相關研究

防治資訊威脅對企業來說是風險管控的重點之一，本研究運用 ITIL 管理架 構作為端點防護的方法，讓端點免於遭受資訊威脅帶來的損害，過程中除了使用 管理層面來實踐作法之外，也同步應用目前常見的端點防護技術，以下為本研究 所收集的國內外風險管控相關應用狀況。

2.4.1 李學者提出 IT 服務組合指標建構之研究

國內李延浚學者[7]以 ITIL 管理架構為服務組合的分類概念，良好的 IT 服務 組合可促使企業正常運作，防止風險發生的可能。其研究方法為結合美國預算管 理辦公室所提出的聯邦企業架構(FEA)為服務組合的分類項目，利用層級分析法 (Analytic Hierarchy Process, AHP)的技術和問卷調查對台灣電子業某上市公司進 行研究，來做為 IT 服務指標建構方法之驗證。初步結果顯示，本次服務組合指 標建構的方法能正確的施作，並經由等級相關檢定，確認能為企業找出服務組合 的分類與優先順序。經過研究的分析將各項服務領域與服務種類層級化後，依據 AHP 層級化原則製成問卷，總共發出 20 份問卷回收 20 問卷，利用 Expert Choice 層級分析法軟體，將問卷之結果個別輸入後進行整合分析，找出 IT 服務組合指

務分析管理、共同性行政管理及支援服務 8 個組合，使用 AHP 的運算分析後得 到現有 IT 服務組合指標之權重及優先順序，優先順序可認知為使用者對此項服 務的重要性認定，IT 服務組合指標優先順序如表 2-4 所示。李學者的研究是使用 個案方式來進行，其應用層面無法擴大到各行各業，其研究的深度是予以肯定，

在研究的廣度方面是比較不足夠的。

表 2-4 IT 服務組合指標[7]

IT 服務組合指標 現有 IT 主要服務對應項目 優先順序

客戶要求協助 產品登錄系統 客戶叫修服務系統

1

客戶偏好 無 無

業務情報 決策管理系統 2

工作流程與追踨 辦公室表單自動化 3

客戶關係管理 電話客服中心系統(CTI、IVR、AP) 4

報表 多維度分析報表作業服務 5

財務管理 總帳系統

會計系統

6

程序管理 服務變更管理作業辦法 7

知識探索 資料倉儲系統 8

系統管理 員工帳號管理系統

VPN 管理系統

9

流程傳遞與排程 訊息整合服務中心(簡詢、電話留言、

傳真)

10

人力資產/團隊 員工考核與認證管理系統 11

文件管理 專案電子文件管理/備份中心 12

表單管理 專案電子文件管理/備份中心 13

資料管理 資料超市管理系統 14

供應鏈管理 供應商管理系統 15

檢視服務 微縮影片服務中心 16

人力資源管理 人員履歷/學經歷管理管理系統 17

安全管理 資訊安全政策推廣網站 18

內容管理 組織章程網站 19

合作 行事曆管理服務 20

文獻檔案管理 合約、專案文件分類服務 21

2.4.2 李學者提出 ISO 27001 之國網中心風險管理

國內李慧蘭學者[4]提出國際資訊安全標準 ISO 27001 之網路架構設計以國 家高速網路與計算中心(以下簡稱國網中心)為例探討風險管理，在 ISO 27001 ISMS 的建立過程中最重要是風險評鑑和風險處理步驟。風險評鑑是整理出所有 資產清單，並列出資產面臨的弱點和威脅接著計算資產總風險值。風險處理是針 對高總風險值的資產作出風險處理計劃書，以降低該資產風險等級至可以接受的 程度。以國網中心為例說明如何作資產的風險評鑑，針對高風險資產擬定風險處 理計劃書，再配合風險降低對策建置一個符合組織需求低風險的資訊系統。研究 中提到相關計算公式如下所示，。

總風險值 = 資產價值 × 破壞事件嚴重程度

資產價值 = 機密性評價 + 完整性評價 + 可用性評價

破壞事件的嚴重程度 = 威脅等級 × 脆弱點等級 × 衝擊等級

根據計算的結果對應到風險等級表，共分 A、B、C、D 四個等級如表 2-5 所示，國網中心專業資訊安全管理委員會的決議，可接受的風險等級為 D，亦即 風險等級為 C 以上者，就必須作風險處理以減輕其風險。

表 2-5 國網中心風險等級表[4]

風險等級 起始值 結束值

A 540 720

B 360 539

C 180 359

D 0 179

李學者的研究提出以 ISO 27001 的風險衡量方法，內容詳細介紹各個風險的 計算方式。但每個行業所定義的風險值均有所不同，其個案研究的深度是予以肯 定，但在研究的廣度方面是比較不足夠的，

2.4.3 Vilarinho 等學者提出以 ITIL 為基礎的風險管理

國外 Vilarinho 等學者[26]提出以 ITIL 管理架構為基礎的風險管理模式，對 於風險管理給予相關的實施方向，研究者提出 ITIL 管理架構的策略在 M_o_R 原 則模組的關係架構如圖 2-5 所示，組織的戰略模組是從 ITIL 管理架構的策略擬 定政策、流程指南及風險改善計劃、組織的操作是從戰略、風險溝通計劃、風險 應對計劃、風險登錄及風險計劃進度等，學者的 M_o_R 模組在風險管理中提供 了管理方向與操作，可提供廣度的風險管理實施作法，但在研究的深度部份，由 於各個企業對於風險的定義不盡相同，需要再進行細部實施方法的客製化方可適 用，在研究的深度方面是比較不足夠的。

圖 2-4 ITIL 服務策略在 M_o_R 原則模組的關係[26]