Page 46 - 捷運技術 第32期
P. 46
36 洪國興 季延平 趙榮耀 資訊安全多準則評估之研究-捷運等相關個案
由於成對比較評分之加權總分之高低會隨個案之多寡產生變化,當個案少時,每一個案
之加權總分較高,當個案多時,每一個案之加權總分較低,因全部個案之加權總分之和為 1,
因此,無法訂定一個可以適用於不同個案數的等級評估標準,但得視個案數確定後,訂定其
標準,唯仍有可能欠客觀。如每次評估,其個案數均固定,則可訂定其等級評估標準,否則
以採用直接評分法為宜。因為層級分析法(AHP),其主要功能在排序,以挑選最佳方案或個
案,而非評估等級。因此,若欲評估等級,則宜採直接評分法;若係對方案或個案之優劣排
序,選取最佳方案或個案,則直接評分法與成對評分法均無不可。
由於個案評估資料取得不易,且無資訊安全評估之權力,為簡化起見,本研究採資訊安
全評估構面,以直接評分法進行評估。經上述步驟評估結果如表 5 所示。
表 5 資訊安全評估表
個 個 個 個 個 個
評估模式
案 案 案 案 案 案
A B C D E F
加 加 加 加 加 加
權 評 評 評 評 評 評
評估構面 權 權 權 權 權 權
重 分 分 分 分 分 分
分 分 分 分 分 分
1 安全政策與資源 0.1918 88 16.88 94 18.03 90 17.26 96 18.41 85 16.30 87 16.69
2 風險管理 0.1100 85 9.35 93 10.23 75 8.25 94 10.34 20 2.20 50 5.50
3 人員安全 0.1355 85 11.52 92 12.47 89 12.06 89 12.06 60 8.13 88 11.92
4 實體安全 0.1009 88 8.88 94 9.48 94 9.48 95 9.59 80 8.07 93 9.38
5 系統與網路 0.1241 95 11.79 94 11.67 95 11.79 95 11.79 86 10.67 70 8.69
6 存取控制 0.1280 90 11.52 93 11.90 88 11.26 88 11.26 86 11.01 88 11.26
7 軟體管理 0.0528 93 4.91 94 4.96 93 4.91 92 4.86 50 2.64 75 3.96
8 業務持續運作 0.0952 88 8.38 90 8.57 93 8.85 90 8.57 88 8.38 89 8.47
9 資訊稽核 0.0618 89 5.50 95 5.87 88 5.44 92 5.69 87 5.38 87 5.38
加權總分 88.730 93.180 89.300 92.570 72.780 81.250
序 位 4 1 3 2 6 5
等 級 A- A A- A B- B+
資料來源:本研究
六個研究個案之加權總分最高之個案 B 與最低之個案 E,相差達 20.4,距離頗大,顯示
組織「資訊安全」之個別差異甚大,列為等級 A 的個案 B 與個案 D,亦即序位分別列第 1 與
2 者,兩組織均為公民營企業,而其各個評估構面的評分均甚高,尤其個案 B 評分均在 90 分
以上,高低分相差只有 5 分;個案 D 評分均在 88 分以上,高低分相差 8 分,顯示,欲達到
較高的資訊安全水準,對於資訊安全各個構面均應加以重視。列為等級 B-的個案 E,亦即序
位為第 6 者,係一政府機關,其評分最低的評估構面為「風險管理」,僅評為 20 分,其餘政
府機關的個案 A 與 C,其「風險管理」,也分別為該個案評分最低的評估構面,顯示政府機關
的個案對「風險管理」似較未能受到重視,至少,重視程度不如公民營企業的個案,而個案
E 評分高低相差達 68 分,個案 F 高低相差達 43 分,而且個案 E 與個案 F 均以「風險管理」
評分為最低,而其與「資訊安全多準則評估模式」中,「風險管理」評估構面的權重之排序為
第 5 名的重要程度(如表 3、表 4 所示)相較,顯示「風險管理」未受到應有的重視。因此,
當組織資訊安全資源無法照顧到全部的安全構面或評估準則時,應將資訊安全資源重點投資
於其權重較高,即排序在前者,才能使資訊安全資源發揮最大的效用,以較少的投資獲得相
對較多的資訊安全,換言之,組織可將「資訊安全多準則評估模式」運用在資訊安全資源的
規劃、分配及建置之策略上,如此將會為組織帶來更好的資訊安全效果。
