Page 44 - 捷運技術 第32期
P. 44
34 洪國興 季延平 趙榮耀 資訊安全多準則評估之研究-捷運等相關個案
2. 四階層之多準則評估模式,其評估構面分為兩層級,主要理由係較符合本研究所依據
的「整合系統理論」(Integrated System Theory),且層級結構清楚。其評估構面第一層
共分為四個:安全政策與資源(0.1918)、風險管理(0.1100)、內部控制(0.6364)、資
訊稽核(0.0618),其中內部控制之下一階層,為評估構面之第二層級,共分為六個:
人員安全(0.1355)、實體安全(0.1009)、系統與網路(0.1241)、存取控制(0.1280)、
軟體管理(0.0528)、業務持續運作(0.0952),如圖7所示。其最底層評估準則亦分為
37項及其權重等,均與三階層之多準則評估模式相同。第一層評估構面的權重,以內
部控制最高(0.6238),而從文獻探討或理論的分析,均可知內部控制是受到各家理論
的重視。再者資訊安全的威脅75%至80%來自組織內部(林傳敏,2000;Van Duyn,
1985),因此內部控制被認為係解決資訊安全重要的策略,而本研究在分析理論時亦說
明,內部控制受到各家理論所重視,係組織達成資訊安全目標的重要手段,足見與本
研究所評估之權重為各評估構面最高者,自是不謀而合。
資訊安全
安全政策與
風險管理 內部控制 資訊稽核
資源
(0.1918) (0.1100) (0.6364) (0.0618)
人員安全 實體安全 系 統 存取控制 軟體管理 業務持續
與網路 運作管理
(0.1355) (0.1009) (0.1241) (0.1280) (0.0528) (0.0952)
圖 7 資訊安全多準則評估模式(四階層)(資料來源:本研究)
資訊安全多準則評估模式雖有三階層與四階層之分,但實質內涵應屬相同,如以四階層
表達係為顧慮權重評估時,恐「內部控制」之權重可能有被低估之虞,故以三階層表達,但
以四階層表達則較符合「整合系統理論」所發展的研究架構。在研究階段經徵詢學者專家意
見,在兼顧權重評估的真實性與符合理論基礎的考量下,一致主張區分三階層與四階層兩模
式,對模式的表達更清楚,又無礙於模式之應用。因此,可在「資訊安全多準則評估模式」
的建立過程中,使用三階層架構,以簡化評估構面與評估準則權重的評估,避免「內部控制」
評估構面之權重可能被低估;而當權重評估完成,其評估模式建立後,應再依「整合系統理
論」轉化成四階層架構,從「整合系統理論」觀點加以解釋,以使研究理論與實證研究得以
兼疇並顧。
5.3 捷運等個案之資訊安全評估
本研究的主要目的在建構「資訊安全多準則評估模式」,並以此模式進行捷運等六個案之
資訊安全評估。其個案係我國軌道車輛有關的組織,亦即捷運相關的組織,包括:政府機關、
公營企業、民營企業;有的負責工程建設,有的負責營運,有的先負責工程建設,俟完工後,
又負責營運,可說國內主要軌道相關的組織均已涵蓋在內。其軌道車輛之工程建設規模龐大,
工程經費達數新台幣數千億元,其營運更負起台灣主要長程陸路運輸,或都會區主要大眾運
輸之重任,對國計民生均有極大的影響,其資訊安全能否具體落實,將直接影響到該組織的
