第四章 資料分析結果
第二節 第二階段專家諮詢問卷結果分析
42
43
表 4-2 : 資訊安全風險構面及項目適合度分析結果
構面 適合度(%) 指標 適合度(%)
設備環境安全
100
系統實體環境之保護措施 100
威脅弱點分析 100
實體資產保護與管理 100 資訊資產管理清冊 100
除錯程序規劃 100
設備維護標準作業 100 進出存取權限管理 100
企業永續經營 100
持續經營計劃 100
備援和恢復規劃 100
定期風險評鑑作業 100
故障排除程序 100
事件記錄後 100
之追蹤改善 100
定期測試之落實 100
企業資安形象 100
資安規範 100
持續辦理矯正與預防措施 100 定期進行內部稽核活動 100
保留稽核軌跡 100
遵循國際規範 100
遵循內部規範 100
資安管控流程計劃 100
資料來源:本研究整理
44
表 4-2 : 資訊安全風險構面及項目適合度分析結果(續)
組織內部管理 100
安全政策的有效性 100 建立緊急聯繫機制 100 高階主管資訊安全認知 100 資安人員的專業性 100
員工教育訓練 100
資安員工忠誠度 100
資安系統的穩定程度 100
高階主管支持 100
通訊與作業管理 100
第三方的服務管理 100
網路傳輸管理 100
備援機制 100
通訊安全作業 100
CA 認證與憑證管理 100
資訊備份作業 100
資料來源:本研究整理
45
本研究以計算各構面權重值的方法為例,說明計算步驟如下所示:
1. 輸入資料:由 P1~174 輸入比較資料
A 設備環境
安全
B 企業永續 經營
C 資安規範 D 組織內部 管理
E 通訊與作 業管理 A 設備環境安全 1.00 1.00 1.00 1.00 0.33
B 企業永續經營 1.00 0.33 1.00 0.33
C 資安規範 1.00 3.00 3.00
D 組織內部管理 1.00 3.00
E 通訊與作業管
理 1.00
2. 計算 A 矩陣:來自 P1~174 輸入比較資料的幾何平均值 A 矩陣:
1.00 0.99 1.22 0.98 0.66 1.01 1.00 0.92 0.95 0.85 0.82 1.09 1.00 0.93 1.47 1.02 1.06 1.07 1.00 1.25 1.50 1.18 0.68 0.80 1.00
3. 計算優先權重:利用 P1~174 輸入比較資料的幾何平均值用行列式計算 λ 值
A 矩陣: e 矩陣:
1.00 0.99 1.22 0.98 0.66 0.19 1.01 1.00 0.92 0.95 0.85 0.19 0.82 1.09 1.00 0.93 1.47 × 0.21 1.02 1.06 1.07 1.00 1.25 0.21 1.50 1.18 0.68 0.80 1.00 0.20
46
4. 計算 λmax:利用 P1~174 輸入比較資料的幾何平均值用行列式計算出之 λ 值中最大
值再除以 e
λmax = Ae/e 5.11 5.01 5.10 5.02 4.91 5.10
5. 計算 CI 值:利用(λmax-n)/(n-1)
已知 n=5, (λmax-n)/(n-1)=(5.1-5)/(5-1) =0.0258
6. 計算 CR 值:利用 CR=CI/RI
已知 n=5 之下 RI=1.12, CR=0.0258/1.12=0.023
因為 CR=0.023≦0.1,所以一致性有符合!
47
本研究之資訊安全風險構面權重值經過整理及分析結果如表 4-3 所示:
表 4-3 : 各構面之權重值
構面 / 權數
指標
項目 權數 排名
虛擬化資安構面 (1.000)
設備環境安全 0.19 1
企業永續經營 0.19 2
資安規範 0.21 3
組織內部管理 0.21 4
通訊與作業管理 0.20 5
資料來源:本研究整理 經由專家訪談及層級分析法進行權重值分析,如表 4-3 所示,可看出資安規範及組 織內部管理所受重視程度最高,其次為通訊與作業管理的水準,再者為設備環境安全及 企業永續經營。至於各構面的評估指標權重值,如表 4-4 所示。
本研究以計算第一個構面之風險項目權重值的方法為例,其中風險項目權重值的 0.12 係由各項目的幾何平均值 (0.86、1.04、1.10、0.83、0.77、1.16、1.22) 加總再予以正 規化後,其所佔的權重比例,說明計算步驟如下所示:
48
第一個構面風險項目權重值之計算步驟如下所示:
1. 輸入資料:由 P1~174 輸入比較資料 A
系統實 體環境 之保護 措施
B 威脅弱 點分析
C 實體資 產保護 與管理
D 資訊資 產管理 清冊
E 除錯程 序規劃
F 設備維 護標準 作業
G 進出存 取權限 管理 A 系統實體環境之保
護措施 1.00 0.55 0.70 0.82 1.05 0.68 1.15 B 威脅弱點分析 1.00 1.19 0.95 1.21 0.93 0.99 C 實體資產保護與管理 1.00 1.60 1.17 0.98 0.89 D 資訊資產管理清冊 1.00 1.36 0.66 0.73 E 除錯程序規劃 1.00 0.83 0.52 F 設備維護標準作業 1.00 1.09 G 進出存取權限管理 1.00
2. 計算 A 矩陣:來自 P1~174 輸入比較資料的幾何平均值 A 矩陣:
1.00 0.55 0.70 0.82 1.05 0.68 1.15 1.80 1.00 1.19 0.95 1.21 0.93 0.99 1.42 0.84 1.00 1.60 1.17 0.98 0.89 1.22 1.06 0.62 1.00 1.36 0.66 0.73 0.95 0.83 0.86 0.74 1.00 0.83 0.52 1.47 1.08 1.02 1.53 1.21 1.00 1.09 0.87 1.01 1.13 1.37 1.92 0.92 1.00
49
3. 計算優先權重:利用 P1~174 輸入比較資料的幾何平均值用行列式計算 λ 值 A 矩陣: e 矩陣:
1.00 0.55 0.70 0.82 1.05 0.68 1.15 0.12 1.80 1.00 1.19 0.95 1.21 0.93 0.99 0.15 1.42 0.84 1.00 1.60 1.17 0.98 0.89 0.16 1.22 1.06 0.62 1.00 1.36 0.66 0.73 × 0.12 0.95 0.83 0.86 0.74 1.00 0.83 0.52 0.11 1.47 1.08 1.02 1.53 1.21 1.00 1.09 0.17 0.87 1.01 1.13 1.37 1.92 0.92 1.00 0.17
4. 計算 λmax:利用 P1~174 輸入比較資料的幾何平均值用行列式計算出之 λ 值中最大 值再除以 e
λmax = Ae/e 6.85 7.57 6.95 7.63 7.65 5.11 4.83 7.65
5. 計算 CI 值:利用(λmax-n)/(n-1)
已知 n=7, (λmax-n)/(n-1)=(7.65-7)/(7-1)=0.108
6. 計算 CR 值:利用 CR=CI/RI
已知 n=7 之下 RI=1.32, CR=0.108/1.32=0.082 因為 CR=0.082≦0.1,所以一致性有符合!
50
表 4-4 : 評估構面及其細項指標之權重值
構面/(權數) 評估指標 權數
設備環境安全 (0.19)
系統實體環境之保護措施 0.12
威脅弱點分析 0.15
實體資產保護與管理 0.16
資訊資產管理清冊 0.12
除錯程序規劃 0.11
設備維護標準作業 0.17
進出存取權限管理 0.17
企業永續經營 (0.19)
持續經營計劃 0.11
備援和恢復規劃 0.14
定期風險評鑑作業 0.14
故障排除程序 0.12
事件記錄後之追蹤改善 0.14
定期測試之落實 0.18
企業資安形象 0.17
資安規範 (0.21)
持續辦理矯正與預防措施 0.17 定期進行內部稽核活動 0.17
保留稽核軌跡 0.14
遵循國際規範 0.15
遵循內部規範 0.18
資安管控流程計劃 0.19
組織內部管理 (0.21)
安全政策的有效性 0.10
建立緊急聯繫機制 0.11
高階主管資訊安全認知 0.12
資安人員的專業性 0.11
員工教育訓練 0.13
資安員工忠誠度 0.13
資安系統的穩定程度 0.14
高階主管支持 0.15
註:所有構面及指標之 C.R. ≦ 0.1
51
表 4-4 : 評估構面及其細項指標之權重值(續)
通訊與作業管理 (0.20)
第三方的服務管理 0.13
網路傳輸管理 0.15
備援機制 0.15
通訊安全作業 0.16
CA 認證與憑證管理 0.21
資訊備份作業 0.18
註:所有構面及指標之 C.R. ≦ 0.1
52