 第三節、補強管理 35 第四節、閘道管制 36 第五節、防毒管理 44 第六節、技術管理指標彙總 47 第五章營運管理指標 48 第一節、風險研判與分級 48 第二節、風險等級指標 56 第三節、關聯分析規則品質指標 58 第四節、事件通報質、量指標 64 第五節、事件處理質、量指標 69一、中繼站數量 69 第六節、平台管理指標 73 第七節、技術管理指標彙總 76 第六章績效指標彙整與投資效益分析 78 第一節、績效評估指標彙整 78 第二節、與COBIT 控制目標比較 79 第三節、績效評估指標與個案研究 81 第四節、案例分析：銀行 82 第五節、案例分析：醫療機構 93 第七章結論與建議 97 第一節、研究結論 97 第二節、後續研究建議 98
dc.language.iso	zh-TW
dc.title	企業資訊安全營運管理之績效評估	zh_TW
dc.title	IT Security Operations Management: Performance Evaluation	en
dc.type	Thesis
dc.date.schoolyear	99-1
dc.description.degree	碩士
dc.contributor.oralexamcommittee	蔡益坤(Yih-Kuen Tsay),許瑋元(Carol Hsu),李漢銘(Han-Ming Lee),陳孟彰(Meng-Chang Chen)
dc.subject.keyword	資訊安全防護管理中心,績效評估指標,SMART原則,	zh_TW
dc.subject.keyword	Security Operations Center,Key Performance Indicator,Performance Evaluation Indexes,SMART Criteria,	en
dc.relation.page	101
dc.rights.note	同意授權(全球公開)
dc.date.accepted	2011-01-28
dc.contributor.author-college	管理學院	zh_TW
dc.contributor.author-dept	資訊管理組	zh_TW
顯示於系所單位：	資訊管理組

文件中的檔案：

檔案	大小	格式
ntu-100-1.pdf	4.89 MB	Adobe PDF	檢視/開啟

顯示文件簡單紀錄

系統中的文件，除了特別指名其著作權條款之外，均受到著作權保護，並且保留所有的權利。