機敏軍事單位資訊安全風險分析之研究

鑑於機敏軍事單位內部，相繼二次的資訊安全事件對組織所造成的影響，為求資訊安全政策的制訂方向，降低再度發生之機率，本研究採專案風險管理與ISO/IEC 27001資訊安全管理系統規範相結合，使用問卷方式執行風險定性分析，並依機率-衝擊矩陣評估風險辨識項目之風險值，以突顯出機敏軍事單位資訊安全重點。而在風險回應方面，則採「規避」或「減輕」模式，規劃高風險指標之管控措施，以提供單位管理者、資訊部門人員及使用者參考，也儘可能依標準規範所建議的方式建置資訊作業環境，讓資訊安全等級更加提升，並透過本研究所得知的成果，作為後續導入第三方資訊安全認證之先期準備。

關鍵字

ISO/IEC 27001 ； BS 7799 ；風險分析

並列摘要

Seeing that two information security events happened in the sensitive military organization successively, this study, which is for preventing other similar events and setting up a direction for policy, combines “Project Risk Management’ and “ISO/IEC 27001”, adopting a questionnaire method to implement risk analysis. This study also indicates important information security points of sensitive military organization according to the probability-impact array. For “Risk Response Planning”, this study use “Avoidance” and “Mitigation”, which work out control over high risk point, to provide information or suggestion for IT professionals, managers and users. This study constructs an information operating environment on the basis of ISO/IEC 27001 to monitor the information security level, and prepare for the third-party information security authentication.

並列關鍵字

ISO/IEC 27001 ； BS 7799 ； Risk Analysis

參考文獻

2.ISO/IEC 17799:2000(BS 7799-1:2000) Information technology- Code of practice for information security management, ISO/IEC, 2000.

3.ISO/IEC 17799 Information techniques-Security techniques-Code of practice for information security management, ISO/IEC, 2005.

1.行政院國家資通安全會報，政府機關（構）資訊安全責任等級分級作業施行計畫，民國94年。

Google Scholar

4.CNS 17799資訊技術-資訊安全管理之作業要點，經濟部標準檢驗局，民國91年。

Google Scholar

5.駭客入侵之模式及應有之防範作為暨資訊安全管理制度推動，行政院國家資通安全會報技術服務中心，民國93年。

Google Scholar

被引用紀錄

許派立（2008）。資訊資產分類與風險評鑑之研究 – 以金融業者為例〔碩士論文，大同大學〕。華藝線上圖書館。https://www.airitilibrary.com/Article/Detail?DocID=U0081-0607200917243522

黃亷鈞（2013）。以Fuzzy AHP建立國軍資訊安全管理系統風險評估準則〔碩士論文，國立中正大學〕。華藝線上圖書館。https://www.airitilibrary.com/Article/Detail?DocID=U0033-2110201613570176

國際替代計量

機敏軍事單位資訊安全風險分析之研究

主題瀏覽