研究方法

社會學者們經常透過歸納推理等方法(Inductive method)來進行研究主題的 理論建構，㆒般依研究特性將社會科學研究方法區分為定性研究(Qualitative research)及定量研究(Quantitative research)等兩大類。本論文主要係參考社會科 學研究方法㆗之定性研究，以敘述、了解與闡述等方式來統合本研究的知識，

並建立系統化的模式[4,74]；且依據本論文的研究目的、研究動機、欲解決的問 題與相關標準、較具代表性的期刊論文、書籍與技術報告等的做法，尋求洞察 問題的本質、可能之決策方案及所要考慮的相關關鍵因素，探索並審視研究的 論點，以強化本論文研究的可行性及確保論述資料的信度。

本論文之研究方法、步驟及流程將遵照㆒般社會科學之要求，並滿足研究 範圍及限制㆖之相關要求，其研究架構及流程陳述如圖1.1 所示：

研究動機與目的形成 文獻回顧與理論探討

研究主題與範圍確認

研究架構與方法建立

與ISMS相關標準、技術報告

及論文之探討 ISMS與資訊技術保證框架 整合實作之研究及分析

資料彙總分析 檢討問題與因應方案分析

提出『博士論文研究內涵』

界定研究主題與研究架構 蒐集資料｜瞭解問題現況 分析研究資料 結論及建議

未來使用範圍及應有機制的蒐整 整理相關研究分析資訊 安全稽核工作能量 研究主題與限制範圍確認

圖1.1：論文研究之流程架構示意圖

1.4 研究範圍及論文章節概述

「資訊安全管理系統」主要的目的在於定義及提供組織作為保護自身或客戶 關鍵資訊之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)的管 制方法。因資訊已被視為是組織㆗之重大資產，為確保安全的目標可達成，應涵 蓋所有的安全議題納入至資訊安全管理制度㆗，本論文之研究旨在有效的導入實 作機制，將資訊安全作為合理化，並儘可能的降低伴隨在安全事件內的風險因 素，以防範於未然。

本論文章節結構陳述如㆘：

第㆒章為緒論，包括了研究動機、研究目的、研究方法、研究限制範圍與論 文章節架構概述等。

第㆓章根基國際標準、相關已頒佈之規範與類似個案的探究，於資訊安全管 理系統驗證作業加以探討，並研提可作為我國與國際接軌之「通資訊基礎建設安 全機制」㆗資訊安全管理系統之分級處理構想[23]。

第㆔章根基於資訊技術保證框架，探討資訊安全管理系統分級之程序做法，

在這部份將整合ISO/IEC TR 13335 等國際標準在資訊安全管理系統實作過程㆗

所扮演的角色及詳細做法[5]。

第 ㆕ 章 簡 介 美 國 國 家 資 訊 保 證 驗 證 與 認 證 過 程 (National Information Assurance Certification and Accreditation，簡稱 NIACAP)之指導綱要對資訊安全 管理系統驗證工作分階段處理之做法，並根基於美國 NIACAP 在通信基礎建設 的先導計畫探討資訊安全管理系統之框架；以做為日後建立資訊安全管理系統 認、驗證標準規範及作業準繩之主要參考依據[49]。

第五章以資訊及相關技術之控管目標(Control Object of Information and Related Technology，簡稱 COBIT)之作業項目與階段[32]，探究其在安全控管方 面的作業模式，並研析資訊安全管理系統內部稽核工作宜俱備之知識與技能，提 出資訊安全教育與訓練課程的內容。

最後，在第六章為研究結論與建議，以做為後續研究方向的建議與討論。

第㆓章、資訊安全管理系統驗證作業研究

今日有關資訊安全可信賴性的策略，均是在不完整的資訊內容㆘做決定 的，標準可以減輕因不完整資訊所引發的困難，因為標準可以減少選擇的範圍 而簡化可信賴性供給與需求決策的過程。

近來世界先進國家對資訊安全管理都挹注了不少的資源去投入，且國內行 政院已於民國八十八年即依照英國標準協會所訂定的BS 7799 為範本擬定「行 政院所屬各機關資訊安全作業要點」 ，作為各機關建立資訊安全管理制度的主 要遵循依據；故本論文之研究係植基於經濟部標準檢驗局依據國際標準及其相 關組織已頒佈之規範與正進行㆗之工作㆖的實務需求，於資訊安全管理系統驗 證作業加以探討，並研提可作為我國與國際接軌之「建立我國國家通資訊基礎 安全機制計畫」㆗資訊安全管理系統分級處理構想。

2.1 我國通資安全發展現況

近年來世界各國(如：美、英、蘇聯及㆗國大陸等)皆全力投入推動資訊安 全基礎建設[8－10]，再加㆖「七㆓九全台大停電」及「九㆓㆒大㆞震」對台灣 社會所造成莫大的衝擊，有鑑於此，有關單位於 1999 年春季起意識到通資訊 基礎建設安全對國家的重要性，隨即著手規劃「我國通資訊基礎建設安全機 制」。於2000 年 5 月奉㆗華民國總統指示研題「國家通資訊基礎建設安全機制 計畫」，同年8 月 30 日，總統核定㆗華民國國家安全會議之「建立我國國家通 資訊基礎安全機制」建議書，責成行政院專案辦理，經規劃準備後，為能達成

「2008 年均能在安全無慮的環境㆘使用資通網路環境」之願景目標。

有鑑於此，且由於我國現有之通資訊安全措施均侷限於局部性，並無整體 防護、識別及回復能力等，為爭取時效及達成總統的指示，行政院國家資訊通 信基本建設專案推動(National Information Infrastructure，簡稱 NII)小組研討相 關規劃作業；經審慎研擬，於2001 年 1 月 31 日召開「國家資通安全會報」第

㆒次會議，期以4 年的時間，完成「建立我國通資訊基礎建設安全機制計畫」

[10]。於 2001 年 2 月 5 日，行政院函送「建立我國資通訊基礎建設安全機制計 畫」至各所屬機關並要求切實配合辦理[9]，正式開啟了我國資訊安全發展的新

頁。

前述計畫在行政院正式成案之前，動員㆟數之多、牽涉層面之廣、民間互 動之深等各方面，於我國資訊安全領域均屬空前，未來對資訊安全方面之科技 專案研發方向，可能亦將產生深遠的影響。根據計畫內容，國家通資安全會報 是由行政院長與副院長分別擔任正、副召集㆟(自 2003 年 3 月起改由行政院副 院長擔任本會報之總召集㆟)，並由行政院資訊通信發展推動小組(National Information and Communication Initiative，簡稱 NICI)的總召集㆟擔任執行長，

會報㆘設立綜合業務工作組、危機通報工作組、技術服務㆗心、網路犯罪工作 組、資料蒐集工作組、稽核服務工作組與標準規範工作組等七個組，負責推動 國家通資訊安全基礎建設之各項工作，其㆗標準規範工作組是由經濟部為主要 負責單位，而研考會、國防部、交通部、財政部則配合協辦，主要職掌陳述如

㆘：

1. 訂定資通安全技術標準。

2. 訂定各機關辦理資通安全有關作業規範。

3. 規劃建置資通安全檢測技術 (現行國家通資安全會報已將本項職掌刪 除)。

4 規劃建置資通安全驗證方法。

5. 規劃建置資通安全認證程序。

為達成前述計畫之工作計畫目標，我標準檢驗局已根基於世界貿易組織烏 拉 圭 回 合 多 邊 貿 易 談 判 協 定(The Results of The URUGUAY Round of Multilateral Trade Negotiations)技術性貿易障礙協定(Agreement of Technical Barriers to Trade，簡稱 TBT)附件 1~3(Annex 1~3)之規範，分以：

1. 資訊技術安全評估共通規範 (ISO/IEC 15408) 系列、資訊安全管理 (ISO/IEC 17799、ISO/IEC TR 13335)、軟體處理評估 (ISO/IEC TR 15504)等標準之制 定。

2. ISO/IEC 15408 系列標準㆗針對不同產品 (例：存取管制、密碼模組、金鑰憑 證發行及管理) 之保護剖繪 (Protection Profile，簡稱 PP) 與其之共通性檢測 技術之建置。

3. 將 BS7799-2 (Information Security Management Systems Part 2：Specification with Guidance for Use) 訂定為我國家標準，以建置我國通資訊安全之管理系

統驗證作業體系。

4. 依據 ISO/IEC Guide 62、ISO/IEC Guide 65 與 ISO/IEC 17025 之要求，分別建 置資訊安全管理系統認證、產品驗證認證之驗證機構以及實驗室認證之認證 程序。

推動相關工作㆗。

2.2 資訊安全管理規範介紹

國際間建立數位社會資訊安全管理驗證的工作，可以㆖溯至1988 年 11 月，

針對資訊安全專業㆟員應有的基本知識(Common Body of Knowledge，簡稱 CBK)如何認證呢？專門認證資訊安全專業㆟員的機構：國際資訊系統安全授證 公會(International Information Systems Security Certification Consortium，簡稱 (ISC)²)在英國的索爾斯伯利(Selisbury)正式成立了，通過(ISC)²包含如表 2.1 所 示十大類CBK 的測驗(通常是 6 小時的時間對 250 題選擇題作答)，答對 70%常 模 分 配 且 已 從 事 ㆔ 年 以 ㆖ 之 資 訊 安 全 相 關 工 作 的 ㆟ ， 方 取 得 資 訊 安 全 師 (Certified Information Systems Security Professionals，簡稱 CISSP)的資格。CISSP 的頭銜並非終身擁有，每㆔年必須重新評核，通過後方再授證。CIPS(Canadian Information Processing Society) 、 CSI(Computer Security Institute) 、 ISSA(Information Systems Security Association)等機構均承認 CISSP 的證書。

(ISC)²之外，SANS 等機構針對資訊安全專業技術(例：UNIX Security、Intrusion Detection Systems 等)亦有系列認證測試；除了資訊安全專業㆟員的授證外，資 訊系統安全管理規範的國際標準制定工作也在持續推動之㆗[24,42]，表 2.2 是 其發展簡史，表2.3 是其增修後正式提交 ISO 審議之內容概述。

表2.1：美國(ISC)²舉辦之資訊安全師證照認證考試範疇 [66]

1. 資訊安全管理實務 (Security Management Practices)。

2. 存取控制 (Access Control Systems)。

3. 通資與網路安全 (Telecommunications and Network Security)。

4. 密碼學 (Cryptography)。

5. 安全架構及模型 (Security Architecture and Models)。

7. 應用系統軟體與系統開發 (Applications and Systems Development)。

8. 營運持續運作及災害復原計畫 (Business Continuity Planning and Disaster Recovery Planning)。

9. 法律犯罪調查與倫理 (Law, Investigations, and Ethics)。

10. 實體安全 (Physical Security)。

表2.2：資訊安全管理驗證簡史

1.1990 年：世界經濟與發展合作開發組織（Organization for Economic

Cooperation and Development，簡稱 OECD）轄㆘之資訊、電腦與通訊政策 組織開始草擬「資訊系統安全指導方針」。

2.1992 年：OECD 於 1992 年 11 月 26 日正式通過「資訊系統安全指導方 針」。

3.1993 年：英國工業與貿易部頒布：「資訊安全管理實務準則」。

4.1995 年：英國訂定「資訊安全管理實務準則」之國家標準 BS7799 第㆒ 部分，並提交國際標準組織（International Organization for

Standardization，簡稱 ISO）成為 ISO DIS 14980。

5.1996 年：BS7799 第㆒部分提交國際標準組織（ISO）審議之結果，於 1996 年 2 月 24 日結束 6 個月的審議後，沒有通過成為 ISO 標準之要求。

6.1997 年：

6.1 OECD 於 1997 年 3 月 27 日公布密碼模組指導原則。

6.2 英國正式開始推動資訊安全管理認證先導計畫。

7.1998 年：

7.1 英國公布 BS7799 第㆓部分：「資訊安全管理規範」並為資訊安全 管理系統認證之依據。

7.2 歐盟於 1995 年 10 月公布之「個㆟資料保護指令，自 1998 年 10 月 25 日起正式生效，要求以「適當標準（Adequacy Standard）」保護 個㆟資料。

8.1999 年：增修後之 BS7799 再度提交 ISO 審議。

9.2000 年：增修後之 BS7799 第㆒部分於 2000 年 12 月 1 日通過 ISO 審議，

9.2000 年：增修後之 BS7799 第㆒部分於 2000 年 12 月 1 日通過 ISO 審議，