第五章 結論與建議
第二節 研究建議
本研究雖然提出企業導入虛擬化之資訊安全風險項目之研究,但面對未來的競爭環 境下,相關業者仍然要注重虛擬化所帶來的資訊安全的效益以提升企業資安環境水準,
本研究提出建議如下所示。
1. 企業導入虛擬化之資訊安全風險項目的建立,不但可以用在資訊設備建置 的參考依據,同時也可以吸收國外的相關經驗,一併提升相關企業在市場上的競爭 力。
2. 在全球化的環境裡,企業導入虛擬化之資訊安全風險項目要隨時求新求變 以因應消費者或企業商務等不同消費等級的需求。此外,為因應新科技的發展,相關 業者可積極透過內外部專業訓練以培養資安的專業人才,也有助於企業維持強而有力 的競爭優勢。
3. 本研究利用專家問卷及電子郵件進行調查,惟因調查偏誤和產業的差異無 法推論其它產業是否具有相同結果,建議後續研究者可擴大產業並收集廣泛性資料,
以利提出更準確的分析結果。同時亦建議後續研究者欲深入研究相關主題時,可針對 相關議題或產業再作縱斷面的研究。
55
參考文獻 中文文獻
1. 王振鴻,『全組織導入資訊安全管理系統的個案研究』,長庚大學資訊管理研究所 未出版碩士論文,2009 年。
2. 李順仁,『資訊安全』,初版,台北:文魁資訊,2003 年。
3. 余舜基,『連接器供應商績效評估之研究』,輔仁大學管理學研究所未出版碩士論 文,1997 年。
4. 周 宣 光 , 『 管 理 資 訊 系 統 - 管 理 數 位 化 公 司 (Management Information Systems:
Managing the Digital Firm)』,七版,台北:東華書局,2007 年。
5. 徐宏昌,『以 ISO 27001 為基礎評估電信業資訊安全管理-以第一類電信業者為 例』,國立交通大學管理學院碩士在職專班管理科學組未出版碩士論文,2009 年。
6. 許又云,『高中職學校資訊安全管理現況探討-以北區高中職為例』,國立中央大 學資訊管理學系未出版碩士論文,2009 年。
7. 葉乃菁、李順仁,『網路安全理論與實務』,台北:文魁資訊,2004 年。
8. 楊博鑑,『以雲端虛擬化為例探討即時遷移應用』,台北城市科技大學電子商務研 究所未出版碩士論文,2012 年。
9. 車佳紋,『建置具互動功能的虛擬電腦教室之研究』,崑山科技大學數位生活科技 研究所未出版碩士論文,2010 年。
10. 胡志凱,『雲端計算中動態調整虛擬機器運算資源機制』,大同大學資訊工程系未 出版碩士論文,2010 年。
56
11. 張正宏,『探討銀行業 ISO/IEC 27001:2005 資訊安全管理現況-以 T 銀行為例』,
國立中央大學資訊管理學系未出版碩士論文,2012 年。
12. 張旭,『虛擬化對於平衡基因演算程式之影響-以學習障礙輔助診斷系統為例』,
國立彰化師範大學數位內容科技與管理研究所未出版碩士論文,2010 年。
13. 張彥文,『應用虛擬化技術於分散式異常流量偵測系統之設計』,崑山科技大學數 位生活科技研究所未出版碩士論文,2011 年。
14. 鄭信一,『現代企業資訊安全之個案研究』,銘傳大學管理科學研究所碩士論文,
1999 年。
15. 彭文良,『灰色系統理論於台灣地區資訊安全產業市場規模預測之研究』,佛光大 學經濟學系碩士班未出版碩士論文,2009 年。
16. 黃亮宇,『資訊安全規劃與管理』,台北:松崗電腦圖書資料,1992 年。
17. 黃育民,『企業導入伺服器虛擬化技術資訊安全風險項目之研究』,華梵大學資訊 管理學系碩士班未出版碩士論文,2010 年。
18. 鄧振雄、曾國雄,『層級分析法(AHP)的內涵特性與應用(上)』,中國統計學報,
第 27 卷第 6 期,頁 5-22,1989 年。
19. 鄧振雄、曾國雄,『層級分析法(AHP)的內涵特性與應用(下)』,中國統計學報,
第 27 卷第 7 期,頁 1-20,1989 年。
20. 練兆欽,『軍事機關導入 ISO 27001 資訊安全管理成功因素之研究』,國防大學管 理學院資訊管理學系碩士班未出版碩士論文,2010 年。
21. 賴溪松、韓亮、張真誠,『近代密碼學及其應用』,台北: 松崗電腦圖書資料,
1995 年。
57
22. 劉國昌、劉國興,『資訊安全』,台北:儒林圖書有限公司,1995 年。
23. 謝宗哲,『以 PC 叢集架構設計虛擬電腦教室兼具負載平衡之研究』,崑山科技大 學數位生活科技研究所未出版碩士論文,2011 年。
24. 財政部,『公開發行公司建立內部控制制度處理準則』,2013 年,取自
http://www.selaw.com.tw/Scripts/Query4B.asp?FullDoc=所有條文&Lcode=G0100200。
25. 經濟部,建構資安產業發展環境,2013 年,取自 http://www.iso27001certificates.com/。
26. iThome Online,IDC 調查:台灣企業資料中心虛擬化比率遠低於亞太水準,2013 年,取自 http://www.ithome.com.tw/itadm/article.php?c=81505。
英文文獻
1. Basie von Solms and Rossouw von Solms, “From information security to…business security?” Computer & Security, 2008, 24, pp. 271-273.
2. Abramson, D., Jackson, J., Muthrasanallur, S., Neiger, G., Regnier, G., Sankaran, R., Schoinas, I., Uhlig, R., Bembu, B., and Wiegert, J., “Intel Virtualization Technology for Directed I/O. Intel Technology Journal, 10(3), 2006.
3. Finne, T.,”Information Systems Risk Management:Key Concepts and Business Processes.” Computers & Security, 2000.
4. Golden, B. and Scheffy, C., “Virtualization for Dummies-Sun and AMD special edition.” Wiley Publishing Inc. 2008.
5. Goldberg, R. P., “Survey of Virtual Machine Research.” Computer, 1974, pp. 34-45.
58
6. Gollmann, D., “Computer Security”, Wiley & Sons, Incorporated, John, 1999.
7. Hutt, A. E., “Management`s Role in Computer Security, Computer Security Handbook,”
Wiley, New York, 1995.
8. IBM, “IBM Data Security Support Programs”, 1984.
9. Loch, K. D., Carr, H. H., and Warkentin, M. E., “Threats to Information Systems:Today’s Reality, Yeasterday’s Understanding.” MIS Quarterly, 1992, pp. 173-186.
10. Rodríguez-Haro, F., Freitag, F., Navarro, L., Hernánchez-sánchez, E., Farías-Mendoza, N., Guerrero-Ibáñez, J. A., González-Potes, A., “A summary of virtualization techniques.” Procedia Technology, 3, 2012, pp. 267-272.
11. ISO/IEC 27001, Information Technology-Security Techniques-Information Security
Management Systems-Requirements.
http://www.iso.org/iso/catalogue_detail?csnumber=42103, 2013.
12. ISO/IEC Information technology-security techniques-information security management systems-requirements. ISO/IEC 2701:2005 International Standard, 2013.
13. ISO/IEC 27002, 取自 http://en.wikipedia.org/wiki/ISO/IEC_27002, 2013.
14. BSI, ISO/IEC 27005:2008 Information Security Risk Management Standard, 2008.
(ISO/IEC 27005:2008 資訊安全風險管理標準)
15. OECD, Guidelines for the Security of Information Systems and Networks-Towards a Culture of Security, Paris: OECD, 2002. http://www.oecd.org.
16. Parker, D. B.,”Information Security in a Nutshell,” Information System Security, 6(1), 1997.
17. Saaty, L. T., “Concepts, Theory, and Techniques,” Decision Sciences, 18, 1987, pp.
59 157-177.
18. Schneider, E. C., and Therkalsen, G. W., “How Secure Are Your System?” Avenues to Automation, 1990, pp. 68-72.
60
附錄一 紙本問卷
「前測問卷」
敬愛的資安產業先進:
您好!懇請參與本研究之專家意見調查,惠賜您的高見!本問卷希望能借重各 位先進對於資訊安全的寶貴經驗,來建立「企業導入虛擬化之資訊安全風險項目 研究」第一階段衡量指標以作為後續評估的基礎。
本問卷調查係專用於純學術研究之用途,採匿名方式作答,不對外公開,懇 請務必撥冗填寫!您的積極參與及意見表達將是完成本研究最重要的動力。再次 感謝您熱心協助並敬祝身體健康 事業順利!
中華大學資管研究所 指導教授:張文智博士 研究生:葉謦瑞敬上
聯絡電話:0980-038-897 電子郵件: eddie.yeh@wwtech.com.tw
中華民國一百零二年 11 月 18 日 壹、基本資料
1.您的性別: □男□女
2.您的年齡:□20-29 歲 □30-39 歲 □40-49 歲 □50-59 歲 □60 歲以上 3.您目前服務的公司: 部門別:
4.您的職稱:
5.您工作的屬性: □資安擔當者 □資安經理人 □其它 6.您的學歷:□高中(職) □專科 □大學 □碩士 □博士
7.您從事資訊安全相關事務之年資:
□5 年以下 □6 - 10 年 □11 - 15 年 □16 - 20 年 □21 年以上。
8.電子郵件: (如您需要此研究結果電子檔,請填寫) 貳、資訊安全風險項目衡量指標說明
本研究按照 ISO/IEC 2007概念分為五個主要的評估構面(設備環境安全、企業 永續經營、資安規範、組織內部管理和通訊與作業管理),在各個構面項目之下再 分成數個細項指標,請您依照目前的工作屬性來評定本研究的初步指標是否適用 於企業導入虛擬化之資訊安全風險項目研究用途上。
若您認為適合但需調整指標意涵,請於“修正意見”中說明;若您認為該指 標不適合,亦請於“修正意見”中說明不適合的原因。此外,如果您認為本研究 各構面的評估項目中有遺漏其他重要指標,請於「建議指標」欄說明。再次感謝 你的協助,祝您事事順心!
61
構 面 及 衡 量 指 標 名 稱 適 合 性 判 斷 適 合 不 適 合 1. 設備環境安全
修正意見:
1.1.系統實體環境之保護措施………..……..…………...
修正意見:
1.2.威脅弱點分析………...
修正意見:
1.3.實體資產保護與管理………...
修正意見:
1.4.資訊資產管理清冊………...
修正意見:
1.5.除錯程序規劃………...
修正意見:
1.6.設備維護標準作業………...
修正意見:
1.7.進出存取權限管理………...
修正意見:
建議指標:
構 面 及 衡 量 指 標 名 稱 適 合 性 判 斷 適 合 不 適 合 2. 企業永續經營
修正意見:
2.1.持續經營計劃………...
修正意見:
2.2.備援和恢復規劃………...
修正意見:
2.3.定期風險評鑑作業………...
修正意見:
2.4.故障排除程序..……….
修正意見:
62
2.5.事件記錄後之追蹤改善…..………...………..
修正意見:
2.6.定期測試之落實………...
修正意見:
2.7.企業資安形象………...
修正意見:
建議指標:
構 面 及 衡 量 指 標 名 稱 適 合 性 判 斷 適 合 不 適 合 3. 資安規範
修正意見:
3.1.持續辦理矯正與預防措施………...
修正意見:
3.2.定期進行內部稽核活動………..……….
修正意見:
3.3.保留稽核軌跡………...
修正意見:
3.4.遵循國際規範…..……….
修正意見:
3.5.遵循內部規範………...
修正意見:
3.6.資安管控流程計劃………...
修正意見:
建議指標:
63
構 面 及 衡 量 指 標 名 稱 適 合 性 判 斷 適 合 不 適 合 4. 組織內部管理
修正意見:
4.1.安全政策的有效性………...
修正意見:
4.2.建立緊急聯繫機制………..……….
修正意見:
4.3.高階主管資訊安全認知……...………
修正意見:
4.4.資安人員的專業性…..……….
修正意見:
4.5.員工教育訓練………...
修正意見:
4.6.資安員工忠誠度……….…………...
修正意見:
4.7.資安系統的穩定程度………...
修正意見:
4.8.高階主管支持………..……….………
修正意見:
建議指標:
構 面 及 衡 量 指 標 名 稱 適 合 性 判 斷 適 合 不 適 合 5. 通訊與作業管理
修正意見:
5.1.第三方的服務管理………...
修正意見:
5.2.網路傳輸管理………...
修正意見:
5.3.備援機制………..……….
修正意見:
64 5.4.通訊安全作業.………..
修正意見:
5.5.CA 認證與憑證管理………...
修正意見:
5.6.資訊備份作業………...
修正意見:
建議指標:
問卷完畢,謝謝!
65
附錄二 紙本問卷
「資訊安全風險衡量項目問卷」
敬愛的資安產業先進:
您好!懇請參與本研究之問卷調查。這是一份有關於利用分析層級程序法(Analytic Hierarchy Process;AHP)求算企業導入虛擬化之資訊安全風險衡量項目相對權重的調 查問卷,本問卷希望借重各位從事相關企業導入虛擬化之資訊安全風險項目研究實 務經驗,提供您寶貴的意見,以建立企業導入虛擬化之資訊安全風險項目之相對權重 和架構模式。
本問卷係專用於純學術研究之用途,採匿名方式作答,不對外公開,懇請務必撥冗填 寫。若您對於本問卷有任何問題與指正,歡迎您來電;您的積極參與及意見表達將是本 研究能夠完成的最重要動力。再次感謝您熱心協助並敬祝身體健康 事業順利!
中華大學資管研究所 指導教授:張文智博士 研究生:葉謦瑞敬上 聯絡電話:0980-038-897
電子郵件:eddie.yeh@wwtech.com.tw 中華民國一百零二年 12 月 12 日 壹、基本資料
1.您的性別:□男□女
2.您的年齡:□20-29 歲 □30-39 歲 □40-49 歲 □50-59 歲 □60 歲以上 3.您目前服務的公司: 部門別:
4.您的職稱:
5.您工作的屬性:□資安擔當者 □資安經理人 □系統管理者□其它 6.您的學歷:□高中(職) □專科 □大學 □碩士 □博士
7.您從事資訊安全相關事務之年資:
□5 年以下 □6 - 10 年 □11 - 15 年 □16 - 20 年 □21 年以上。
8.電子郵件: (如您需要此研究結果電子檔,請填寫)
貳、問卷填答方式說明
本問卷決定權重以層級分析法(AHP)進行分析,因此問卷中將各評估項目以名義尺度作 簡明的對偶比對,將名義尺度以絶強(9:1)、極強(7:1)、頗強(5:1)、稍強(3:1)、相 等(1:1)、稍弱(1:3)、頗弱(1:5)、極弱(1:7)、頗弱(1:7)、絶弱(1:9)等劃分九級,
填答範例如下: