研究生: |
汪耀華 Yao-Hua Wang |
---|---|
論文名稱: |
國立大學資訊安全管理之研究 A Study on the Information Security Management in National University |
指導教授: |
游進年
Yu, Chin-Nien |
學位類別: |
碩士 Master |
系所名稱: |
教育學系 Department of Education |
論文出版年: | 2005 |
畢業學年度: | 93 |
語文別: | 中文 |
論文頁數: | 176 |
中文關鍵詞: | 國立大學 、資訊安全管理 、BS7799 、CNS 17800 |
英文關鍵詞: | national university, information security management, BS7799, CNS 17800 |
論文種類: | 學術論文 |
相關次數: | 點閱:314 下載:65 |
分享至: |
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報 |
資訊安全的認知源自知識與實務相互間的驗證,而大學是充滿自主性與學術性的組織,最珍貴的資產是知識及研發的人才,其組織型態及文化有別於其他公務機關或是企業,因此在資訊安全管理的目標、內涵及管理機制都有不同的需求與考量,亦值得深入探究。
本研究旨在探討國立大學資訊安全管理的現況、有利策略、以及相關人員對資訊安全管理的看法及其差異性。研究方法採用調查研究,蒐集資料並進行分析討論,問卷內容係參照經濟部所公布的資訊安全管理之作業要點CNS 17800編製而成,利用上網方式填答問卷,以26所國立大學資訊部門人員作為研究對象。
根據文獻探討及問卷分析討論,歸納出以下結論:
一、資訊安全管理業務運作現況是偏重於技術面,依問卷分析發現主要原因為使用者欠缺資訊安全管理認知,其次為欠缺一套資訊安全管理制度。
二、資訊部門人員背景以編制內及軟體開發的人員為主,與其他的政府機關不同。
三、與管理階層有關措施的可行性得分偏低,顯示管理階層實質參與實施資訊安全管理作業的意願偏低。
四、影響人員看法差異的因素,由業務性質分析發現因專業及實務經驗的不同,網路管理、主機管理與軟體開發人員在安全措施的看法上有明顯差異性;由教育程度分析發現「博士」群組認為資訊的可用性最重要,有別於其他群組認為機密性為最重要,且在安全措施的必要性看法上有差異;由管理階層分析發現「組長」與「主任」的看法未達共識。
依據上述結論,本研究提出以下建議:
一、建議教育部透過相關會議宣導資訊安全管理,並規畫提昇學校人員資訊安全認知的培訓。
二、建議國立大學籌組「資訊安全管理委員會」,並結合人事制度提高人員對資訊安全的重視,開拓資訊安全的管理面。
三、建議未來研究者採用質性研究方法,進而探討大學的體制面、教育面、技術面的問題。
Information security cognition requires mutual confirmation from factual knowledge and practical field experience. Colleges and universities are aggregations of independent academic bodies. The most precious properties of colleges and universities are the researchers and the intellectual properties as a direct result of their research. Therefore, the aim of information security in colleges and universities is different from other civil services or private organizations. The overall goals and management procedures need to be reconsidered.
The purpose of this research is to study the current information security strategies and practices in national universities, as well as exploring the viewpoints of personnel involved in ensuring university information security. The research method is questionnaire-survey based. The questions in the survey are modified from the CNS 17800 information security management guideline of the Ministry of Economic Affairs. The questionnaire is distributed to and collected from computing center personnel of 26 national universities through web pages.
From literatures and analysis of the collected questionnaires, conclusions are as follows:
1.The current information security practice stresses the technical aspect because the managers lack for understanding of information security and procedural guidelines to the management.
2.The staffs in computer centers of the national universities are from the internal organization. Their main responsibility is to develop software and they usually do not contact with information security management, which differs from those in the government agencies.
3. Based on the analysis, the scores related to higher level management is quite low. This indicates that higher level decision makers have less interest in participating in information security promotion.
4. Personnel with different background have different cognition on information security. First, the network administrator, the system administrators and software developers differ in their viewpoints on information security. Second, those persons with a Ph.D. degree thought that information accessibility is the most important issue while others listed information secrecy as the most important factor. The two groups also differ in their viewpoints in the necessity of information security. Third, the study also found that computer center directors and the division head also differ on many issues.
According to above findings, Our study offers the following suggestions:
1. To Ministry of Education(MOE), we suggest they should promote information security at MOE meetings. We hope MOE to plan many programs for “Information Security management” and make on-the-job training to personnel.
2. To the universities, we suggest they should establish “Information Security Subcommittee” for enforcing & controlling various regulations, and urge the university administrators to oversee seriously and implement related strategies accompanied with a personnel reward system.
3. For the future duties, we suggest it should conduct qualitative study. Deeply research the aspects of principle system, education, and technology in the information security.
Robert Lemos(2004年,5月7日)。微軟修補IE木馬漏洞。CNET新聞。2004年10月24日,取自http://taiwan.cnet.com/news/software/0,2000064574,20090624,00.htm
Wearden G (2004年,11月2日)。牛津學生攻破校園網路遭休學處分,CNET新聞。2004年10月24日,取自http://taiwan.cnet.com/news/software/0,2000064574,20093786,00.htm
山田剛良(2004年,9月24日)。對付網頁仿冒郵件,為何需要新技術?日經BP社IT新聞,2004年10月24日,取自http://china.nikkeibp.co.jp/china/news/int/int200409240113.html
中山大學(2003)。國立中山大學資訊倫理守則。2005年5月23日,取自http://www2.nsysu.edu.tw/cc/920915manual.htm
方仁威、余俊賢(2004)。內部網路遭駭客攻擊方式與防護之研究。國防通信電子資訊半年刊,7,2005年5月24日,取自http://www.mnd.gov.tw/division/~defense/mil/join/ceib/common/public126.htm
安全報告中公佈中國大陸是全球第二大網路攻擊源(2004年,9月22日)。發表於資安論壇資安活動討論區資安訊息討論版,取自http://forum.icst.org.tw/phpBB2/viewtopic.php?t=4294
行政院主計處電子處理資料中心(2001)。資訊安全手冊。台北:作者。
行政院主計處電子處理資料中心(2004)。九十二年電腦應用概況調查統計結果分析摘要。政府機關資訊通報,202。10-16。
行政院主計處電子處理資料中心(2004)。九十二年電腦應用概況調查統計結果分析摘要。政府機關資訊通報,204。12-17。
行政院國家資通安全會報(2001)。組織架構。2004年,10月20日取自http://www.nicst.nat.gov.tw
余俊賢(2004)。資安事件處置案例探討,國家資通安全會報資安季刊,7,14-17。
吳兆琰(2004)。別讓網路出賣了你—國家機密保護法簡介。政府機關網路安全法制研習會。未出版。
吳育翰(2004)。以ISO 17799為基礎之國軍資訊安全管理研究—以陸軍總部為例。國防管理學院國防資訊研究所碩士論文。全國博碩士論文摘要,92NDMC1654029。
吳佳翰、陳怡良(2003)。管理面與技術面孰輕孰重?資安人,14,104-106。
吳武明(1994)。資訊管理:邁向二十一世紀的新管理觀念。台北:松崗。
吳靜吉(2001)。教育歸零後,多元智慧脫穎而出--元智慧融入教學與領導。台北:遠流。
呂啟元(2004)。網路駭客,誰的罪重?2005年2月20日,取自http://www.npf.org.tw/PUBLICATION/CL/093/CL-C-093-094.htm
宋鎧、范錚強、郭鴻志、陳明德、季延平(1997)。管理資訊系統。台北:華泰。
李忠憲。增進校園網路安全。2005年5月30日。取自http://www.spps.tp.edu.tw/documents/memo/增進校園網路安全.htm
李倫詮(2004年,8月10日)。看不見的殺手? 談蠕蟲(Worm)與蠕蟲的預警模式。2005年5月28日,取自http://hisecure.hinet.net/Techdocs/A1.pdf
侍家驊(2004)。專訪國家資訊新舵手—林逢慶政務委員 提升政府資訊應用、強化整體資通安全。國家資通安全會報資安季刊,6,2-5。
林宜隆、黃淙澤(2003)。資通安全管理制度風險評估手冊。台北:行政院國家資通安全會報技術服務中心。
林青蓁(2004)。中研院資訊科學研究所所長李德財:資訊應用成敗在「管理」。資安人,1,51-52。
林進財、黃旭男、陳啟斌(1999),現代企業資訊安全之研究。(國科會專案報告,計畫編號:NSC-88-2416-H-130-015)
林雅惠(2004)。資訊隱私權之重塑,科技法律評論,1(1),115。
林曙熙(2003)。企業資訊安全管理之認知與實施研究。國立清華大學工業工程與工程管理學系碩士論文。全國博碩士論文摘要,92NTHU5031075。
法務部(1999年,11月16)。行政院及所屬各機關資訊安全管理規範。2005年6月1日,取自http://www.moj.gov.tw/chinese/rule_B.aspx
金汝鑫、蕭遠斌(2004年,9月20日)。網路黑手黨出價攻擊網站任君挑選。發表於資安論壇資安活動討論區資安訊息討論版,取自http://forum.icst.org.tw/phpBB2/viewtopic.php? t=4238
侯皇熙(2004)。植基於BS7799探討政府部門的資訊安全管理─ 以海關資訊部門為例。國立成功大學工程科學系碩士論文。全國博碩士論文摘要,92NCKU5028044。
洪國興、季延平、趙榮耀(2003)。組織制定資訊安全政策對資訊安全之影響。資訊管理研究,3,72-95。2004年2月18日,取自http://webpac.nhu.edu.tw:8080/EJournal/3012000305.pdf。
洪國興、季延平、趙榮耀(2004)。組織制定資訊安全政策對資訊安全之影響(下)。資安人,9,106-107。
洪夢霜(2004年,9月21日)。報告:電子商務成熱門攻擊目標。發表於新聞專區:企業軟體版,取自http://taiwan.cnet.com/news/software/0,2000064574,20092686,00.htm
唐存寬(2004)。以精準攔截與系統存活觀點建構資訊安全防護模式。國防大學國防管理學院國防管理戰略班九十三年班論文,未出版,桃園。
徐國祥(2004)。中央健保局取得BS7799認證從辛澀到甘之如飴。資安人,14,25-29。
國家資通安全會報技術服務中心(2001)。2001年資通安全報告書。台北:國家資通安全會報技術服務中心。
張宏仁(2002年,7月22日)。別忘了作電子郵件安全管理。發表於內容安全專題聚焦版,取自http://www.informationsecurity.com.tw/feature/view.asp?fid=61
張明正(2003)。執行力萬歲。趨勢季刊,12,4-5。
許育豪(譯)(2004)。Andrew Briney著。十大資安教戰準則讓你感同身受。資安人,9,24-25。
郭志賢(2002)。以BS 7799為基礎評估大學資訊中心之資訊安全管理-以淡江大學為例。淡江大學資訊管理學系碩士論文。全國博碩士論文摘要,91TKU00396020。
郭佳玫(2004)。科技時代下的個人資料保護法律觀。政府機關網路安全法制研習會。未出版。
郭慧姿(2002)。PKI的運作原理與應用發展。資訊安全實戰手冊,37-41。
郭慧姿(2002)。維護企業管理意義與智慧。資訊安全實戰手冊,4-5。
陳信章(2004)。服務業推動BS7799認證關鍵因素之研究。國立中正大學資訊管理學系碩士論文。全國博碩士論文摘要,92CCU00396012。
陳美文(2004年,9月23日)。南市府網站 被貼中共國旗。2004年10月24日,取自http://tw.news.yahoo.com/040923/19/10ar6.html
曾淑惠(2002)。以 BS7799為基礎評估銀行業的資訊安全環境。淡江大學資訊管理學系碩士論文。全國博碩士論文摘要,90TKU00396016。
萬幼筠(2003)。成功導入資安管理關鍵要素。資安人,1,56-59。
經濟部國家資通安全會報技術服務中心(2001)。2001年資通安全報告書。台北:作者。
經濟部標準檢驗局(2002)。資訊技術—資訊安全管理之作業要點。台北:作者。
經濟部標準檢驗局(2002)。資訊技術—資訊安全管理系統規範。台北:作者。
經濟部標準檢驗局(2002)。管理系統檢驗—資訊安全系統。2005年2月15日,取自http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5
董崇明(2004)。科技中立的迷思。2004著作權法說明會。經濟部智慧財產局。未出版。
臺灣電腦網路危機處理暨協調中心(2003年,12月)。保護及強化企業內部網路的安全。臺灣電腦網路危機處理中心通訊,62。2005年5月30日,取自http://www.cert.org.tw/document/newsletter/show.php?key=67
臺灣電腦網路危機處理暨協調中心(2003年,8月)。資訊安全的發展。臺灣電腦網路危機處理中心通訊,58。2005年5月30日,取自http://www.cert.org.tw/document/newsletter/show.php?key=60
臺灣電腦網路危機處理暨協調中心(2003年,9月)。電腦鑑識(computer forensics)。臺灣電腦網路危機處理中心通訊,59。2005年5月30日,取自http://www.cert.org.tw/document/newsletter/show.php?key=63
臺灣電腦網路危機處理暨協調中心(2004年,5月)。安全通告。臺灣電腦網路危機處理中心通訊,68。2005年5月30日,取自http://www.cert.org.tw/document/newsletter/show.php?key=73
臺灣電腦網路危機處理暨協調中心(2004年,7月12日)。安全通報。2005年5月28日,取自http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2004-122
劉永禮(2001)。以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究。元智大學工業工程與管理學系碩士論文,未出版,桃園。
劉淑華(2004)。資訊政策決策者在電子化政府中的責任—以縣市政府為例。東海大學公共事務碩士學程在職進修專班碩士論文,未出版,臺中。
樊國楨(2002)。資訊安全專輯之五-資訊安全風險管理。台北:行政院國家科學委員會科學技術資料中心。
蔡興樺(2003)。建構數位平台提昇公文處理效率政府機關見招拆招。資安人,1,53-55。
魯智深(2004)。制度要好人更重要。資安人,9,22。
盧興義(2004)。危機管理在資訊安全上之研究-以防範「組織內部人員不當竊取」為例。大業大學事業經營研究所碩士論文,未出版,彰化。
賴淑賢(2002)。警政資訊安全風險評估與管理之研究---以車輛車牌失竊處理系統為例。中央警察大學資訊管理研究所碩士論文,未出版,臺北。
賴溪松(2003),採購菜單質重於量,資安人,1,32-33。
謝清佳、吳琮璠(2000)。資訊管理:理論與實務。台北:智勝。
謝誼萱(2003)。政策與對策資安大健檢。資安人,4,38。
謝誼萱(2003)。網路新都四通八達數位之鑰手護台北。資安人,4,84-87。
賽門鐵克公司(2004年3月),已知漏洞與惡意程式碼的分析。賽門鐵克網路安全威脅研究報告,5,2005年5月25日,取自http://www.symantec.com.tw/region/tw/enterprise/article/sistr_2.html
鍾翠玲(2002年,1月22日)。導入資訊安全 企業主目標應明確。CNET新聞。2004年10月24日,取自http://taiwan.cnet.com/news/software
簡文慶(2000)。企業機密資訊文件管理機制之探討─ 以摩托羅拉公司為例。中原大學企業管理研究所碩士論文。全國博碩士論文摘要,89CYCU5121024。
簡榮宗(2004)。網路上資訊隱私權保障問題之研究,2004年11月12日,取自http://www.cyberlawyer.com.tw/alan4-08_3-4.html
魏文科(2003)。電信產業導入資訊安全管理系統風險管理之探討-以中華電信區分公司為例。東海大學管理碩士學程在職進修專班碩士論文。全國博碩士論文摘要,92THU00026008。
蘇俊雄(2003)。網路安全威脅分析與防制策略。東海大學資訊工程與科學系碩士論文,未出版,臺中。
蘇耿弘(2003)。以BS7799為基礎探討石化產業導入資訊安全管理機制之關鍵因素。國立中正大學資訊管理學系碩士論文。全國博碩士論文摘要,91CCU00396014。
Anti-Phishing Working Group(2004,October). APWG Whitepapers and Reports. Phishing Activity Trends Report,.Retrieved Novermber 15,2004,from http://www.antiphishing.org.
Colleen, S.& David, M (2004). The spread of the witty worm. IEEE Security & Privacy. 2(4), 46-50.
Ed Skoudis(2004).Exposed your desktop AV may be leaving you wide open to attack. Information Security Magazine, Retrieved May 24,2005,from http://infosecuritymag.techtarget.com/
Hinde, S.(2002). Security survey spring corp. Computer & Security, 21(4),310-321.
Kuhnhauser, W.E.(1999). Policy groups, Computer & Security, 18(4),351-363.
Lindup, K.R.(1995). A new model for information security policies, Computer & Security, 14,691-695.
Osborne, K.(1998). Auditing the IT security function, Computer & Security, 17(1),34-41