Page 37 - 捷運技術 第32期
P. 37
捷運技術半年刊 第 32 期 94 年 2 月 27
訊安全管理模式,其資訊安全的決定則形成下列的函數關係(Hong 等,2003):
資訊安全=f(安全政策,風險管理,內部控制,資訊稽核,權變管理)
內部控制=f(人員安全控制,實體安全控制,系統與網路安全控制,存取控制,軟體管
理,業務持續運作管理控制)
權變管理=f(組織內外部環境,資訊管理,資訊技術)
2.3 多準則評估與層級結構
同一事物具有多重屬性,受多重因素的影響,因此在評斷事物的過程中,必須同時對多
個相關因素作綜合性的考量與評價(闕頌廉,1994;劉永森,1991),即是多準則決策。多準
則之群體決策(Group Decision Making)是單一決策者的延續(David & Rivett, 1978),其分
析更加的複雜,必須考慮不同偏好的群體之間的衝突(Conflict),但由於群體決策可以增加
決策的知識領域,擴大取得資訊的範圍,其決策亦較能得到群體的認同,使得群體參與作決
策,成為增進組織效能的一種趨勢,因此,多準則評估方法也受到管理者的重視(Huber, 1980;
Hwang & Lin, 1987;謝玲芬,1989)。
在決策問題的建構步驟中,先要提出可行方案,再分析其多重目標與屬性,亦即建立決
策的多重準則(Multiple Criteria)。接著決定各準則之權重,客觀地決定權重,才能使決策的
結果具有相當的可信度,也是多準則決策過程中極具關鍵的程序(謝玲芬,1989)。本研究採
用層級分析法(Analytic Hierarchy Process, AHP)作為決定相對權重的方法,AHP 法的運用
先要匯集專家學者的意見,將錯綜複雜的評估問題,予以層級(或網路)結構化,也就是先
確定評估的主要準則,再將這些準則逐步細分,而形成一層級(或網路)結構,其最底層即
為決策者在評估時真正的衡量項目(謝玲芬,1989)。
多重準則可採用網狀結構或層級結構分析。網狀結構之理論較為艱澀,計算過程繁複,
且在準則評估程序中,受到人類有限心智能力(比較心理原則)的限制,而容易產生混淆不
清的現象,致對一般管理者而言,適用性較低。層級結構在評估的程序上,則顯得較為清晰,
且容易被人們所了解掌握,但如結構不清晰的複雜系統,卻有建構上的困難(葉牧青,1989)。
本研究之「資訊安全管理」已有適當的理論基礎,即引用「整合系統理論」,其結構已近似層
級關係,故其評估準則採用層級結構應頗為適合。
「層級結構」是系統的一種特殊型態,當人類面對一個龐大而複雜的系統時,必然會將
一個龐大的系統區分為數個較小且彼此相關的系統,而層級結構合乎人們解決問題所採取的
思考方式,適合用於敘述系統間的關係(王國明等,1998)。
此種結構乃是將問題系統所認定之「要件」(Entities)組合(Group)成幾個「互斥的集
合」(Disjoint Sets),而形成上下「隸屬」(Dominated)的層級關係。並假設(Saaty, 1980):
1.每一層的任一集合僅受上一層集合的影響。
2.同層中的集合彼此互斥。
3.集合中元素與元素之間相互獨立。
一個好的評估準則必須是:(1)每一個準則均與成功的目標有關;(2)評估準則必須形
成一組完整、可掌握的評估條件,不應有重要的評估準則被遺漏(Rackham & Richard, 1995)。
三、研究模式
組織的資訊安全管理需要整合所有的管理政策與管理方法,乃是高層管理者所應考量到
