Page 47 - 捷運技術 第32期
P. 47
捷運技術半年刊 第 32 期 94 年 2 月 37
六、結論與建議
6.1 結論
就多準則評估模式之研究而言:其目的在發展資訊安全評估之多準則決策(Multiple
Criteria Decision of Information Security Evaluation)體系,經實證研究結果:
1. 發展「資訊安全評估總體指標」之層級結構,建立九大評估構面;包括:「安全政策與資
源」、「風險管理」、「人員安全」、「實體安全」、「系統與網路」、「存取控制」、「軟體管理」、
「業務持續運作」、「資訊稽核」等。下一層之評估準則共37項。
2. 對資訊安全評估構面權重之評估,其重要程度依序為:「安全政策與資源」、「人員安全」、
「存取控制」、「系統與網路」、「風險管理」、「實體安全」、「業務持續運作」、「資訊稽核」、
「軟體管理」等。
3. 全部評估準則不分評估構面之權重,經全體專家對全部37項評估準則之評估,其權重高
低之排序前十名依序為:「1.1依據組織目標、策略、資訊政策及業務需要等制定安全政
策,並予文件化」、「5.3內部網路與外部網路之區隔與安全措施(firewall、防毒、入侵偵
測、弱點掃瞄等)」、「3.2重要或特別權限人員之輪調、備援、權責分散」、「1.3設置資訊
安全組織(人員)及資訊安全權責劃分」、「6.3對機密性、敏感性之系統與資料建立特別
之存取控制或保護措施」、「3.1人員進用與調職之安全評估」、「2.2資訊資產分類、區分機
密等級、分別保護」、「6.1使用者帳號與密碼管理,及其使用規範」、「2.1進行資訊安全風
險分析(威脅與弱點)」、「4.1依設備之重要程度區隔保護、管制及專人管理」等。
4. 將「資訊安全多準則評估模式」應用於研究個案之資訊安全評估,其評分方法可區分為
直接評分與成對比較評分,為簡化起見,採資訊安全評估模式第二層之評估構面,以直
接評估法進行評估,其中個案B的序位最高,各構面加權分之排序與評估模式之排序完
全相同,顯見評估模式具有標竿作用。
6.2 建議
1. 對評估準則的建立,可否採用專家訪問法,或德菲法(Delphic),亦是未來可進行的研
究。
2. 多準則評估的方法甚多,對於資訊安全評估,亦可採用其他的評估方法,如德菲層級分
析法(Delphic Hierarchy Process)、等級固有向量法(Graded Eigenvector Method)、幾何
最小平方法(Geometric Least Square)或直接加權法等,對層級分析法(AHP)亦可改
採模糊積分法,以建構更切合需要的資訊安全多準則評估模式。
3. 個案研究可以提供研究結果的印証,因此,在個案的選擇上可以按不同性質選取,甚至
若能找到適當的個案,以一個單一的個案作深入而具體的研究,相信亦具有極高的研究
價值與貢獻。
4. 就實務探討所發展的命題,對於學術研究或實務上制定決策(Decision Making)均有其
重要意義,值得未來進行後續的實證研究,將可累積更大的貢獻。
5. 本文各項研究的結果,均可作為組織對資訊安全規劃與建置策略之參考。對一個新的組
織,可按「整合系統理論」之循序程序,進行規劃與建置;而對於一有歷史的組織,已
有部分的資訊安全建設時,整合性的規劃可能是必要的途徑;但無論任何組織當發生嚴
重的資訊安全事故,或組織之資訊技術環境有重大變革時,應採取權變管理,速謀因應
對策。在建置過程中,可依本研究所建構之「資訊安全多準則評估模式」中之評估構面
或評估準則,按其權重高低,依序規劃建置,換言之,本文各評估構面或評估準則之權
