Publications-Theses

Article View/Open

Publication Export

Google ScholarTM

NCCU Library

Citation Infomation

Related Publications in TAIR

題名 ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例
Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.C
作者 孫天貴
Sun, Tien Kuei
貢獻者 左瑞麟
Tso, Ray Lin
孫天貴
Sun, Tien Kuei
關鍵詞 資訊安全管理系統(ISMS)
個人資料管理系統(PIMS)
MSS
個人資料保護法
ISO27001
TPIPAS
BS10012
日期 2015
上傳時間 2-Nov-2015 14:49:37 (UTC+8)
摘要 隨著資訊科技的蓬勃發展,資訊技術可以提昇組織效率與競爭力,資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生,資訊犯罪手法不斷翻新,所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮,對單位或公司而言風險不斷提高,傷害亦相對嚴重,甚至導致公司信譽破產,面臨倒閉威脅,為保護組織內部資訊相關資產與個人資料,並保持組織持續正常運作,資訊安全管理系統(ISMS)與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法;ISMS與PIMS分兩次來導入,造成組織增加工作負荷,有疊床架屋情形,成本有部分重複投資現象。本研究試著以資料的生命週期,資訊安全的機密性、完整性、可用性,PDCA運作模型...等角度進行本質上探討,來進行整合ISMS與PIMS的整合工作。
經文獻探討與專家學者建議,本研究突破各項盲點,從各角度分析進行多面向整合工作,並提出4點可有效整合具體作法:1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件,產出ISO27001適用性聲明須包含個資法。
本研究以國防部網站系統為例,運用整合結果進行實作,將實作經驗分享給未來有意導入ISMS與PIMS之IT人員,實作結果也證實本研究提出論點確實有效,更有效且更有邏輯性的面對各種資安與個資問題,以作業流程面來分析資安與個資,讓每個控制點更加明確,最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作,也證明本研究整合後,在實施(Plan-Do-Check-Act)管理系統確實有效,均能符合相關標準與法規。
參考文獻 [1] 避免多頭馬車管理 PIMS與ISMS踏上整合之路,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5910。
[2] 從管理與組織角度一探個資法因應之道,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7221#ixzz3UQvFndy3。
[3] 黃小玲(2010),清流月刊中華民國九十九年十一月號,網址:http://www.mjib.gov.tw/cgi-bin/mojnbi?/d2/9911/4-1.htm。
[4] 鄭東昇(2005),「資訊安全管理系統與企業網路安全實作探討」,交 通 大 學,碩士論文。
[5] 鄭伊雯(2012),「植基於 ISO 27001 建立符合 BS 10012 之 個人資訊管理自我評鑑模式」中原大學,碩士論文。
[6] 經濟部商業司TPIPAS臺灣個人資料保護與管理制度規範,網址:http://www.tpipas.org.tw/model.aspx?no=159 。
[7] 樊國禎博士(2014),「ISMS新版實作初探:擴增MSS的ISMS初論之一」,台灣網路防護協會,經濟部標準局103年第1季資訊安全管理系統標準化系列討論會。
[8] ISO (2001) Guidelines for the justification and development of management system standards,ISO Guide 72:2001(E).
[9] ANSI et al. (2007) Justification study for a new work item proposal for a energy management standard ad guidance document.
[10] ISO/TMB (2009) Request for feedback and comment on proposed identical sub-classes titles for management system standards, 2009-04-10.
[11] ISO/TMB (2009) Request for feedback and comment on proposed common terms and core definitions for management system standards, 2009-04-20.
[12] ISO/IEC JTC 1/SC 27 (2010) Text for ISO/IEC 4th WD 27001 – information technology – Security techniques – Information security management systems – Requirements, 2010-11-15.
[13] ISO/IEC JTC 1/SC 27 (2010) Whitepaper future of ISO/IEC 27001 and management system standards (MSS), ISO/IEC JTC 1/SC 27 N8662, 2010-07-15.
[14] ISO (2009) Risk management –principles and guidelines, ISO 31000:2009(E).
[15] ISO (2010) Information and documentation – Management system for records – Fundamentals and vocabulary, ISO DIS 30300:2010-05-21, Figure 3, p. 7.
[16] 徐弘昌(2009),「以ISO 27001為基礎評估電信業資訊安全管理- 以第一類電信業者為例」,交通大學,碩士論文
[17] 張文瀞(2014) ,「 ISO27001:2013和ISO27001:2005的主要差異」,臺灣大學計算機及資訊網路中心程式設計組副理張文瀞2014.09.20發行ISSN 2077-8813,網址:http://www.cc.ntu.edu.tw/chinese/epaper/0030/20140920_3003.html
[18] 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計–以國網中心為例探討風險管理」,國家實驗研究院國家高速網路與計算中心,期刊
[19] 張芳珍(2004) ,「以BS7799 落實資訊安全管理-管理類資訊資產分類與控管」,碩士論文
[20] 劉永禮(2001) ,「以BS7799 資訊安全管理規範建構組織資訊安全風險管理模式之研究」,碩士論文。
[21] 黃小玲(2011),「個資法與國際隱私管理標準、規範之分析與應用」,資訊安全通訊,3(7),21-36
[22] 最佳化企管顧問有限公司何銘燁講師資訊安全/個資法風險管理(ISO27005) 實務訓練課程
[23] 行政院國家資通安全會報技術服務中心100年資訊系統風險評鑑參考指引實務導入報告,網址:https://www.icst.org.tw/CommonSpecification.aspx?lang=zh。
描述 碩士
國立政治大學
資訊科學學系
100971010
資料來源 http://thesis.lib.nccu.edu.tw/record/#G0100971010
資料類型 thesis
dc.contributor.advisor 左瑞麟zh_TW
dc.contributor.advisor Tso, Ray Linen_US
dc.contributor.author (Authors) 孫天貴zh_TW
dc.contributor.author (Authors) Sun, Tien Kueien_US
dc.creator (作者) 孫天貴zh_TW
dc.creator (作者) Sun, Tien Kueien_US
dc.date (日期) 2015en_US
dc.date.accessioned 2-Nov-2015 14:49:37 (UTC+8)-
dc.date.available 2-Nov-2015 14:49:37 (UTC+8)-
dc.date.issued (上傳時間) 2-Nov-2015 14:49:37 (UTC+8)-
dc.identifier (Other Identifiers) G0100971010en_US
dc.identifier.uri (URI) http://nccur.lib.nccu.edu.tw/handle/140.119/79204-
dc.description (描述) 碩士zh_TW
dc.description (描述) 國立政治大學zh_TW
dc.description (描述) 資訊科學學系zh_TW
dc.description (描述) 100971010zh_TW
dc.description.abstract (摘要) 隨著資訊科技的蓬勃發展,資訊技術可以提昇組織效率與競爭力,資訊系統或網站亦是組織營運重要命脈。而在近年來全球資訊安全事件不斷發生,資訊犯罪手法不斷翻新,所肇生的系統損害、資料毀損、個資外洩、財務詐騙事件近來更是層出不窮,對單位或公司而言風險不斷提高,傷害亦相對嚴重,甚至導致公司信譽破產,面臨倒閉威脅,為保護組織內部資訊相關資產與個人資料,並保持組織持續正常運作,資訊安全管理系統(ISMS)與個人資訊管理系統 (PIMS)便是一套可有效控制管理之方法;ISMS與PIMS分兩次來導入,造成組織增加工作負荷,有疊床架屋情形,成本有部分重複投資現象。本研究試著以資料的生命週期,資訊安全的機密性、完整性、可用性,PDCA運作模型...等角度進行本質上探討,來進行整合ISMS與PIMS的整合工作。
經文獻探討與專家學者建議,本研究突破各項盲點,從各角度分析進行多面向整合工作,並提出4點可有效整合具體作法:1. 清查作業流程須包含個人資料所延伸之流程。2. 進行作業流程上資訊資產及個資清查作業。3. 資訊資產及個人資料風險評鑑作業。4. 建立ISMS與PIMS四階文件,產出ISO27001適用性聲明須包含個資法。
本研究以國防部網站系統為例,運用整合結果進行實作,將實作經驗分享給未來有意導入ISMS與PIMS之IT人員,實作結果也證實本研究提出論點確實有效,更有效且更有邏輯性的面對各種資安與個資問題,以作業流程面來分析資安與個資,讓每個控制點更加明確,最後實作運用以各國均能接受的ISO標準(ISO 27001標準包含個資管理流程)來驗證本實作,也證明本研究整合後,在實施(Plan-Do-Check-Act)管理系統確實有效,均能符合相關標準與法規。
zh_TW
dc.description.tableofcontents 1. 緒論 1
1.1. 研究背景 1
1.2. 研究動機 8
1.3. 研究目的 9
1.4. 研究範圍與限制 9
1.5. 論文架構 10
2. 文獻探討 12
2.1. 資訊安全管理系統-ISMS 12
2.2. 個資保護管理系統-PIMS 15
2.3. 新版管理系統標準-MSS 31
2.4. 新版ISO 27001:2013國際標準 33
2.5. ISO27005風險評鑑 38
2.6. 小結 43
3. ISMS與PIMS整合導入之研究 44
3.1. 專家認同整合可行性與建議 44
3.2. 各角度探討整合可行性 46
3.3. 進行多面向整合工作 50
3.4. 整合後有效具體作法 81
3.5. 小結 86
4. 個案網站系統ISMS與PIMS整合導入實作 87
4.1. 網站系統導入目標 87
4.2. 成立資安暨個資保護導入專案組織 88
4.3. 期程與範圍 89
4.4. 資安需求分析與文件建立 90
4.5. 作業流程檢視 93
4.6. 作業流程中資訊資產清查與個資盤點 93
4.7. 進行資訊資產與個資風險評鑑作業 96
4.8. 產製風險評鑑報告及四階文件 102
4.9. 進行持續營運演練 102
4.10. 內部稽核與管理審查 103
4.11. 接受外部稽核 104
5. 結論與貢獻 106
zh_TW
dc.format.extent 4359864 bytes-
dc.format.mimetype application/pdf-
dc.source.uri (資料來源) http://thesis.lib.nccu.edu.tw/record/#G0100971010en_US
dc.subject (關鍵詞) 資訊安全管理系統(ISMS)zh_TW
dc.subject (關鍵詞) 個人資料管理系統(PIMS)zh_TW
dc.subject (關鍵詞) MSSzh_TW
dc.subject (關鍵詞) 個人資料保護法zh_TW
dc.subject (關鍵詞) ISO27001zh_TW
dc.subject (關鍵詞) TPIPASzh_TW
dc.subject (關鍵詞) BS10012zh_TW
dc.title (題名) ISMS與PIMS整合導入之研究 -以國防部全球資訊網站系統為例zh_TW
dc.title (題名) Research on Importing and Integration of ISMS and PIMS – A Case Study of the World Wide Web for Military of National Defense, Taiwan, R.O.Cen_US
dc.type (資料類型) thesisen
dc.relation.reference (參考文獻) [1] 避免多頭馬車管理 PIMS與ISMS踏上整合之路,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5910。
[2] 從管理與組織角度一探個資法因應之道,Information Security 資安人科技網,網址:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7221#ixzz3UQvFndy3。
[3] 黃小玲(2010),清流月刊中華民國九十九年十一月號,網址:http://www.mjib.gov.tw/cgi-bin/mojnbi?/d2/9911/4-1.htm。
[4] 鄭東昇(2005),「資訊安全管理系統與企業網路安全實作探討」,交 通 大 學,碩士論文。
[5] 鄭伊雯(2012),「植基於 ISO 27001 建立符合 BS 10012 之 個人資訊管理自我評鑑模式」中原大學,碩士論文。
[6] 經濟部商業司TPIPAS臺灣個人資料保護與管理制度規範,網址:http://www.tpipas.org.tw/model.aspx?no=159 。
[7] 樊國禎博士(2014),「ISMS新版實作初探:擴增MSS的ISMS初論之一」,台灣網路防護協會,經濟部標準局103年第1季資訊安全管理系統標準化系列討論會。
[8] ISO (2001) Guidelines for the justification and development of management system standards,ISO Guide 72:2001(E).
[9] ANSI et al. (2007) Justification study for a new work item proposal for a energy management standard ad guidance document.
[10] ISO/TMB (2009) Request for feedback and comment on proposed identical sub-classes titles for management system standards, 2009-04-10.
[11] ISO/TMB (2009) Request for feedback and comment on proposed common terms and core definitions for management system standards, 2009-04-20.
[12] ISO/IEC JTC 1/SC 27 (2010) Text for ISO/IEC 4th WD 27001 – information technology – Security techniques – Information security management systems – Requirements, 2010-11-15.
[13] ISO/IEC JTC 1/SC 27 (2010) Whitepaper future of ISO/IEC 27001 and management system standards (MSS), ISO/IEC JTC 1/SC 27 N8662, 2010-07-15.
[14] ISO (2009) Risk management –principles and guidelines, ISO 31000:2009(E).
[15] ISO (2010) Information and documentation – Management system for records – Fundamentals and vocabulary, ISO DIS 30300:2010-05-21, Figure 3, p. 7.
[16] 徐弘昌(2009),「以ISO 27001為基礎評估電信業資訊安全管理- 以第一類電信業者為例」,交通大學,碩士論文
[17] 張文瀞(2014) ,「 ISO27001:2013和ISO27001:2005的主要差異」,臺灣大學計算機及資訊網路中心程式設計組副理張文瀞2014.09.20發行ISSN 2077-8813,網址:http://www.cc.ntu.edu.tw/chinese/epaper/0030/20140920_3003.html
[18] 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計–以國網中心為例探討風險管理」,國家實驗研究院國家高速網路與計算中心,期刊
[19] 張芳珍(2004) ,「以BS7799 落實資訊安全管理-管理類資訊資產分類與控管」,碩士論文
[20] 劉永禮(2001) ,「以BS7799 資訊安全管理規範建構組織資訊安全風險管理模式之研究」,碩士論文。
[21] 黃小玲(2011),「個資法與國際隱私管理標準、規範之分析與應用」,資訊安全通訊,3(7),21-36
[22] 最佳化企管顧問有限公司何銘燁講師資訊安全/個資法風險管理(ISO27005) 實務訓練課程
[23] 行政院國家資通安全會報技術服務中心100年資訊系統風險評鑑參考指引實務導入報告,網址:https://www.icst.org.tw/CommonSpecification.aspx?lang=zh。
zh_TW