淡江大學(xué)資訊管理學(xué)系碩士班 碩士論文 指導(dǎo)教授 : 黃明達(dá) 博士 以 799為基礎(chǔ)評估銀行業(yè)的 資訊安全環(huán)境 研究生 曾淑惠 撰 中華民國九十一年六月 謝志辭 時(shí)光飛逝，兩年的研究生生涯就此告一段落，在此感謝資管所上每位教授的諄諄教誨，讓我能獲得資訊領(lǐng)域的專業(yè)知識。 我的論文得以順利完成，首先要感謝我的指導(dǎo)教授 黃明達(dá)博士，謝謝老師總是在百忙之中抽空指導(dǎo)我的論文，并且不厭其煩地細(xì)心糾正我的錯(cuò)誤。除此之外，也謝謝老師如父親般無私地教導(dǎo)我待人處 事該有的態(tài)度。感謝洪博義學(xué)長及徐靜婷學(xué)姊幫我做問卷的前測，提供我一些寶貴的意見。在此也感謝口試委員蕭瑞祥教授、梁德昭教授、林宜隆教授和吳宗成教授于口試期間的費(fèi)心的指正及建議，讓我的論文得以更加完整。 謝謝育成學(xué)長和月純學(xué)姊兩年來的幫忙與鼓勵(lì)，也謝謝所上所有同學(xué)的協(xié)助與照顧，讓我擁有兩年美好而難忘的歡樂時(shí)光。此外，謝謝同窗好友雅琳、怡菁、展基、曉雯、易娙和鳯珠的關(guān)懷與鼓勵(lì)，以及所有關(guān)心我、協(xié)助我的朋友們。 我今日所有的成就，最應(yīng)該感謝的，莫過于生養(yǎng)我、對我百般呵護(hù)的父母親，感謝他們一路上的包容與鼓勵(lì)，我才能順 利完成學(xué)位。僅以此成果獻(xiàn)給我親愛的家人。 曾淑惠 謹(jǐn)志 中華民國九十一年六月 I 論文名稱： 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 頁數(shù)： 83 校系所組別： 淡江大學(xué)資訊管理學(xué)系碩士班 A 組 畢業(yè)時(shí)間及提要?jiǎng)e： 九十學(xué)年度第二學(xué)期碩士學(xué)位論文提要 研究生： 曾淑惠 指導(dǎo)教授： 黃明達(dá) 博士 論文提要內(nèi)容： 本研究以問卷調(diào)查方式，分析本國銀行及外商銀行在資訊安全方面的運(yùn)用現(xiàn)況。經(jīng)由集群 (分 析方法，將資訊安全運(yùn)用現(xiàn)況分成三群，本論文依各群的平均分?jǐn)?shù)高低將本國銀行及外商銀行的資訊安全運(yùn)用程度依序歸類為 A、 B、 一方面，利用研究中所列出各集群間資訊安全運(yùn)用的差異項(xiàng)目，可做為集群平均數(shù)較低的銀行持續(xù)加強(qiáng)，以提升集群的參考依據(jù)。 本研究發(fā)現(xiàn)在運(yùn)用現(xiàn)況方面：本國銀行及外商銀行在資訊安全運(yùn)用上最重視的三個(gè)控管要點(diǎn)依序?yàn)榇嫒】刂?、?shí)體與環(huán)境安全與系統(tǒng)開發(fā)與維護(hù)，而最需要加強(qiáng)是安全組織、遵行、安全政策方面的運(yùn)用。 關(guān)鍵字： 799、資訊安全、銀行業(yè) A 83 S 7799 799, 002 淑 惠 黃 明 達(dá) 博 士 is to of by of By , B, C to of of a to of of to “ to be “ 錄 中文摘要 . 英文摘要 . 本文目錄 . 表目錄 . 第一章 緒論 . 錯(cuò)誤 !未定義書簽。 第一節(jié) 研究動機(jī) . 錯(cuò)誤 !未定義書簽。 第二節(jié) 研究目的 . 錯(cuò)誤 !未定義書簽。 第三節(jié) 研究對象 . 錯(cuò)誤 !未定義書簽。 第四節(jié) 研究限制 . 錯(cuò)誤 !未定義書簽。 第二章 文獻(xiàn)探討 . 錯(cuò)誤 !未定義書簽。 第一節(jié) 資訊安全的定義 . 錯(cuò)誤 !未定義書簽。 第二節(jié) 799 資訊安全標(biāo)準(zhǔn)介紹 . 錯(cuò)誤 !未定義書簽。 第三節(jié) 資訊安全的相關(guān)研究 . 錯(cuò)誤 !未定義書簽。 第三章 研究設(shè)計(jì) . 錯(cuò)誤 !未定義書簽。 第一節(jié) 研究方法 . 錯(cuò)誤 !未定義書簽。 第二節(jié) 問卷設(shè)計(jì) . 錯(cuò)誤 !未定義書簽。 第三節(jié) 統(tǒng)計(jì)分析方法與工具 . 錯(cuò)誤 !未定義書簽。 第四章 資料分析 . 錯(cuò)誤 !未定義書簽。 第一節(jié) 問卷回 收率分析 . 錯(cuò)誤 !未定義書簽。 第二節(jié) 受訪者基本資料分析及交叉分析 . 錯(cuò)誤 !未定義書簽。 第三節(jié) 問卷信度與效度分析 . 錯(cuò)誤 !未定義書簽。 第四節(jié) 銀行業(yè)資訊安全現(xiàn)況分析 . 錯(cuò)誤 !未定義書簽。 第五節(jié) 基本資料與十個(gè)控管要點(diǎn)交叉分析 . 錯(cuò)誤 !未定義書簽。 第六節(jié) 銀行業(yè)資訊安全集群分析與交叉分析 錯(cuò)誤 !未定義書簽。 第七節(jié) 本國與外商銀行資訊安全運(yùn)用之比較 錯(cuò)誤 !未定義書簽。 第五章 自我評估步驟 . 錯(cuò)誤 !未定義書簽。 第六章 結(jié)論與建議 . 錯(cuò)誤 !未定義書簽。 第一節(jié) 結(jié)論 . 錯(cuò)誤 !未定義書簽。 第二節(jié) 建議 . 錯(cuò)誤 !未定義書簽。 參考文獻(xiàn) . 錯(cuò)誤 !未定義書簽。 錄 A 本研究問卷 . 錯(cuò)誤 !未定義書簽。 附錄 B 問卷調(diào)查清單 . 錯(cuò)誤 !未定義書簽。 附錄 C 51 家銀行在十個(gè)資訊安全控管要點(diǎn) . 的平均分?jǐn)?shù)列表 . 錯(cuò)誤 !未定義書簽。 附錄 D 問卷統(tǒng)計(jì)資料 . 錯(cuò)誤 !未定義書簽。 附錄 E 銀行資訊安全運(yùn)用集群一覽表 . 錯(cuò)誤 !未定義書簽。 附錄 F 本論文光碟片 . 錯(cuò)誤 !未定義書簽。 V 表 目 錄 表 3卷所涵蓋的範(fàn)圍 . 10 表 4訪者職稱分析表 . 12 表 4期修改資訊安全政策分析表 . 13 表 4期修改資訊安全政策期限分析表 . 13 表 4立資訊安全管理部門分析表 . 13 表 4責(zé)資訊安全員工分析表 . 14 表 4立電腦稽核部門分析表 . 14 表 4責(zé)電腦稽核員工分析表 . 14 表 4訊安全工作最大困難分析表 . 15 表 4腦稽核工作工作最大困難分析表 . 15 表 4訊安全與電腦稽核工作困難的交叉分析表 . 16 表 4階主管的重視程度分析表 . 16 表 4發(fā)生不正常停機(jī)事件 分析表 . 17 表 4生不正常停機(jī)事件原因分析表 . 17 表 4發(fā)生非法入侵的事件 分析表 . 18 表 4生非法入侵事件原因分析表 . 18 表 4訊安全政策成敗關(guān)鍵分析表 . 19 表 4究結(jié)果比較分析表 . 19 表 4個(gè)控管要點(diǎn)的信度分析表 . 20 表 4行業(yè)資訊安全運(yùn)用現(xiàn)況列表 . 21 表 4全政策的問項(xiàng)統(tǒng)計(jì)分析表 . 22 表 4全組織的問項(xiàng)統(tǒng)計(jì)分析表 . 23 表 4資產(chǎn)分類與管制 的問項(xiàng)統(tǒng)計(jì)分析表 . 24 表 4人員安全 的問項(xiàng)統(tǒng)計(jì)分析表 . 25 表 4實(shí)體與環(huán)境安全 的問項(xiàng)統(tǒng)計(jì)分析表 . 26 表 4通訊與操作管理 的問項(xiàng)統(tǒng)計(jì)分析表 . 27 表 4存取控制 的問項(xiàng)統(tǒng)計(jì)分析表 . 29 表 4系統(tǒng)開發(fā)與維護(hù) 的問項(xiàng)統(tǒng)計(jì)分析表 . 32 表 4企業(yè)永續(xù)運(yùn)作管理 的問項(xiàng)統(tǒng)計(jì)分析表 . 34 表 4遵行 的問項(xiàng)統(tǒng)計(jì)分析表 . 35 表 4本資料與十個(gè)控管要點(diǎn)交叉分析表 . 37 表 4德法集群分析結(jié)果 . 38 表 4個(gè)控管要點(diǎn)與三個(gè)集群分類的交叉分表 . 39 表 4行集群分類表 . 39 表 4訊安全運(yùn)用集群分類表 . 40 4銀行類型在各集群所佔(zhàn)比率 (%)分析表 . 40 表 4A 集群與 B 集群銀行交叉分析表 (*表示 P=. 41 表 4B 集群與 C 集群銀行交叉分析表 (*表示 P=. 45 表 4A 集群銀行資訊安全運(yùn)用風(fēng)險(xiǎn)分析表 . 47 表 4商與本國銀行各控管要點(diǎn)的平均數(shù)比較表 . 48 表 4商銀行表現(xiàn)較佳的控管要點(diǎn) (. 48 表 4國與外商銀行在各運(yùn)用集群所佔(zhàn)比率分析表 . 49 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 1 第一章 緒論 第一節(jié) 研究動機(jī) 在數(shù)位經(jīng)濟(jì)時(shí)代，資訊安全 (重要的議題。 根據(jù) 2001年電腦犯罪與安全性調(diào)查的結(jié)果顯示，企業(yè)外部入侵的比例從 25%(2000 年 )增加至 40%；員工濫用存取權(quán)限入侵的比例更是由 79%激增至 91%；遭阻斷服務(wù) （ 式攻擊的公司由 27%增至 38%；發(fā)生電腦病毒事件也由 85%增至 94%。參與問卷調(diào)查的 186 家企業(yè)共遭受 $377,828,700 美元的財(cái)務(wù)損失 34。 美國國會總審計(jì)局 ( 2001年 9月 12日發(fā)布最新聯(lián)邦網(wǎng)路安全評估報(bào)告指出，網(wǎng)路攻擊及癱瘓系統(tǒng)事件日益加遽 。自 1999年 9,859件，至 2000年 21,756件， 2001年上半年更高達(dá) 15,476件。另外，網(wǎng)路駭客入侵手法也不斷翻新。根據(jù)美國國家標(biāo)準(zhǔn)及技術(shù)研究院 ( 究顯示，每個(gè)月有 30至 40個(gè)駭客入侵網(wǎng)路的新手法產(chǎn)生。 26 國內(nèi) 近年來發(fā)生了不少資訊安全事件，像是中 (中華人民共和國 )美駭客大戰(zhàn)、網(wǎng)路銀行被駭客盜領(lǐng)、東方科學(xué)園區(qū)的大火、 納莉臺風(fēng)侵襲 等等，引起國內(nèi)企業(yè)與政府單位對資訊安全的重視。 行政院研考會于八十八年依循 799 為范本訂定出行政院所屬機(jī)關(guān)資訊安全管理規(guī)范，以作為各機(jī)關(guān)建立資訊安全管理制度之依據(jù)。 8 799的全名為 799 799 資訊安全實(shí)施準(zhǔn)則 )，是由英國國家標(biāo)準(zhǔn)協(xié)會 (所制定之資訊安全管理 (以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 2 準(zhǔn)。此項(xiàng)標(biāo)準(zhǔn)之主要目的在于定義及提供組織作為保護(hù)自身或客戶關(guān)鍵資訊之機(jī)密性 (完整性 (可用性 (管制方法。它廣泛地涵蓋了所有的安全議題，將資訊安全管理區(qū)分成安全政策、安全組織、資產(chǎn)分類與管制、人員安全、實(shí)體與環(huán)境安全、通訊與操作管理、存取控制、系統(tǒng)開發(fā)與維護(hù)、企業(yè)永續(xù)運(yùn)作管 理、遵行等十個(gè)控管要點(diǎn)。此項(xiàng)標(biāo)準(zhǔn)可運(yùn)用于所有的企業(yè)組織部門，其運(yùn)用更可代表企業(yè)或組織對資訊安全防范預(yù)防于未然的重視。 24 這些資訊激發(fā)本研究思考一個(gè)問題：當(dāng)全球?qū)Y訊安全的議題興起一股風(fēng)潮時(shí)，臺灣本土企業(yè)對于資訊安全的接受程度與運(yùn)用程度又為何？根據(jù)調(diào)查顯示，金融業(yè)比其他行業(yè)注意資訊安全，因?yàn)榻鹑跇I(yè)為電腦犯罪較嚴(yán)重的一個(gè)行業(yè) 42,43,45,49。銀行業(yè)擁有廣大客戶的敏感性資訊，其風(fēng)險(xiǎn)比其他行業(yè)來得高，資訊系統(tǒng)一旦遭受侵害所費(fèi)不貲。如： 1995 年國外的花旗銀行遭一群蘇俄的駭客入侵，損失一千萬元。 2000 年美國威士卡(團(tuán)遭到駭客入侵，網(wǎng)路信用卡交易的騙局至少損失了四千八百萬美金以上 29,38。銀行業(yè)對資訊安全極為重視，愿意投入許多的資金、人力和物力來維護(hù)組織的資訊安全，以提升營運(yùn)績效。因此，基于上列因素而引發(fā)本研究以銀行業(yè)為研究對象。 綜合以上因素，本研究決定以 799 為基礎(chǔ)對銀行業(yè)的資訊安全運(yùn)用現(xiàn)況進(jìn)行研究。 第二節(jié) 研究目的 本研究希望能達(dá)到下列目的： 利用 799 的控管要點(diǎn)對本國銀行及外商銀行的資訊安全運(yùn)用現(xiàn)況以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 3 進(jìn)行調(diào)查，并比較各銀行類型的資訊安全運(yùn)用現(xiàn)況。 探討各 銀行在 799 十個(gè)控管要點(diǎn)的運(yùn)用現(xiàn)況，并分析其中表現(xiàn)最佳與最差的控管要點(diǎn)內(nèi)容為何。 將調(diào)查結(jié)果進(jìn)行集群 (析，劃分出各銀行的資訊安全運(yùn)用集群，并分析不同集群間的差異，做為銀行業(yè)者改進(jìn)其資訊安全運(yùn)用及提升集群的參考依據(jù)。 由資訊安全運(yùn)用集群分類結(jié)果，設(shè)計(jì)出資訊安全運(yùn)用自我評估步驟，供銀行業(yè)者參考。 第三節(jié) 研究對象 根據(jù)財(cái)政部金融局的分類：國內(nèi)的銀行業(yè)可區(qū)分為本國銀行、外商銀行與基層金融機(jī)構(gòu)。本研究為探討 本 國銀行及外商銀行的資訊安全運(yùn)用現(xiàn)況之差異，進(jìn)而區(qū)分 各銀行 的資訊安全運(yùn)用集群。因 此，研究對象以臺灣地區(qū)本國銀行 (包括：舊行庫 (7家 )、新銀行 (17家 )、改制商銀 (12家 )、中小企銀 (4 家 )、其他銀行 (13 家 )及外商銀行為主，共計(jì)有 53 家本國銀行及 35家外商銀行。 1,16 第四節(jié) 研究限制 本研究的限制為：本研究樣本僅以本國銀行及外商銀行為主，并未包含基層金融機(jī)構(gòu)，為本研究之限制。 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 4 第二章 文獻(xiàn)探討 第一節(jié) 資訊安全的定義 廣義而言，資訊安全就是保護(hù)任何與電腦有關(guān)事物之安全。將管理程序和安全防護(hù)技術(shù)運(yùn)用于硬體、軟體、資料等 21,46。而資訊安全管理的目的在保護(hù)電腦資源 ，包括：硬體、軟體、資料、程序及人員，以防止電腦資源被變更、破壞及未授權(quán)使用 31。 資訊安全具有以下特征： 一、機(jī)密性：確保只有經(jīng)過授權(quán)的人才能存取資訊。 二、完整性：保證資訊及其處理方法的準(zhǔn)確性和完整性。 三、可用性：確保經(jīng)過授權(quán)的用戶在需要時(shí)可以存取資訊并使用相關(guān)資訊資產(chǎn)。 27 資訊安全是透過實(shí)施一整套適當(dāng)?shù)目刂拼胧?shí)現(xiàn)的?？刂拼胧┌ㄕ摺?shí)踐、步驟、組織結(jié)構(gòu)和軟體功能。必須建立起一整套的控制措施，確保滿足組織特定的安全目標(biāo)。 32 第二節(jié) 799 資訊安全標(biāo)準(zhǔn)介紹 799 是一套英國國家標(biāo)準(zhǔn)，由英國國家標(biāo)準(zhǔn)協(xié)會所制定，此項(xiàng)標(biāo)準(zhǔn)之主要目的在于定義及提供組織作為保護(hù)自身或客戶關(guān)鍵資訊之機(jī)密性(完整性 (可用性 (管制方法。雖然此項(xiàng)標(biāo)準(zhǔn)系由英國初創(chuàng)訂定，但現(xiàn)已被許多國家引用為資訊安全之標(biāo)準(zhǔn)。以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 5 而 799 已提交國際標(biāo)準(zhǔn)組織，并于 2000年 12月 1日正式通過國際標(biāo)準(zhǔn)組織 (審核成為國際 標(biāo)準(zhǔn) 7799。我國經(jīng)濟(jì)部標(biāo)準(zhǔn)檢驗(yàn)局正研擬參考 7799制定 為中華民國國家標(biāo)準(zhǔn) 目前仍在草案階段 。 799 的發(fā)展簡史： 2 1995年英國公布 799 1998年英國公布 799 I 1999年英國公布新版 799 、 I 2000年 799 通過 為 7799 2002年提出新版的 799 I (目前仍在草案階段 ) 799 資訊 安全標(biāo)準(zhǔn)內(nèi)容主要可分成兩個(gè)部分： 一、 (799999)為 1999 年版的資訊安全管理實(shí)施準(zhǔn)則( ，其設(shè)立了產(chǎn)業(yè)最佳化與全面性的資訊安全管理準(zhǔn)則，是系統(tǒng)規(guī)范要求的最佳運(yùn)用指南，不能做為驗(yàn)證標(biāo)準(zhǔn)，內(nèi)文一共 12個(gè)章節(jié)。 32 二、 (799999)是 1999 年版的資訊安全管理系統(tǒng)規(guī)范( 也就是資訊安全管理系統(tǒng)詳細(xì)說明書。它詳述一個(gè)資訊安全運(yùn)用與稽核所應(yīng)遵循的架構(gòu)，可為整個(gè)組織或部份單位之資訊安全管理系統(tǒng)評估的基準(zhǔn)，也就是它可以做為一個(gè)正式驗(yàn)證的標(biāo)準(zhǔn)，包含了 4個(gè)章節(jié)與 10個(gè)控管要點(diǎn)，它可以型塑 (用的時(shí)程，以 10 個(gè)控管要點(diǎn)、 36 項(xiàng)控管目標(biāo)及 127項(xiàng)控管措施來保證目標(biāo)的達(dá)成。 33 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 6 第三節(jié) 資訊安全的相關(guān)研究 議題 篇名 作者 /年份 出版單位或期刊 內(nèi)容概述 799 為基建構(gòu)資訊安全評選模式之研究 以虛擬私有網(wǎng)路系統(tǒng)為例 李慶民 /2001 國防大學(xué)資訊研究所碩士論文 以 799 規(guī)范建立評選模式以運(yùn)用于評選虛擬私有網(wǎng)路，結(jié)合 799 與虛擬私有網(wǎng)路之運(yùn)用，評選出一套安全的虛擬私有網(wǎng)路系統(tǒng)，以提供一評選方法的新思維，增進(jìn)資訊安全的雙重保障。 12 國內(nèi)網(wǎng)路銀行現(xiàn)況發(fā)展及交易安全之研究 林鈴玉 /2001 交通大學(xué)資訊管理學(xué)程碩士論文 對國內(nèi)網(wǎng)路銀行資訊安全的在技術(shù)面及管理面的整理分析。并闡述 799 資訊安全管理之標(biāo)準(zhǔn)文件，做為網(wǎng)路銀行系統(tǒng)安全保證之建議 。 14 資訊系統(tǒng)的安全管理與鑒識軌跡設(shè)計(jì)基于與資料庫之探討 陳祥輝 /2000 中國文化大學(xué)資訊管理研究所碩士論文 以 799 為出發(fā)點(diǎn)，從實(shí)證探討現(xiàn)今網(wǎng)路及資料庫存取的問題，依此提出一安全管理模式及使用者對系統(tǒng)存取的軌跡設(shè)計(jì)，對外可防止駭客入侵，對內(nèi)可透過定期稽核方式，以軌跡的鑒識預(yù)防監(jiān)守自盜事件，或于事后的依法舉證。 20 資 訊 安 全 從 R 13569談金融機(jī)構(gòu)之資訊安全 蔡星樺 /2001 財(cái)金資訊雙月刊 在 1996年由 際電子技術(shù)委員會 (對金融機(jī)構(gòu)提出的資訊安全防護(hù)手冊，此防護(hù)手冊再經(jīng)由 C 銀行、債券及它項(xiàng)金融服務(wù)及其下屬委員會 同編制而成 R 13569，而 R 13569便成為 28 資訊安全管理 萬幼筠 /2001 網(wǎng)路通訊 從四個(gè)向度及七個(gè)層面分析評估企業(yè)之資訊安全。 25 企業(yè)如何做 好資訊風(fēng)險(xiǎn)管理 蔡興樺 /2001 網(wǎng)路通訊 提出企業(yè)如何做好資訊風(fēng)險(xiǎn)管理，就資訊風(fēng)險(xiǎn)管理角度探討資訊安全管理制度之建立與維護(hù)，其風(fēng)險(xiǎn)評估之探討步驟與內(nèi)容與 799 之精神與內(nèi)涵相符，可提供相當(dāng)之參考運(yùn)用。 30 行政院及所屬各機(jī)關(guān)資訊安全管理要點(diǎn) 行政院研考會/1999 行政院為推動各機(jī)關(guān)強(qiáng)化資訊安全管理 ,建立安全及可信賴之電子化政府 ,確保資料、系統(tǒng)、設(shè)備及網(wǎng)路安全 ,訂定各機(jī)關(guān)應(yīng)就下列事項(xiàng) ,制定資訊安全計(jì)畫實(shí)施 ,并定期評估實(shí)施成效，包括 :資訊安全政策訂定、資訊安全權(quán)責(zé)分工、人員管理及資訊安全教育 訓(xùn)練、電腦系統(tǒng)安全管理、網(wǎng)路安全管理、系統(tǒng)存取控制管理、系統(tǒng)發(fā)展及維護(hù)安全管理、資訊資產(chǎn)安全管理、實(shí)體及環(huán)境安全管理、業(yè)務(wù)永續(xù)運(yùn)作計(jì)畫管理及其他資訊安全管理事項(xiàng)等 11 個(gè)項(xiàng)目。 5 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 7 資 訊 安 全 行政院及所屬各機(jī)關(guān)資訊安全管理規(guī)范 行政院研考 會/1999 為推動各機(jī)關(guān)強(qiáng)化資訊安全管理，確保資料、系統(tǒng)、設(shè)備及網(wǎng)路安全，保障民眾權(quán)益，行政院研考會經(jīng)參酌歐美等主要國家政府部門的資訊安全管理實(shí)務(wù)作業(yè)，并特別參考英國政府推動的資訊安全管理規(guī)范八十八年十一月十六日頒布的管 理規(guī)范 ,以作為各機(jī)關(guān)建立資訊安全管理制度之依據(jù)。 6 資訊安全控管與偵防 何全德 /1999 資訊安全通訊 從安全角度探討資訊安全之控管與偵防，特別對電子化政府的資訊作業(yè)研提相關(guān)之建議，對相關(guān)之資訊安全控管與偵防需求亦有相當(dāng)助益。 8 資訊安全 劉國昌、劉國興 /1998 儒林圖書公司 資訊已成為企業(yè)管理與營運(yùn)發(fā)展的重要資源 ,而資訊運(yùn)用的普及化 ,也加速了資訊社會的來臨 ,然而衍生出的問題 ,亦日漸多樣且復(fù)雜 ,最令人擔(dān)憂的是資訊安全相關(guān)議題。 27 T 998 前在組織中有設(shè)立 此有關(guān)如何稽核資訊安全部門的資訊或經(jīng)驗(yàn)也非常少。本研究中介紹了 及稽核人員應(yīng)該要了解的三項(xiàng)較重要的 ” 、 ” 風(fēng)險(xiǎn)的評估、分析與管理 ”和 ” 訓(xùn)練、教育與自覺 ” ，也探討 ” 以成本效益的觀點(diǎn)來檢視與稽核 。 35 A J./ 1996 究中指出一個(gè)企業(yè)組織安全需求之架構(gòu)，稱為 此架構(gòu)的基本特性為每件事的取得是由企業(yè)所需求的安全分析而來。此模式是階層式的，最上一層定義為企業(yè)需求層，往下每一層依序定義為主要安全政策、安全服務(wù)、安全機(jī)器 設(shè)備以及最低一層的選擇安全技術(shù)與產(chǎn)品。 47 J./1994 出企業(yè)組織在發(fā)展安全政策時(shí)首先要確定目標(biāo)，并調(diào)查需求、因應(yīng)對策的選擇以及考慮人為的因素。在安全政策實(shí)施方面，必須事先定義責(zé)任的區(qū)分，以及明文規(guī)定于文件中。在維護(hù)及每日實(shí)行安全政策方面，必須隨著系統(tǒng)資源的更新而調(diào)整，隨著企業(yè)組織的變動而修改。 41 A K. P./1995 出一安全政策的架構(gòu)，包括四個(gè)策略：一、系統(tǒng)安全策略二、產(chǎn)品安全策略三、通訊安全策略四、整體資訊安全策略。 37 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 8 資 訊 安 全 銀行業(yè)資訊安全管理之研究 陳永裕 /1993 東海大學(xué)企業(yè)管理研究所碩士論文 研究提出資訊安全的威脅來自于人員 (約占 80%)，其中又以內(nèi)部人員占最大比例。且認(rèn)為資訊安全的控管，無論是從管理層面或技術(shù)層面著手，唯有高階主管的重視與實(shí)際參與，才是資訊纟統(tǒng)安全成功的關(guān)鍵。 19 銀行業(yè)電腦安全控管政策之研究 林黛卿 /1992 臺灣大學(xué)會計(jì)研究所碩士論文 旨在調(diào)查目前銀行業(yè)者實(shí)施電腦安全控管的現(xiàn)況及針對銀行業(yè)的作業(yè)型態(tài)提出安全防范重點(diǎn)。此外亦調(diào)查銀行業(yè)目前布電腦作業(yè)下，電腦稽核的因應(yīng)之道及電腦輔助稽技術(shù)使用形況及可能遭遇的問題。 15 網(wǎng) 路 安 全 000 者說明在紐西蘭的企業(yè)為確保電子商務(wù)安全所做的努力 ,并提出確保網(wǎng)路安全的 4個(gè)步驟 39 臺灣地區(qū)不同類型金融機(jī)構(gòu)在全球資訊網(wǎng)路安全考量因素之研究 黃姮儀 /2000 中正大學(xué)資訊管理研究所碩士論文 本研究主要在了解國內(nèi)金融機(jī)構(gòu)在防范全球資訊網(wǎng)路安全的現(xiàn)況，并探討不同類型之金融機(jī)構(gòu)在考量采用軟體系統(tǒng)、保障硬體安全、以特殊作業(yè)系統(tǒng)控制、高階主管支持、人事政策、定義組織網(wǎng)路安全、組織政策、及組織特性等因素時(shí)有顯著的差異。 23 布建網(wǎng)路安全計(jì)畫4部曲 李盈德 /2000 資訊與電腦 相當(dāng)多資料顯示 ,企業(yè)網(wǎng)路安全 ” 內(nèi)憂 ”大于 ” 外患 ” ,因此企業(yè)內(nèi)部的網(wǎng)路安全策略是企業(yè)最佳的安全防護(hù)罩 ;本文提出漸進(jìn)式的安全布建計(jì)畫 :提出安全政策的建議內(nèi)容。 11 從駭客入侵淺談網(wǎng)路安全防護(hù)策略 何全德 /2000 資訊與教育雜志 政府為強(qiáng)化網(wǎng)路安全管理 ,進(jìn)行政府重要網(wǎng)站安全體檢、推廣使用防火墻、加密及電子認(rèn)證系統(tǒng)、訂定資訊安全標(biāo)準(zhǔn)及規(guī)范、建立網(wǎng)路安全事件緊急處理機(jī)制、推動電腦安全稽核制度、推動資訊安全產(chǎn)品檢驗(yàn)及認(rèn)證制度、培訓(xùn)資訊安全人才及推廣網(wǎng)路安全教育等重要安全措施。 7 審 慎規(guī)劃安全政策全面防御駭客入侵 吳財(cái)榮 /2000 網(wǎng)路通訊 防范駭客入侵需要縝密的規(guī)劃 ,秉持垂直防守及群組協(xié)防的原則 ,并保持各種機(jī)制協(xié)同運(yùn)作才能發(fā)揮最好的效果。 9 1998 研究認(rèn)為網(wǎng)際網(wǎng)硌以安全觀點(diǎn)來看，在網(wǎng)路中平常必須預(yù)先防范各種可能的錯(cuò)誤發(fā)生。但不可能完全避免入侵者的惡意侵入，如此則必須采 取保御措施。當(dāng)保護(hù)措施失敗時(shí)，迅速的恢復(fù)能力就成了最后的補(bǔ)強(qiáng)措施。因此，防范、保御措施及恢復(fù)是企業(yè)組織在網(wǎng)際網(wǎng)路幸存的關(guān)鍵因素。40 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 9 網(wǎng) 路 安 全 s J./ 1997 1996 年所提之 構(gòu)為基礎(chǔ)，更進(jìn)一步認(rèn)為整個(gè)網(wǎng)路安全策略必須達(dá)到六項(xiàng)原則：一 、四 48 S/1997 of 描述一個(gè)組織欲發(fā)展網(wǎng)路安全政策時(shí)參考的架構(gòu)，首先為提供網(wǎng)路使用者服務(wù)的企業(yè)提供一個(gè)網(wǎng)路風(fēng)險(xiǎn)的模式，接著討論整個(gè)網(wǎng)際網(wǎng)路安全議題， 根據(jù)先前所討論的模式架構(gòu)出一個(gè)欲提供網(wǎng)路使用者服務(wù)的企業(yè)組織訂定發(fā)展網(wǎng)路安全策略時(shí)模式。網(wǎng)路風(fēng)險(xiǎn)包括：錯(cuò)誤不正確的軟體、網(wǎng)路傳輸威脅、意外不正確的商業(yè)資料傳輸、非法入侵、不實(shí)的廣告、垃圾郵件、低品質(zhì)資料、非法媒介、意外或蓄意泄露、非商業(yè)行為等。 36 網(wǎng)路安全手冊 沈碧容 /1996 和碩科技 作者探討企業(yè)網(wǎng)路的保全、管理、災(zāi)難規(guī)劃、電子郵件及其他法律問題，并解析電腦病毒；作者并附上控管策略、風(fēng)險(xiǎn)管理架構(gòu)、電腦安全審計(jì)等資料供網(wǎng)路管理人員參考。 13 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 10 第三章 研究設(shè)計(jì) 第一節(jié) 研究 方法 本研究系采用資料搜集方法中的調(diào)查研究法，選用自填式問卷 /郵寄調(diào)查方式。 3 第二節(jié) 問卷設(shè)計(jì) 本研究的問卷架構(gòu)以 799 之資訊安全驗(yàn)證規(guī)范為基礎(chǔ)。采用 799 第二部份的十個(gè)控管要點(diǎn)為內(nèi)容，如表 3示，總共包含 127 個(gè)問項(xiàng)。本調(diào)查問卷的 127 條控管措施是參照國防大學(xué)資管所李慶民所著的論文，其 127條控管措施是李慶民參證自身 000 經(jīng)驗(yàn)逐一翻譯而成的。12 表 3卷所涵蓋的范圍 十個(gè)控管要點(diǎn) (所含項(xiàng)目數(shù) ) 一、安全政策 (2) 六、通訊與操作管理 (24) 二、 安全組織 (10) 七、存取控制 (31) 三、資產(chǎn)分類與管制 (3) 八、系統(tǒng)開發(fā)與維護(hù) (18) 四、人員安全 (10) 九、企業(yè)永續(xù)運(yùn)作管理 (5) 五、實(shí)體與環(huán)境安全 (13) 十、遵行 (11) 本研究中每個(gè)問項(xiàng)以完全達(dá)成、部份完成、建置中、規(guī)劃中、尚未考慮 (分?jǐn)?shù)由 5 分到 1 分 )五個(gè)答項(xiàng)方式來調(diào)查銀行業(yè)資訊安全運(yùn)用的現(xiàn)況。 第三節(jié) 統(tǒng)計(jì)分析方法與工具 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 11 本研究使用的統(tǒng)計(jì)分析方法如下：簡單敘述統(tǒng)計(jì)用于計(jì)算問卷調(diào)查結(jié)果。 系數(shù)則用以檢驗(yàn)問卷信度 。 集群分析用以進(jìn)行銀行業(yè)資 訊安全運(yùn)用集群的區(qū)分。單因子變異數(shù) (析用以檢測銀行業(yè)基本資料對 10個(gè)資訊安全控管要點(diǎn)運(yùn)用與資訊安全運(yùn)用集群是否產(chǎn)生顯著差異。 22 統(tǒng)計(jì)分析工具則使用 于集群分析 )、 于信度、單因子變異數(shù)分析、交叉分析、集群分析 )統(tǒng)計(jì)套裝軟體，二套軟體相互搭配進(jìn)行統(tǒng)計(jì)分析的工作。 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 12 第四章 資料分析 第一節(jié) 問卷回收率分析 調(diào)查時(shí)間自 90年 11月 30日至 90年 12月 31日，共寄發(fā) 88份問卷，經(jīng)電話催收，共回收 57份，總回收率為 其中資料不全者的問卷有6份，故有效問卷為 51份，有效回收率為 第二節(jié) 受訪者基本資料分析及交叉分析 受訪者基本資料的分析有下列的發(fā)現(xiàn)： 在受訪者職稱部份 (表 4 35 家 )受訪者的職稱是屬于管理階層。在勾選 其他欄位的 3 位受訪者亦屬于管理階層。38家 )的問卷是由管理階層負(fù)責(zé)填答。 表 4訪者職稱分析表 職稱 樣本數(shù) 百分比 % 資訊部門主管 33 訊稽核主管 1 訊部門人員 (非主管 ) 13 他部門主管 1 他 3 在是否定期修改資訊安全政策部份 (表 4 41 家 )銀行有定期修改資訊安全政策，顯示 51 家銀行樣本對資訊安全政策的重視程度很高。在修改資訊安全政策期限部份 (表 4 24 家 )銀行以每年定期修改一次資訊安全政策占主要比例。其次 7 家 )銀行每半年修改一次資訊安全政策。 5 家 )銀行則不定期修改其資訊安全政以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 13 策。 表 4期修改資訊安全政策分析表 定期修改資訊安全政策 樣本數(shù) 百分比 % 是 41 10 4期修改資訊安全政策期限分析表 修改資訊安全政策期限 樣本數(shù) 百分比 % 不定時(shí) 5 月 4 月 1 月 7 年 24 年 0 在是否成立資訊安全管理部門的部份 (表 4 31 家 )銀行皆有另外成立資訊安全管理部門。 表 4立資訊安全管理部門分析表 成立資訊安全管理部門 樣本數(shù) 百分比 % 是 31 20 在是否有負(fù)責(zé)資訊安全員工部份 (表 4 47 家 )銀行有設(shè)立負(fù)責(zé)資訊安全的員工。其中 21家 )銀行負(fù)責(zé)資訊安全的員工為專職人員； 13家 )銀行負(fù)責(zé)資訊安全的員工為兼職人員； 13家 )銀行負(fù)責(zé)資訊安全的員工為兩者都有。 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 14 表 4責(zé)資訊安全員工分析表 負(fù)責(zé)資訊安全的員工 樣本數(shù) 百分比 % 有 47 4 責(zé)資訊安全員工 樣本數(shù) 百分比 % 專職 21 職 13 者都有 13 在是否成立電腦稽核部門的部份 (表 4 41 家 )銀行皆有另外成立電腦稽核部門。 表 4立電腦稽核部門分析表 成立電腦稽核部門 樣本數(shù) 百分比 % 是 41 10 在是否有負(fù)責(zé)電腦稽核員工部份 (表 4 46 家 )銀行有設(shè)立負(fù)責(zé)電腦稽核的員工。其中 28家 )銀行負(fù)責(zé)電腦稽核的員工為專職人員； 10家 )銀行負(fù)責(zé)電腦稽核的員工為兼職人員； 6家 )銀行負(fù)責(zé)電腦稽核的員工為兩者都有。 表 4責(zé)電腦稽核員工分析表 負(fù)責(zé)電腦稽核的員工 樣本數(shù) 百分比 % 有 46 5 責(zé)資訊稽核員工 樣本數(shù) 百分比 % 專職 28 職 10 者都有 8 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 15 在資訊安全工作最大困難部份 (表 4在勾選其他欄位的 4家 )銀行中， 1家認(rèn)為最大的困難是內(nèi)部標(biāo)準(zhǔn)不一； 2家認(rèn)為是以上因素皆是；另 1家則認(rèn)為其資訊安全工作沒有遭遇任何的困難。 表 4訊安全工作最大困難分析表 資訊安全工作最大的困難 樣本數(shù) 百分比 % 缺乏專業(yè)人員 30 人手不足 9 經(jīng)費(fèi)不足 6 高 階主管不支持 2 其他 4 在電腦稽核工作最大困難部份 (表 4在勾選其他欄位的 (2家 )銀行中， 1家則認(rèn)為其電腦稽核工作沒有遭遇任何的困難：另 1家則沒提供意見。 表 4腦稽核工作工作最大困難分析表 電腦稽核工作最大的困難 樣本數(shù) 百分比 % 缺乏專業(yè)人員 39 手不足 7 費(fèi)不足 2 階主管不支持 1 他 2 在資訊安全與電腦稽核工作困難的交叉分析部份 (表 4資訊安全工作與電腦稽核工作 最大的困難具有顯著差異 (資訊安全和電腦稽核是一體兩面，其最大的因難皆為缺乏專業(yè)人員。 以 799為基礎(chǔ)評估銀行業(yè)的資訊安全環(huán)境 16 表 4訊安全與電腦稽核工作困難的交叉分析表 選項(xiàng) 缺乏專業(yè) 人員 人手不足 經(jīng)費(fèi)不足 高階主管不支持 其他 缺乏專業(yè) 人員 樣本數(shù) 28 1 1 百分比 % 2 人手不足 樣本數(shù) 5 4 百分比 % 經(jīng)費(fèi)不足 樣本數(shù) 3 1 2 百分比 % 高階主管 不支持 樣本數(shù) 1 1 百分比 % 2 2 其他 樣本數(shù) 2 1 1 百分比 % 2 在高階主管對資訊安全工作的重視程度部份 (表 4 30家 )銀行的高階主管非常重視資訊安全的工作； 16 家 )銀行的高階主管對