Download
1 / 17
170 likes | 354 Views
商務科技管理系 實務專題報告. 企業資訊安全政策施行架構 -以電信業為例. 專題成員:蔡嘉容 、 李育玫 、 陳璟瑩 、 劉蕙慈 、 謝佩勳. 2009/12/21. 大綱. 一、研究背景與動機 二、研究範圍與目標 三、研究結果 四、 SMAC 方法論 五、資訊安全控管流程 六、資訊安全系統架構. 七、系統特色 八、實際效益 九、結論 十、後續研究方向 十一、參考文獻. 一、研究背景與動機. 中華電信由於在美國的證卷交易委員會登記註冊,必須受美國沙氏法案的約束,因此有符規 (compliance) 的需求。
E N D
商務科技管理系 實務專題報告 企業資訊安全政策施行架構-以電信業為例 專題成員:蔡嘉容、李育玫、陳璟瑩、劉蕙慈、謝佩勳 2009/12/21
大綱 一、研究背景與動機 二、研究範圍與目標 三、研究結果 四、 SMAC方法論 五、資訊安全控管流程 六、資訊安全系統架構 七、系統特色 八、實際效益 九、結論 十、後續研究方向 十一、參考文獻
一、研究背景與動機 中華電信由於在美國的證卷交易委員會登記註冊,必須受美國沙氏法案的約束,因此有符規(compliance)的需求。 根據KPMG在2008年進行的一項符規調查顯示,企業每年平均花在符規上的支出約佔總支出的3.6%。 中華電信希望建置一個自動化的符規管理系統,幫助其資訊安全的控管,降低在符規上的支出。 1
二、研究範圍與目標 • 針對中華電信的帳務系統,建置一套能夠持續改善的資訊安全控管機制。 • 此機制的內容應能夠針對中華電信不同階層提供適切的資訊安全控管實施指導原則。 • 實際解決方案的建置,遵循NGOSS方法論。 ☺實際系統建置由IBM與北科大資工系負責 2
三、研究結果 PDSE 資訊安全控管施行架構 • 方法論 • 流程 • 控制資訊 • 系統架構 3
四、SMAC 方法論 -PDSE框架的第一層 4
五、資訊安全控管流程(1/2) -PDSE框架的第二層 5
五、資訊安全控管流程(2/2) -PDSE框架的第二層與第三層 6
六、資訊安全系統架構(1/2) -PDSE框架的第四層 7
七、系統特色 9
八、實際效益 中華電信宣稱 • 資安事件反應時間縮短61% • 符規成本降低18% • 新政策或修改政策的生效時間從兩天縮短為 四小時 10
九、結論 • PDSE的四層式架構,提供不同資訊安全控管人員不同的觀點。 • PDSE架構提供了一個將政策轉換成規則的機制,且保持讓資訊安全控管流程由政策驅動。 • PDSE架構提供了一個持續改善的資訊安全控管流程。 • PDSE架構的建置,讓中華電信提升資訊安全控管效率,並降低其符規成本。 11
十、後續研究方向 PDSE架構在中華電信雲端計算服務的應用。 12
十一、參考文獻(1/2) 中文文獻 • 張偉斌(2001),網路資訊安全諮詢服務系統之研究,國立臺北科技大學商業自動化與管理研究所碩士論文。 • 張詠翔(2005),結合BS7799與資訊安全藍圖建構-資訊安全評估機制之研究,銘傳大學資訊管理學系碩士在職專班論文。 • 蔡思達(2007),以適應性結構化理論探討資訊安全管理系統導入之徵用過程與成效,國立台灣科技大學資訊管理系研究所碩士論文。 • 方仁威(2004),資訊安全管理系統驗證作業之研究,國立交通大學資訊管理研究所碩士論文。 • 藍雅雯(2009),架構導向WiMAX帳務管理研究,國立中山大學資訊管理學系研究所碩士論文。 網路文獻 • 考試院 http://www.exam.gov.tw/ • 美國現行審計雙軌制 http://my.so-net.net.tw/joe21799/l/l3.htm • 趨勢科技 http://www.trendmicro.com.tw/micro/TMLP/TMLP_microsite_index.html • 經營決策論壇,林瑞禎 http://www.gss.com.tw/tw/eispage/vol56/eispage5606.htm 13
十一、參考文獻(2/2) 英文文獻 • A. Zuccato, “Holistic Security Management Framework Applied in Electronic Commerce”, Computers & Security, Vol 26 (3), p256-265, 2007. • J. C. Sipior, B. T. Ward, “A Framework for Information Security Management based on Guid Standards: A United States Perspective”, Issues in Informing Science and Information Technology Vol 5, p52-60, 2008 • Policy Enforcement Framework for Web Services and Grid Operational • Anton Chuvakin, Gunnar Peterson, "Logging in the Age of Web Services," IEEE Security & Privacy, Vol. 7 (3) , pp. 82-85, May/June, 2009. • K.J. Knapp, R.F. Morris Jr., T.E. Marshall, T. Anthony, “Information Security Policy: An Organizational-Level Process Model”, Computer & Security, Volume 28 (7), p493-508, 2009. • S.C. Shih, H.J. Wen, “E-enterprise Security Management Life Cycle”, Information Management & Computer Security, Vol 13 (2), p121-134, 2005. • D. Bradley, A. Josang, “Mesmerize – An Open Framework for Enterprise Security Management”, ACM International Conference Proceeding Series; Vol. 54, Proceedings of the second workshop on Australasian information security, Data Mining and Web Intelligence, and Software Internationalisation - Volume 32, Dunedin, New Zealand, p37-42, 2004 • A. Sengupta, A. Mukhopadhyay, K. Ray, A.G. Roy, D. Aich, M.S. Barik, C. Mazumdar, “A Web Enabled Enterprise Security Management Framework based on a Unified Model of Enterprise Information System Security”, Lecture Notes in Computer Science, Vol 3803, p328-331, 2005. • J. Colye, J. Demerest, R. McAllister, “A Proposed Security Management Framework for the Global Information Security”, 6th Workshop on Enabling Technologies Infrastructure for Collaborative Enterprises (WET-ICE ’97), p200-206, 1997. 14
謝謝您的聆聽 請多多指教
