第六章 結論與建議
第三節 未來研究的建議
一、本研究以政府組織 B 級機關為研究對象,後續研究可擴大研究範圍,以 A 級或 C 級機關進行研究調查,在導入 ISO27001 資訊安全管理系統時,併同建構 CMMI 軟體成熟度部份相關流程領域,實際提升公務組織創新發展程度。
二、CMMI 軟體成熟度流程領域中,仍有相當多的特定目標與一般目標,具有資 訊安全管理性質的特定流程與一般流程,選擇適合組織核心目標的相關流程領 域,探討分析後,規畫建置組織的資訊安全管理系統。
三、資安治理成熟度已列入國家資通訊安全發案方案(98 年至 101 年),未來可 併同參酌建置研究。
參考文獻
【中文部分】
【1】 中華民國國家標準-資訊技術、安全技術、資訊安全、管理系統要 求事項:CNS27001,X6049 (民 96)。
【2】 中華民國國家標準- 資訊技術、安全技術、資訊安全管理之作業規 範:CNS27002,X6040 (民 96)。
【3】 中華民國國家標準-能力成熟度模型整合之評鑑要求:
CNS15190,X6057(民 97)
【4】 卡內基美隆大學軟體工程學院(2006)。適用於發展的能力成熟度整 合模式(CMMI-DEV)1.2 版(NO.FA872105C0003)。賓夕法尼亞州:卡內 基美隆大學。
【5】 朱慧德(民 91)。CMMI 模式表述架構與選擇。軟體產業通訊,47,
28-34。
【6】 行政院國家資通安全會報(民 90 年 1 月,民 93 年 3 月)。建立我國 通資訊基礎建設安全機制計畫。
【7】 行政院國家資通安全會報 (民 98)。 國家資通訊安全發展方案。
【8】 宋振華、楊子劍(2001)。組織資訊安全體系與資訊安全整體架構。
張俊彥(主持人),The Essentials of Audit for Information Security Management - Study on Electronic Banking 。資訊系統可信賴作業 體制研討會論文集,交通大學。
【9】 李東峰(2001)。企業資訊安全控制制度之研究。二十一世紀台灣 湧現中的資訊管理議題研討會暨第三屆全國資訊管理博士生聯合研 討會。中正大學。
【10】 李東峰、林子銘(民90)。風險評估觀點的資訊安全規劃架構。第 十二屆國際資訊管理學術研討會。台灣大學。
【11】 姚俊羽(民 93)。能力成熟度整合模式之導入-以文件管理系統為 例。銘傳大學資訊管理研究所碩士論文,未出版,台北市。
【12】 洪肇奎(民93年4月)。如何成為一個具備流程改善基礎的組織。吳 裕光(主持人),台灣軟體流程改善聯盟:SPIN-Taiwan研討會,中國 文化大學。
【13】 洪國興、徐鈺宗(民91)。資訊安全管理理論之探討。資管評論,第 12期,17-47。
【14】 洪興國、季延平、趙榮耀(民92)。資訊安估準則層級結構之研究。
圖書館學與資訊科學,29(2),22-44。
【15】 翁玉麟(民91)。由ISO 9000至整合能力成熟度過程之模型之研究-以某校技術合作處為例。中國文化大學資訊管理研究所碩士論文,未 出版,台北市。
【16】 張紹勳(2004)。研究方法。臺中市:滄海。
【17】 張太平、張一岑、蔡匡忠(2007)。統計建模與分析程序。台北市:
文魁。
【18】 黃承聖(民89)。企業資訊安全的起點-資訊安全政策。網路通訊雜 誌,109,100-103。
【19】 楊金炎(民90)。企業內部控制有關資訊系統與安全的個案研究。
中原大學資訊管理學系碩士論文,未出版。桃園縣。
【20】 經濟部工業局(民91)。軟體發展能力評估手冊二版(軟體生產力提 升計畫)。台北市: 經濟部工業局。
【21】 葉至誠、葉立誠(2003)。研究方法與論文寫作。台北市:商鼎文化。
【22】 樊國楨 (民 93 年 10 月)。美國聯邦政府資訊安全管理系統稽核作 業與相關標準初探。張明桑(主持人),網際空間:資訊、法律與社會。
學術研究暨實務研討會,中央警察大學。
【23】 樊國楨 (主編) (民91)。資通安全專輯之五:資訊安全風險管理。
台北市:行政院國家科學委員會科學技術資料中心。[ISBN:
9576190762]。
【24】 樊國楨 (主編) (民91)。通資安全專輯之六:資訊安全能力評鑑。
台北市:行政院國家科學委員會科學技術資料中心。 [ISBN:
9576190764]。
【25】 歐弘詹(民95)。標準化應用於中小企業導入資訊安全管理系統之成 功經驗。台北市:中華民國國家資訊基本建設產業發展協進會。
【26】 謝昆霖、呂易儒(民 95)。資訊管理研究。非營利單位資訊災難備 援機制建置之研究,6,82-100。
【27】 鍾依萍、周樹林(民 93)。我國 CMM/CMMI 應用現況與發展趨勢。台 北市:財團法人工業策進會。
【西文部分】
【1】 Bs7799-2(2002). Information Security Management-Part 2 : Specification for Information Security Management System. British Standards Institution (BSI). London.
【2】 CMMI Product Team,(2006) . ” CMMI for Systems
Engineering/Software Engineering /Integrated Product and Process Development/Supplier Sourcing Version 1.2﹐Staged Representation”﹐
CMU/SEI(NO.FA872105C0003)。Pittsburgh : Carnegie Mellon University.
【3】 Flynn, N. L. (2001). The e Policy handbook:Designing and
Implementing Effective E-Mail , Internet, and Software Policies. New York : American Management Association.
【4】 Gupta,M., Chaturvedi,A.R., Mehta,S &Valeri,l. (2000). The
Experimental Analysis of Information Security Management Issues for Online Financial Services. Information systems,667-675.
【5】 ISO/IEC 17799(2000)-Information technology-Code of Practice for Information Security Management.British Standards Institution.
【6】 Kabay, M. E. (1996). The NCSA Guide to Enterprise Security.
Denver: McGraw: McGraw-Hill.
【7】 Parker D.B. (1997) . “Information Security in a Nutshell”.
Information Security journal,6,14-19.
【8】 Reid,R.C. & Floyd, S.A.(2001). Extending the Risk Analysis Model to Include Market –Insurance. Computers & Security, 20(4), 331-339.
【9】 Sherwood, J. (1996). SALSA : A method for developing the enterprise security architecture and Strategy. Computer & Security, 2(3), 8-17.
【10】 The IT Governance Institute (2007). COBIT (4.1.ISBN:1933284722).
Rolling Meadows Illinois: IT Governance Institute.
【11】 Von Solms, R. (1996). Information Security Management: The Second Generation. Computer & Security,15(4) , 281-288.
【12】 Von Solms, R., Van Haar, H., Von Solms, S. H. & Caelli, W. J. (1994).
A Framework for Information Security Evaluation. Information &
Management, 26, 143-153.
【13】 Wright, M. (1999). Third Generation Risk Management Practices.
Computer Fraud & Security, 2, 9-12.
【網站部份】
【1】 Computer Security Institute. (2006, September 28).CSI 2008 Security Survey. Retrieved November 12, 2008
,
fromhttp://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.p
【2】 Computer Security Institute. (2008).CSI 2008 Security Survey. Retrieved March 3, 2009, from http://www.gocsi.com/forms/csi_survey.jhtml
【3】 Carnegie Mellon University, SEI,(2009,april). Cataloged vulnerabilities.
Retrieved April 5,2009,from the cert web site:
http://www.cert.org/stats/cert_stats.html
【4】 Carnegie Mellon University, Software Engineering Institute.
(2007,November).Capability Maturity Model Integration(CMMI-DEV 1.2 版). Retrieved March 2, 2009, from
http://www.sei.cmu.edu/publications/documents/06.reports/06tr008.html
【5】 Carnegie Mellon University, Software Engineering Institute.The IDEALSM model. Retrieved March 2, 2009, from
http://www.sei.cmu.edu/ideal
【6】 The SANS (SysAdmin, Audit, Network, Security) Institute.(2007, November 28). Top-20 2007 Security Risks . Retrieved April 3, 2009, from
http://www.sans.org/top20/
附錄
附錄 B ISO27001 資訊安全管理系統要 求項目認知程度平均數與標準差
Descriptive Statistics Descriptive StatisticsDescriptive Statistics Descriptive Statistics
N Mean Std. Kurtosis
Statistic Statistic Statistic Statistic Std. Error
風險評鑑處理-認知 49 4.14 .577 -.006 .668
資安政策文件-認知 49 4.22 .685 -.807 .668
資訊安全組織-認知 49 4.29 .540 -.467 .668
資產管理-認知 49 4.43 .577 -.734 .668
人力資源安全-認知 49 4.37 .566 -.742 .668
實體環境安全-認知 49 4.53 .544 -.915 .668
通訊作業管理-認知 49 4.43 .540 -1.147 .668
存取控制-認知 49 4.49 .582 -.554 .668
系統獲取開發維護-認知 49 4.33 .516 -.882 .668
資安事故管理-認知 49 4.43 .540 -1.147 .668
持續營運管理-認知 49 4.41 .643 2.478 .668
遵循性-認知 49 4.24 .560 -.273 .668
Valid N (listwise) 49
附錄 C CMMI 能力成熟度相關流程領域
非常不同意 非常同意
附錄 D CMMI 能力成熟度相關流程領域 執行程度平均數與標準差
Descriptive StatisticsDescriptive StatisticsDescriptive StatisticsDescriptive Statistics
N Mean Std. Kurtosis
Statistic Statistic Statistic Statistic Std. Error
界定管理風險-執行程度 49 3.37 1.185 -.754 .668
決定處理順序-執行程度 49 3.53 1.174 -.509 .668
滿足組織目標-執行程度 49 3.63 1.055 .147 .668
資安調適準則-執行程度 49 3.49 1.043 .253 .668
界定營運目標-執行程度 49 3.76 1.071 .397 .668
維護流程記錄-執行程度 49 3.71 1.041 1.347 .668
實施訓練計畫-執行程度 49 3.84 1.028 1.207 .668
修訂標準流程-執行程度 49 3.80 1.040 .820 .668
審查維護廠商-執行程度 49 3.88 .949 2.401 .668
審查關鍵人員-執行程度 49 3.39 1.320 -.613 .668
管理投入範圍-執行程度 49 3.51 1.227 -.065 .668
建立時程績效-執行程度 49 3.29 1.339 -.962 .668
建構管理系統-執行程度 49 3.92 .975 3.559 .668
管理變更記錄-執行程度 49 3.49 1.277 -.665 .668
審查資安承諾-執行程度 49 3.47 1.260 -.836 .668
記錄矯正措施-執行程度 49 3.53 1.309 -.328 .668
審查管理記錄-執行程度 49 3.53 1.276 -.783 .668
蒐集資安事件-執行程度 49 3.55 1.191 .055 .668
管理任務技能-執行程度 49 3.71 1.041 .554 .668
保存訓練記錄-執行程度 49 3.76 1.051 .384 .668
績效量化目標-執行程度 49 3.27 1.255 -.771 .668
流程改善記錄-執行程度 49 3.37 1.202 -.545 .668
支援未來改善-執行程度 49 3.29 1.137 -.421 .668
法規遵循程度-執行程度 49 3.49 1.371 -.776 .668
Valid N (listwise) 49
附錄 E ISO27001 節次與 CMMI 流程領域
SP2SP2SP2
SP2.2.2.2.2 2.2.2.2.決定處理順序決定處理順序決定處理順序----執行程度決定處理順序執行程度執行程度 執行程度
71%
附錄 F 問卷
親愛的填答者,您好:
在網際網路發達的今天,資安事件頻傳,不僅造成業界的難以計數的損失,政府 單位也可能面臨資安事件的隱憂。這是一份有關資訊安全管理系統 ISO27001 與 CMMI 相關流程管理的問卷,希望了解並提供未來欲導入或已導入資訊安全管理 系統的公務部門概況及改進之資料及依據,請資訊管理部門人員填寫後,利用函 中所附之回郵信封寄回。本問卷共分三部份共 40 題,問卷內容純為學術研究之 用,個別資料不公開,請您放心填寫,感謝您撥空惠填,叨擾之處,尚祈見諒。
國立台東大學 資訊管理研究所 指導教授 謝昆霖 教授 研究生 黃鎮屏 敬上 第一部份 貴單位資訊部門概況
1.請問您目前的職務是?
□資訊安全長 □資訊部門主管 □基層主管 □管理師 □系統執行 (開發)人員 □硬體設備操作(管理)人員 □其他(請填寫)
2.請問貴單位對於 ISO27001 的導入情形?
□已經導入 □正在導入 □計畫導入 □無計劃導入 3.請問您是否知悉 ISO27001 資訊安全管理系統要求事項?
□未曾接觸 □部份了解 □大部分了解 □完全了解 4. 請問您是否知道 CMMI 能力成熟度整合模式之流程管理?
□未曾接觸 □部份了解 □大部分了解 □完全了解
第二部份 就 ISO27001 建立組織的資訊安全安全管理作業,請依您的看法,以 下各作業規範是否有執行的重要性。
題號 管理作業規範 規範事項說明
01 風險評鑑及處理 依組織目標選擇接受的風險,選定控制措施實 做控管,確保風險降低至可接受程度
02 資訊安全政策文 件
由管理階層核准,並傳達給所有員工與相關各 外部團體
03 資訊安全的組織 在組織內宜建立管理框架以啟動與控制資安全 的實作
04 資產管理 所有資產宜有人負責,以達成及維持組織資產 的適切保護
05 人力資源安全 確保員工、承包商及第三方使用者瞭解其責 任,宜簽署其安全角色與責任的協議
損害及干擾
07 通訊與作業管理 確保正確與安全地操作資訊處理設施
08 存取控制 依據營運與安全要求,控制資訊存取、資訊處 理設施及營運過程
09 資訊系統獲取、
開發及維護
識別並議定安全要求,確保安全是整體資訊系 統的一部分
10 資訊安全事故管 理
確保與資訊系統的資訊安全事件與弱點,被以 能夠採取及時矯正措施的方式傳播
11 營運持續管理 對抗營運活動中斷,保護重要營運過程不受系 統失效或災害的影響,並確保及時再續 12 遵循性 避免違反任何法律、法令、法規或契約義務,
以及任何安全要求
01.您覺得「風險評鑑及處理」有執行的必要? □ □ □ □ □ 02.您覺得「資訊安全政策文件」有執行的必要? □ □ □ □ □ 03.您覺得「資訊安全的組織」有執行的必要? □ □ □ □ □ 04.您覺得「資產管理」有執行的必要? □ □ □ □ □ 05.您覺得「人力資源安全」有執行的必要? □ □ □ □ □ 06.您覺得「實體與環境安全」有執行的必要? □ □ □ □ □ 07.您覺得「通訊與作業管理」有執行的必要? □ □ □ □ □ 08.您覺得「存取控制」有執行的必要? □ □ □ □ □ 09.您覺得「資訊系統獲取、開發及維護」有執行的
必要? □ □ □ □ □ 10.您覺得「資訊安全事故管理」有執行的必要? □ □ □ □ □ 11.您覺得「營運持續管理」有執行的必要? □ □ □ □ □ 12.您覺得「遵循性」有執行的必要? □ □ □ □ □
非常同意
同意
普通
不同意
非常不同意
第三部分 採用 CMMI-SE/SW/IPPD/SS 連續式表述模式-相關流程領域部份一般 (特定)目標,請依您的看法,就各目標流程實際執行程度的重要性。
□ □ □ □ □ 01.分析組織內外部資訊來源以界定資訊安全管理 風險。
□ □ □ □ □ 02.定義風險的種類及參數,評估並決定其相對優先 處理順序。
□ □ □ □ □ 03.建立並維護資訊安全流程,滿足組織的目標與需 要。
□ □ □ □ □ 04.建立並維護組織資訊安全調適準則及指引。
□ □ □ □ □ 04.建立並維護組織資訊安全調適準則及指引。