第五章 結論與未來研究方向
5.2 未來研究方向
由於本研究所提出的資訊安全管理政策為目前市面上所提供的技術與服 務,但隨著資訊科技的進步,將來也許會有更多的技術或軟體能突破目前的資訊 安全政策,所以對於將來的研究方向則是不斷探討目前的資訊安全技術以及駭客 的攻擊或竊取資料的手法,以期將來能將相對應的政策列入研究範圍內。
對於此次的研究並未做出實際的執行系統,實屬可惜,若將來有足夠的時 間與技術可以實際寫出本研究中所假設的系統,並且實際套用於企業的資訊安全 管理內,以作為實作之驗證,因此對於未來的研究方向,本研究提出下列四點來 做說明與討論。
一、 企業內部資訊安全政策的定義
不同的企業所定義的企業內部的資訊安全政策都不盡相同,雖然幾乎都大 同小異,但是對於職務的規範以及特性和需被管制的部分還有有所差異,只能從 大方向來作為一個定義,所以容易造成不夠客觀的情況產生,若能有一套完整的 企業資訊安全政策,如 ISO27001 資訊安全稽核的項目與控制措施,對於本研究 的企業資訊安全政策定義將能提供更有力的證明與規範。
二、 資訊設備需被管制職務的定義
本研究所定義的工作職務項目,是由企業徵才網站上所定義出來的,對於 部份職務是否需使用到資訊設備還是有部分爭議,在未來的研究,若能夠清楚且 縮小職務的範圍,能做出更精確的職務限制,將能更有效的提升本研究的效果以 及更有效率的管理方式。
三、 ISAS 系統模型實作
本研究所假說的 ISAS 系統模型,礙於研究規模以及時間上的限制,沒有辦 法實作出來,實屬可惜,對於不同的資訊監控技術,若能有效的整合起來,透過 SI 公司,將不同資訊安全設備企業所研發出來的監控稽核管理設備,整合成一 套系統,對於企業與系統管理員來說,都是一大福音,透過這樣的系統架構,企 業只需購買一台設備或是一套軟體,就能夠將不同的資訊稽核需求整合,以及有 效的管理,系統管理員不需要在不同的設備上定義不同的管制方式,企業也不需 要一次購買不同的資訊安全設備,無論是管理或是成本上的考量都是有利於企業 以及系統管理人員。
四、 其他
在未來的研究中,凡屬於 RBAC 或者是資訊安全政策以及資訊監控技術,
以及提昇企業內部資訊安全管理的相關討論,均是屬於本研究未來的研究方向與 議題。
參考文獻
1. 江啟先,「員工資訊隱私權與企業在網路監控協調之研究」,國立政治大學法 律科技整合研究所碩士論文,2009 年。
2. 余美伶,「結合角色和資料夾的存取控制模組設計-以數位學習系統為例」,
國立嘉義大學資訊工程學系,中華民國資訊學會通訊,vol.8, no.2,2005 年。
3. 林千代,「可攜性 RBAC 資訊系統架構之研究」,朝陽科技大學資訊管理系碩 士論文,2003 年。
4. 林宛臻,「產品策略轉型與研發組織再造-以 A 公司為例」,中央大學人力資源 管理研究所。
5. 吳美玉,「以角色與工作為基礎的工作流程授權管理」,國立交通大學資訊管 理研究所博士論文,2005 年。
6. 洪國興、季延平,趙榮耀,「組織制定資訊安全政策對資訊安全影響之研究」,
資訊管理研究, vol.3,2003 年。
7. 洪國興、季延平,趙榮耀,「影響資訊安全關鍵因素之研究」,資訊管理研究 vol.6 ,2006 年。
8. 侯皇熙,「植基於 BS7799 探討政府部門的資訊安全管理一 以海關資訊部門 為例」,國立成功大學工程科學系碩士論文,2004 年。
9. 張瑞中、陳啟彰,「以角色流程控制為基礎的網格認證機制」,資訊科學應用 期刊, vol.5, no.2, pp.25-44,2009 年。
10. 張清文,「利用 XML Security 與 RBAC 設計企業檔控管系統」,國立中央大學 資訊管理研究所碩士論文,2003 年。
11. 張義淵,「企業個資安全管理的策略規劃」,奕瑞科技官方網站 Eraysecure,
http://eraysecure.blog.ithome.com.tw/post/7397/142074 , Retrieved Date : 2012/06/17。
12. 張 經 理 ,「 資 訊 安 全 概 論 」, 定 興 實 業 有 限 公 司 E-DETECTIVE
http://www.internet-recordor.com.tw/safe.html,Retrieved Date:2012/03/11。
13. 張明信,林祝興「資訊安全導論」,旗標出版股份有限公司,2009 年。
14. 陳鴻彬,「網路威脅與防治方式」,威播科技
http://admin.must.edu.tw/upfiles/A DUpload/c23_downmul1277225568.pdf,Retrieved Date:2012/05/28。
15. 黃景彰、吳國楨,「現代企業網路中使用者識別與存取授權之整合設計」,中 山管理評論, vol.5, no.2, pp.779-796,1997 年。
16. 劉興華、黃景彰、吳國禎、鄭智文、劉敦仁「企業網路中整合使用者身分確 認與執行權管制的資訊安全管理」,Chiao Ta Management Review, vol.19, no.2, pp. 103-130,1999 年。
17. 蔡政宇,「以角色為基支援跨網域之網頁應用程式授權方法設計」,南華大學 資訊管理學系碩士論文,2008 年。
18. 錢世傑,「網路通訊監察法制與相關問題研究」,中原大學財經法律學系碩士 學位論文,2002 年。
19. 譚清泉,「由“個資法”引申企業對資訊安全之認知」,Quality Magazine Chinese Society for Quality, vol.46, no.7, pp.30-33,2010 年。
20. Andrea Omicini., Alessandro Ricci., Mirko Viroli, “RBAC for Organisation and Security in an Agent Coordination Infrastructure”, Electronic Notes in Theoretical Computer Science 128, pp. 65-85, 2005.
21. Basit Shafiq, “Secure Interoperation in a Multidomain Environment Employing RBAC Policies”, IEEE Transactions On Knowledge and Data Engineering, vol.
17, no.11, pp. 1557-1577, November 2005.
22. Dejun Chen, Zude Zhou and Yingzhe Ma, D.T. Pham, “Modeling of RBAC-based Access Control of Virtual Enterprise”, Kybernetes, vol. 37, Issue 9, pp. 1242-1249, 2008.
23. David F. Ferraiolo, Janet A. Cugini, D. Richard Kuhn, “Role-Based Access Control(RBAC):Features and Motivations”, Proceedings of 11th Annual Computer Security Application Conference, IEEE Computer Society Press, pp.
241-248, December 1995.
24. DIGITIMES 企劃,「雲端時代關鍵挑戰網路架構與安全管理」,科技商情,
http://www.digit imes.co m.tw/tw/dt/n/shwnws.asp?CnlID=13&Cat=1&C at1=&id=0000260975_F6U8ZFXF8VX3AL412PNDW&query=%B8%E A%A6w%B3%5D%B3%C6#ixzz1f3VQg9HH
,Retrieved Date:2011/11/28。25. Ebru Celikel, “Managing Risks in RBAC Employed Distributed Environments”, R. Meersman and Z. Tari et al.(Eds.):OTM 2007, Part II, LNCS 4804, pp.
1548-1566, 2007.
26. Feraiolo, D. and Kuhn, R., “Role-Based Access Control”, Communications of the 15th NIST-NSA National Computer Security Conference, 1992.
27. Ferraiolo, D., Sandhu, R., Gavrila, S., and Kuhn, R, “Proposed NIST Standard for Role-Based Access Control ACM”, Transaction on Information and System Security, vol. 4, no.3, 2001.
28. Feraiolo, D., Kuhn, R., and Chandramouli, R, “Role-Based Access Control Second Edition”, Computer Security Series, ARTECH HOUSE, 2007.
29. Feraiolo, D. and Kuhn, R., “Role-Based Access Control”, Communications of the 15th NIST-NSA National Computer Security Conference, 1992.
30. Sandhu, R. S. Coyne, E.J. Feinstein, H.L. Youman, C.E., “Role-based Access Control Models”, Computer, vol. 29, Issue 2, pp. 38-47, February 1996.
31. Zhenxing Luo, Nuermaimaiti Heilili, Zuoquan Lin, “A Flexible Applicable RBAC Model and Its Administration”, 18th International Workshop on Database and Expert Systems Applications, pp. 192-196, July 2007.
32. Shih-Chien Chou and Chien-Jung Wu, “Controlling Information Access In Workflow Manag-Ement Systems Using RBAC-Based Model”, Journal of the Chinese Institute of Engineers, vol. 30, no. 2, pp. 331-336, 2007.
附錄
附錄一 使用到資訊設備職務
經營類型相關工作人員
經營/幕僚類人員、儲備幹部、經營管理主管、主管特別助理。
人資類型相關工作人員
人力資源類人員、人力資源主管、教育訓練人員、人力/外勞仲介、人力資源人 員、人力資源助理。
行政相關工作人員
行政/總務類人員、行政人員、行政主管、行政助理。
總務相關工作人員
總務、總務主管、總務人員、秘書、資料輸入人員、文件管理師、圖書資料管理 人員、總機人員、櫃檯接待人員。
法務類相關工作人員
法務/智財類人員、法務/智財主管、法務人員、其他法律專業人員、工商登記 服務人員、法務助理、律師、商標/專利人員、代書/地政士。
行銷相關工作人員
行銷類人員、廣告企劃主管、行銷企劃主管、品牌宣傳及媒體公關主管、產品行 銷人員、行銷企劃人員。
企劃相關工作人員
行銷企劃人員、活動企劃人員、網站行銷企劃、媒體公關/宣傳採買、廣告文案
/企劃、市場調查/市場分析、不動產/商場開發人員、行銷企劃助理、產品企 劃類人員、產品企劃主管、產品企劃開發人員。傳播媒體企劃人員發行企劃/出 版人員、遊戲企劃人員。
專案管理類相關工作人員
專案/產品管理類人員、專案管理主管、系統整合/ERP 專案師、軟體相關專案 管理師、其他專案管理師、產品管理師、營運管理師。
客服
客戶服務類人員、客戶服務主管、電話客服類人員、其他客戶服務人員。
業務相關工作人員
業務銷售類人員、國內業務主管、國外業務主管、專案業務主管、國內業務人員、
國外業務人員、廣告 AE 業務人員、電話行銷人員、醫藥業務代表、不動產經紀 人、汽車銷售人員、傳銷人員、駐校代表、業務助理、產品事業處主管。
貿易類相關工作人員
通路開發人員、貿易類人員、國貿人員、船務/押匯/報關人員、保稅人員。
資訊軟體系統類相關工作人員
軟體/工程類人員、軟體專案主管、電子商務技術主管、通訊軟體工程師、軟體 設計工程師、韌體設計工程師、Internet 程式設計師、電腦系統分析師、電玩程 式設計師、其他資訊專業人員、資訊助理人員、BIOS 工程師、演算法開發工程 師、MIS/網管類人員、MIS/網管主管、資料庫管理人員、MIS 程式設計師、
MES 工程師、網路管理工程師、系統維護/操作人員、資訊設備管制人員、網 路安全分析師。
維修類相關工作人員
產品售後技術服務、業務支援工程師、電腦組裝/測試、通信測試維修人員、產 品維修人員、空調冷凍技術人員、汽車/機車引擎技術人員、飛機裝修工、農業 及工業用機器裝修工、電機裝修工、電子設備裝修工、電話及電報機裝修工、電 信及電力線路架設工、精密儀器製造工及修理工、FAE 工程師。
資材相關工作人員
採購/資材/倉管類人員、採購主管、資材主管、採購人員、倉管、物管/資材、
採購助理。
物流相關工作人員
運輸物流類人員、運輸物流類主管、運輸交通專業人員、倉儲物流人員。
製圖類相關工作人員
製圖/測量類人員、CAD/CAM 工程師、建築設計/繪圖人員、水電及其他工 程繪圖人員、機械設計/繪圖人員、量測/儀校人員、室內設計/裝潢人員、景 觀設計師。
設計類相關工作人員
設計類人員、多媒體開發主管、廣告設計、展場/櫥窗佈置人員、多媒體動畫設 計師、平面設計/美編人員、網頁設計師、美術設計、商業設計、服裝/皮包/
鞋類設計、工業設計、包裝設計、電腦繪圖人員、設計助理、織品設計。
文字相關工作人員
文字編譯類人員、技術檔/說明書編譯、英文翻譯/口譯人員、日文翻譯/口譯 人員、其他翻譯/口譯人員、文編/校對/文字工作者。
傳媒工作類相關工作人員
排版人員、記者及採訪類人員、記者/採編、其他傳媒相關工作。
研發相關類相關工作人員
工程研發類人員、硬體工程研發主管、光電工程研發主管、通訊工程研發主管、
其他工程研發主管、電機技師/工程師、機械工程師、機構工程師、機電技師/
工程師、電子工程師、零件工程師、硬體研發工程師、PCB 佈線工程師、電源 工程師、類比 IC 設計工程師、數位元 IC 設計工程師、半導體工程師、微機電工 程師、光電工程師、光學工程師、電信/通訊系統工程師、RF 通訊工程師、IC 佈局工程師、助理工程師、工程助理、其他特殊工程師、電子產品系統工程師、
太陽能技術工程師、熱傳工程師、聲學/噪音工程師、化工材料研發類人員、化 工化學工程師、紡織化學工程師、特用化學工程師、材料研發人員、實驗化驗人 員、生技/醫療研發類人員、食品研發人員、醫藥研發人員、生物科技研發人員、
化學工程研發人員、病理藥理研究人員、農藝/畜產研究人員、醫療器材研發工 程師。
財會/金融專業類相關工作人員
金融專業相關類人員、金融專業主管、金融研究員、金融交易員、金融承銷員、
金融營業員、金融理財專員、銀行辦事員、統計精算人員、不動產產權審核/估 價師、保險業務/經紀人、融資/信用業務人員、催收人員、核保/保險內勤人 員、理賠人員、券商後線人員、股務人員、財務/會計/稅務類、財務或會計主 管、會計師、財務分析/財務人員、主辦會計、成本會計、記帳/出納/一般會 計、查帳/審計人員、稽核人員、稅務人員、財務會計助理。