Page 34 - 捷運技術 第32期
P. 34
24 洪國興 季延平 趙榮耀 資訊安全多準則評估之研究-捷運等相關個案
一、緒論
層出不窮的資訊安全事件,無孔不入的網路入侵與組織內部的人謀不臧等,不斷地在世
界各地上演,確實喚醒各界更加的重視資訊安全。組織期望可藉助研究的成果,作為制定資
訊安全策略的參考,但似無法令人滿意,所顯示的現象是:(1)資訊安全技術面的研究多,
管理面的研究少,更缺乏實證的研究(李東峰與林子銘,2001);(2)縱然有少數涉及資訊安
全管理的研究,也是片面者多,整體性者少,且像瞎子摸象一樣只摸到一小塊,缺乏較完整
的圖像,究竟是其中的那一塊呢?(3)實務界出現一些錯誤的觀念,例如:防火牆即是資訊
安全,資訊安全只有技術的問題等等……不一而足(黃承聖,2000);(4)直到 1995 年英國
國家標準協會(British Standards Institution, BSI)制定 BS7799-1「資訊安全管理實務準則」第
一部分(Information Security Management – Part 1:Code of Practice for Information Security
Management),始出現較完整的資訊安全管理架構(林鈴玉,2001)。
由於資訊技術快速的進步,資訊處理架構不斷創新的情況下,資訊安全威脅的型態也千
變萬化,資訊安全的技術與產品亦不斷的更新。而企業的產業別不同,所處的環境不同,組
織目標更是有極大的差異,因此,不可能所有的組織都採用完全相同的資訊安全技術,建構
一個與技術無關(Technical Independent)的資訊安全管理系統(Information Security
Management System),以適用於不同資訊技術之組織,而如何評估此一系統的有效可行,則
為本研究之動機。
無論從學術研究的角度來看或實務面觀察,組織都需要有資訊安全管理的評估模式,使
組織可以檢視其資訊安全的防衛能力,及為資訊安全的策略管理提供一個可以參考的模式,
這樣的評估模式相信是資訊安全的學術研究所要努力的方向,也是實務界所期盼的。當然資
訊安全評估模式的建立是極度困難的工程,但總是要踏出困難的第一步,未來才能在現有的
基礎上修正、發展,始能建構可長可久的評估模式,此亦是本研究的動機。
建立資訊安全多準則評估模式,為組織之資訊安全評估提供策略性的參考架構。透過對
資訊安全管理實務的調查,進行個案研究,以印證資訊安全管理「整合系統理論」的適合性,
並發展有關資訊安全管理的研究命題,為資訊安全管理的研究範圍與方向,開拓新的空間,
則為本研究的目的。
在捷運之工程建設與營運管理中,資訊技術(Information Technology)與知識管理
(Knowledge Management)一向是捷運相關組織的核心能力,更為其競爭利基,在善用 IT 與
KM 的過程中,資訊安全日益重要,因此,評估組織資訊安全的能力亦相對受到重視。捷運
相關組織不只自身要擁有資訊安全及其評估能力,更應期許未來能以知識擴散的作法,創造
組織的新利基,則亦是本研究的目的。
二、文獻探討
本研究先從文獻中探討資訊安全之定義,進而了解資訊安全管理理論之發展,並探討多
準則評估與評估準則層級結構等。
2.1 資訊安全
「資訊安全」之廣義目標,必需能保護儲存於資訊系統中資料之機密性(Confidentiality)、
完整性(Integrity)與可用性(Availability),即所謂「C.I.A.」(Smith, 1989;Schultz 等, 2001;
ISO/IEC 17799, 2000;Chapman & Zwicky, 1995;鄭信一,1999;Dhillon & Backhouse, 2000;
Gehrke 等, 1992;Schneider & Gregory, 1990;Finne, 2000;吳瑞明,1994;陳同孝,1996;林
鈴玉,2001;Ettinger, 1993;Anderson, 2003):
