企業資訊安全治理與管理框架實作探討： 金融業個案研究

Jung-Jay Jan; 詹中傑

請用此 Handle URI 來引用此文件： http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/81856

完整後設資料紀錄

DC 欄位	值	語言
dc.contributor.advisor	林永松
dc.contributor.author	Jung-Jay Jan	en
dc.contributor.author	詹中傑	zh_TW
dc.date.accessioned	2022-11-25T03:05:10Z	-
dc.date.available	2024-01-18
dc.date.copyright	2022-02-18
dc.date.issued	2022
dc.date.submitted	2022-01-26
dc.identifier.citation	一、中文部份 1. iThome，2019，【臺灣資安大會直擊】金管會大談四大金融資安監理，顧立雄更要金融業將資安視為業務創新的基石，https://www.ithome.com.tw/news/129508，搜尋日期2020年1月26日。 2. iThome，2020，F-ISAC屆滿三年，金管會揭露推動進度與成果，將推動金融機構資安治理成熟度評估，https://www.ithome.com.tw/news/140906，搜尋日期2020年1月26日。 3. iThome，2021，台灣資安市場地圖，https://www.ithome.com.tw/aboutus/，搜尋日期2021年2月24日。 4. MBA智庫百科，2021，績效管理，https://wiki.mbalib.com/zh-tw/绩效管理，搜尋日期2021年2月24日。 5. 中國民國資訊軟體協會，2019，台灣資安產品及服務通過能量登錄服務機構地圖，https://www.acw.org.tw/News/Detail.aspx?id=107，搜尋日期2021年2月24日。 6. 王希文，2021，談金融生態圈之發展及規範：以電子支付、純網路銀行及開放銀行為中心，國立中正大學財經法律系研究所碩士論文。 7. 王東紅、孫強、陳偉，2004，信息安全管理：全球最佳實務與實施指南，https://books.google.com.tw/books?id=-5QxgpIab4kC pg=PR5 dq=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%B2%BB%E7%90%86 hl=zh-TW sa=X ved=2ahUKEwi2h47r8ubzAhU-xIsBHTJ_D3IQ6AF6BAgJEAI#v=onepage q=%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%B2%BB%E7%90%86 f=false，搜尋日期2020年1月26日。 8. 台灣證券交易所，2019，公司治理宣導，https://www.twse.com.tw/staticFiles/news/event/ff80808167ee6fdf01695b06fe7b07be.pdf，搜尋日期2020年12月29日。 9. 行政院國家資通安全會報技術服務中心資安人才培訓服務網，2020，資安專職人力職能，https://ctts.nccst.nat.gov.tw/about/Training，搜尋日期2020年10月23日。 10. 行政院資通安全處，2017，資通安全管理法與發展藍圖，https://s.itho.me/egov/2017/A-1320.pdf，搜尋日期2020年1月26日。 11. 行政院資通安全處，2018，資通安全情資分享實務， http://download.nccst.nat.gov.tw/attachfilehandout/05._資通安全情資分享實務_v.7.pdf 12. 李于宏，2021，防護刻不容緩資安求才若渴，財金資訊季刊，第100期：38-45。 13. 李吉仁，2011，對的組織勝過好的策略，https://www.hbrtaiwan.com/article_content_AR0001821.html，搜尋日期2021年12月2日。 14. 李吉仁，2019，驅動轉型成為轉機，https://www.hbrtaiwan.com/article_content_AR0008782.html，搜尋日期2021年12月2日。 15. 李芊曄、劉洪森、葛迎、曾希雯、李雙喜、李燁茗、趙彤彤、袁俊、劉玲麟、洪瑋、洪振宇，2020，網路安全框架1.1，搜尋日期2020年1月26日。 16. 李坤達，2011，證券業資訊人員資訊安全認知對資安治理影響之研究，淡江大學資訊管理學系碩士在職專班碩士論文。 17. 季祥，2014，APT攻擊對企業資安政策之影響，中國文化大學商學院資訊管理學系碩士論文。 18. 金融監督管理委員會，2013，強化公司治理藍圖，https://www.fsc.gov.tw/fckdowndoc?file=/2013%E5%BC%B7%E5%8C%96%E6%88%91%E5%9C%8B%E5%85%AC%E5%8F%B8%E6%B2%BB%E7%90%86%E8%97%8D%E5%9C%96(1).pdf flag=doc，搜尋日期2020年12月29日。 19. 金融監督管理委員會，2016，金融科技發展策略白皮書，https://www.fsc.gov.tw/ch/home.jsp?id=517 parentpath=0,7,478，搜尋日期2020年1月23日。 20. 金融監督管理委員會，2020，金融科技發展路徑圖，https://www.fsc.gov.tw/ch/home.jsp?id=975 parentpath=0，搜尋日期2020年12月29日。 21. 金融監督管理委員會，2020，金融資安行動方案，https://www.fsc.gov.tw/ch/home.jsp?id=975 parentpath=0，搜尋日期2021年2月24日。 22. 金融監督管理委員會，2021，金融科技發展路徑圖金管會公布111年度金融查重點，https://www.feb.gov.tw/ch/home.jsp?id=53 parentpath=0,2 mcustomize=multimessage_view.jsp dataserno=202112210001 aplistdn=ou=news,ou=multisite,ou=chinese,ou=ap_root,o=fsc,c=tw dtable=News，搜尋日期2021年12月21日。 23. 洪孟芬，1985，資訊安全保護系統的存取控制技術，國立中興大學應用數學研究所碩士論文。 24. 洪智能，2012，我國大專校院資安治理成熟度及其相關因素之分析，淡江大學管理科學學系博士班論文。 25. 國際電腦稽核協會，2019，協會簡介，https://www.isaca.org.tw/about/1，搜尋日期2020年1月26日。 26. 陳慶儒，2016，影響資訊安全管理策略效益因素研究-以C金控公司為例，國立台北商業大學商學研究所碩士論文。 27. 彭仁岡，2004，國家資通訊安全管理之策略規劃探討，國立台灣科技大學資訊管理系碩士論文。 28. 湯明哲、李吉仁與黃崇興，2014，管理相對論(初版)，台北：城邦商業週刊。 29. 經濟部工業局，2019，經濟部工業局108年度資安專業人才職能分析報告，https://www.acwacademy.org.tw/functional-benchmark/，搜尋日期2020年10月23日。 30. 經濟部標準檢驗局，2013，CNS 27014，https://www.cnsonline.com.tw/?node=result typeof=common locale=zh_TW，搜尋日期2020年1月20日。 31. 維基百科，2020，國際標準化組織，https://zh.wikipedia.org/wiki/國際標準化組織，搜尋日期2020年1月20日。 32. 樊國楨、黃健誠，2009，資安治理推動方案與落實電子化資安管理初探，資訊安全通訊，15卷4期：1-23。 33. 潘世鳴、朱惠中，2011，量測資訊安全管理系統有效性方法之研究，第十七屆資訊管理暨實務研討會，台灣台南。 34. 蔡福隆，2018，推動我國金融資安聯防體系，財金資訊季刊，第94期：2-6。 35. 蕭瑞祥，2013，我國推動資安治理之建議，主計月刊，686期：34-40。 36. 總統府，2018，國家資通安全戰略報告，https://www.president.gov.tw/File/Doc/588f1a08-5ea7-41df-b0d0-482a00b45322，搜尋日期2020年1月24日。 37. 趨勢科技，2012，認識 APT-進階持續性滲透攻擊，https://blog.trendmicro.com.tw/?p=986，搜尋日期2020年1月26日。 38. 蘇凡真，2015，銀行業的資訊安全成熟度評估模式探討，大同大學事業經營研究所碩士論文。二、英文部份 1. Corporate Governance Task Force. 2004. Information Security Governance A Call to Action. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.535.6634 rep=rep1 type=pdf. Accessed Feb. 26, 2021. 2. Gartner. 2001. The Gartner Security Process Maturity Model. https://www.gartner.com/en/documents/326006/the-gartner-security-process-maturity-model. Accessed Aug. 26, 2021. 3. International Organization for Standardization. 2017. ISO 22316:2017. https://www.iso.org/obp/ui#iso:std:iso:22316:ed-1:v1:en. Accessed Sep. 20, 2021. 4. International Organization for Standardization. 2019. ISO 22301:2019. https://www.iso.org/obp/ui#iso:std:iso:22301:ed-2:v1:en. Accessed Sep. 20, 2021. 5. International Organization for Standardization. 2020. About us. https://www.iso.org/about-us.html. Accessed Jan. 20, 2020. 6. ISACA. 2010. The Business Model for Information Security. https://books.google.com.tw/books?id=Cv_Jq_23iEsC printsec=frontcover hl=zh-TW source=gbs_ge_summary_r cad=0#v=onepage q f=false. Accessed Jan. 26, 2020. 7. ISACA. 2017. Enterprise Security Architecture—A Top-down Approach. https://www.isaca.org/resources/isaca-journal/issues/2017/volume-4/enterprise-security-architecturea-top-down-approach. Accessed Aug. 26, 2021. 8. ISMS online. 2016. ISO 27004. https://www.isms.online/iso-27004/. Accessed Feb. 26, 2021. 9. Johnson, Everett C. 2006. Security Awareness: Switch to a Better Programme. Network Security, 2006(2):15–18. 10. National Institute of Standards and Technology. 2004. Guide to Selecting Information Technology Security Products. https://csrc.nist.gov/publications/detail/itl-bulletin/2004/04/selecting-information-technology-security-products/final. Accessed Feb. 27, 2021. 11. National Institute of Standards and Technology. 2008. Performance Measurement Guide for Information Security. https://csrc.nist.gov/publications/detail/sp/800-55/rev-1/final. Accessed Feb. 26, 2021 12. National Institute of Standards and Technology. 2020. About NIST. https://www.nist.gov/about-nist. Accessed Jan. 26, 2020. 13. Posthumus, Shaun, and Rossouw von Solms. 2004. A Framework for the Governance of Information Security. Computers Security, 23(8):638-646. 14. Relyea, Harold C. 2008. Federal Government Information Policy and Public Policy Analysis: A Brief Overview. Library Information Science Research, 30(1):2–21. 15. S.H. Von Solms and R.Von Solms. 2009. Information Security Governance by S.H. von Solms, Rossouw von Solms. Springer Science+Business Media, LLC. 16. SABSA. 2021. SABSA Executive Summary. https://sabsa.org/sabsa-executive-summary/#why-is-sabsa-so-successful. Accessed Aug. 26, 2021. 17. Wikipedia. 2013. Sherwood Applied Business Security Architecture. https://en.wikipedia.org/wiki/Sherwood_Applied_Business_Security_Architecture. Accessed Aug. 26, 2021. 18. Williams, Paul. 2001. Information Security Governance. Information Security Technical Report, 6(3):60–70.
dc.identifier.uri	http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/81856	-
dc.description.abstract	金融業為國家資通安全戰略的一環，亦為資通安全管理法所定義之關鍵基礎設施之一，故在資訊安全(Information Security)工作的執行上，金融業皆需依循政府主管機關訂定之各項規範，規劃並執行相關工作，然而在面對更進一步資訊安全治理(Information Security Governance)的問題時，若仔細檢視各層級規範，在相關規範中，對於能明確協助金融業高階主管據以執行策略與管理架構之建議，則尚未看到有完整之串聯及論述。為了協助金融業高階主管資訊安全治理的最佳實務思考，本研究採取個案研究法，結合筆者於EMBA課程中所學環境(Environment)、文化(Culture)、策略(Strategy)、組織(Organization)、人才(People)，簡稱ECSOP架構，及國際電腦稽核協會(ISACA)企業資訊安全模型(Business Model for Information Security)、美國國家標準暨技術研究院(NIST)網路安全框架(CSF)，提出資訊安全治理與管理框架實作建議，並利用以下七項步驟，期望提供金融業參考，以協助有效建立資訊安全治理機制，並進一步提高資訊安全治理成熟度：一、審視內外議題權重，擬定資安策略。二、依據組織資源特性，設計治理架構與資安權責。三、校準金檢查核重點，持續完備資安規範。四、順應國際主流趨勢，培育資安人才發展。五、鞏固縱深防禦，慎選資安合作夥伴。六、建立資安韌性與金融生態聯防體系。七、形塑全面資安文化，提升資安治理成熟度。最後本研究以某金融業實例，驗證所提出的「資訊安全治理與管理框架實作建議」對金融業的適配性與可行性，並提出可依據下列指標評量資訊安全治理成效：一、資安治理成熟度評估結果。二、內外部稽核缺失數量。三、資安人才證照比例。四、接受並通過資安培訓的人員的比例。五、社交工程演練點擊率。六、專案如期如質如預算達成率。七、關鍵風險指標達成率。八、發生作業風險事件等級之資安事件數量。九、資安事件通報查處回應成效。十、作業符合服務水準及復原時間目標等指標。本研究期望可提供金融業高階主管參酌評估所擬訂的資訊安全治理策略是否適當，所投入的防禦資源是否適量，及所衡量的績效指標是否適切的呈現資安治理成熟度。	zh_TW
dc.description.provenance	Made available in DSpace on 2022-11-25T03:05:10Z (GMT). No. of bitstreams: 1 U0001-2001202214203300.pdf: 6013324 bytes, checksum: 28e4d7e8cc28cc98e38806fd47c87c88 (MD5) Previous issue date: 2022	en
dc.description.tableofcontents	口試委員會審定書 ii 致謝 iii 中文摘要 iv THESIS ABSTRACT vi 目錄 viii 圖目錄 x 表目錄 xi 第一章緒論 1 第一節、研究背景 1 第二節、研究動機與目的 2 第三節、研究範圍 3 第四節、研究流程 4 第二章文獻探討 5 第一節、資訊安全治理 5 第二節、資訊安全框架 10 第三節、資訊安全防禦技術 16 第四節、資訊安全績效評量 20 第三章資訊安全治理與資訊安全框架之整合應用 34 第一節、資安治理與資訊安全框架整合應用 36 第二節、資安防護與資訊安全框架整合應用 37 第三節、資安韌性與資訊安全框架整合應用 38 第四節、資安治理與資安績效 40 第五節、資安治理與管理框架建構步驟 43 第四章建構符合資安治理與管理框架實作研究—金融業個案研究 46 第一節、個案公司概況 46 第二節、審視內外議題權重，擬定資安策略 48 第三節、依據組織資源特性，設計治理架構與資安權責 52 第四節、校準金檢查核重點，持續完備資安規範 56 第五節、順應國際主流趨勢，培育資安人才發展 58 第六節、鞏固縱深防禦、慎選資安合作夥伴 65 第七節、建立資安韌性與聯防體系 68 第八節、形塑全面資安文化，提升資安治理成熟度 70 第五章結論與建議 72 第一節、研究結論 72 第二節、研究限制 75 第三節、後續研究建議 76 參考文獻 77 圖目錄圖 1-1研究流程 4 圖 2-1資訊安全治理與資訊技術治理間之關係 5 圖 2-2資訊安全治理模型 9 圖 2-3 BMIS概觀 10 圖 2-4台灣資安市場地圖 16 圖 2-5台灣資安產品及服務通過能量登錄服務機構地圖 18 圖 2-6 CGTF資安治理成熟度評估模型 28 圖 2-7 ITGI資安治理成熟度模型 29 圖 2-8 Gartner資安治理成熟度評估模型 30 圖 2-9 ISO 27001資安治理成熟度評估模型 31 圖 2-10 SABSA資安治理成熟度評估模型 32 圖 2-11 FFIEC資安治理成熟度評估模型 33 圖 3-1資安治理構面 35 圖 3-2建構國家資安聯防體系 38 圖 3-3資安治理構面與關鍵資安績效指標關聯圖 41 圖 3-4建構完整資訊安全治理構面七步驟 43 圖 4-1 A公司與其子公司資安組織權責架構示意圖 47 圖 4-2 A公司與其子公司資安組織雙線報告關係 52 圖 4-3資訊單位與資安專責單位的關係第1種 53 圖 4-4資訊單位與資安專責單位的關係第2種 53 圖 4-5資安人才需求與職能職責對應關係 61 圖 4-6 A公司資訊安全專責人員績效指標 71 表目錄表 2-1資訊安全治理定義彙集 6 表 2-2 NIST CSF框架實施層級定義表 14 表 2-3台灣資安市場地圖資安產品與服務名稱排序表 17 表 2-4台灣資安產品及服務通過能量登錄服務機構地圖名稱排序表 19 表 2-5 NIST SP800-55資訊安全績效量測指南績效指標範例 20 表 2-6 ISO 27004資訊安全管理量測標準量測範例 23 表 4-1資安專責單位應辦事項 55 表 4-2資安專職人力職能 59 表 4-3產業資安專業人才主要職責 59 表 4-4金融業資安證照規範要求與證照排行相關參考資料 62 表 4-5Ａ公司採用資安產品與服務與NIST CSF 5大功能對應關係 67
dc.language.iso	zh-TW
dc.subject	資安治理	zh_TW
dc.subject	資訊安全治理	zh_TW
dc.subject	資訊安全框架	zh_TW
dc.subject	資安框架	zh_TW
dc.subject	資訊安全績效	zh_TW
dc.subject	資安績效	zh_TW
dc.subject	資訊安全治理成熟度	zh_TW
dc.subject	資安治理成熟度	zh_TW
dc.subject	information security framework	en
dc.subject	information security governance	en
dc.subject	information security governance maturity	en
dc.subject	information security performance	en
dc.title	企業資訊安全治理與管理框架實作探討：金融業個案研究	zh_TW
dc.title	A Study on Implementation of Enterprise Information Security Governance and Management Framework：Financial Industry Case Study	en
dc.date.schoolyear	110-1
dc.description.degree	碩士
dc.contributor.oralexamcommittee	孔令傑(Hsin-Min Lu),翁崇雄(Edward Hsieh),吳學良
dc.subject.keyword	資訊安全治理,資安治理,資訊安全框架,資安框架,資訊安全績效,資安績效,資訊安全治理成熟度,資安治理成熟度,	zh_TW
dc.subject.keyword	information security governance,information security framework,information security performance,information security governance maturity,	en
dc.relation.page	81
dc.identifier.doi	10.6342/NTU202200113
dc.rights.note	同意授權(全球公開)
dc.date.accepted	2022-01-26
dc.contributor.author-college	管理學院	zh_TW
dc.contributor.author-dept	資訊管理組	zh_TW
dc.date.embargo-lift	2024-01-18	-
顯示於系所單位：	資訊管理組

文件中的檔案：

檔案	大小	格式
U0001-2001202214203300.pdf	5.87 MB	Adobe PDF	檢視/開啟

顯示文件簡單紀錄

系統中的文件，除了特別指名其著作權條款之外，均受到著作權保護，並且保留所有的權利。