簡易檢索 / 詳目顯示

回結果列表
研究生: 郭香吟
Kuo, Hsiang-Yin
論文名稱: 自風險管理觀點探討資安監控中心建置契約之研究
The Risk Management Approach to Refining the Contract of SOC Implementation
指導教授: 楊欣哲
Shin-Jer Yang
范建得
Jian-De Fan
口試委員:
學位類別: 碩士
Master
系所名稱: 科技管理學院 - 科技法律研究所
Institute of Law for Science and Technology
論文出版年: 2007
畢業學年度: 95
語文別: 中文
論文頁數: 78
中文關鍵詞: 資訊安全資安監控中心風險管理服務層級協議書
外文關鍵詞: Information Security (IS), SOC (Security Operation Center), Risk Management, SLAs (Service Level Agreements)
相關次數: 點閱:1下載:0
分享至:
查詢本校圖書館目錄 查詢臺灣博碩士論文知識加值系統 勘誤回報

    • 隨著網際網路技術的成熟與應用普及,資訊安全(簡稱資安)已成為資訊技術 (IT, Internet Technology) 重要的基礎建設之一。目前相關的資安技術產品諸如:防火牆、防毒軟體、虛擬私人網路 (VPN, Virtual Private Network)、安全掃描以及入侵偵測系統 (IDS, Intrusion Detection System) 等,已廣泛為政府及企業運用在建置資安環境上。但隨著每天數以萬計的資安事件及紀錄檔需要處理或管理,讓網管或資安人員疲於奔命。由於單一的資安產品並無法提供某一組織完整的資安功能,故應將資安視為一服務流程 (service process) 而非單一產品。因此,將政府或企業的安全需求訂定成政策,並利用整合相關資安產品和統一應變中心,以形成資安監控中心 (SOC, Security Operation Center) ,已成為整體資安防護的新趨勢。
    本論文除介紹國內外資安與SOC發展的實務,及探討SOC所牽涉的服務流程、涵蓋技術與建置類型外,更進一步導入風險管理 (risk management)的觀念,將客戶風險處理前後的風險等級、實體資訊資產、組織規模、業務特性與資安需求等,設為SOC服務層級協議書 (SLAs, Service Level Agreements) 的參數,以此區分出SOC之SLAs之服務等級,及對應各服務等級之差異條款,進而以委外建置SOC為例,提出委外建置資安監控中心契約差異條款的建議。最後,說明未來SOC發展可能面臨的難題與挑戰,期為SOC制度化之發展鋪路。

    Owing to the mature technology and popular application on the Internet, Information security (IS) has become a critical issue of the Internet Technology (IT). Various types of information security products, such as Firewalls, Antivirus, Virtual Private Network, Online Security Scanning, and Intrusion Detection System, have been widely used by government agencies and business organizations to set up a secure information environment. The network manager and IS personnel are constantly faced with numerous of logs in information security events. In fact, problems in IS could not be solved by single product. We can deem IS as a process for its implementation, not point products. Therefore, it has become an inevitable trend for IS that sets up policies via the security requirements of government agencies and business organizations, and then integrates relevant IS products to implement SOC (Security Operation Center).
    The thesis introduces the development of IS and SOC in Taiwan and other countries, and discusses the service process, related technologies, and implementation types of SOC. Also, this thesis involves the concept of risk management to evaluate customers’ risk values before/after risk treatment, physical information assets, organization scales, business properties, and IS requirements. Then, we take above these parameters for categorizing various levels of SLAs (Service Level Agreements), and find out the different article respond to various levels. According to the determined level of SLAs, we provide proposal of refining contract regarding outsourcing SOC. Consequently, we illustrate the possible issues and challenges in emerging development of SOC. To be summarized, we expect that this thesis could be the reference model for SOC implementation in the future.

    第一章 緒論 第一節 研究背景與目的 第二節 研究架構與方法說明 第三節 論文章節結構 第二章 相關文獻研究探討與國內外實務運作 第一節 SOC(含N-SOC 與C-SOC) 定義與發展 第二節 相關文獻與研究 第三節 我國與國外實務運作情形介紹 第三章 SOC的服務流程與建置方式 第一節 SOC服務流程剖析-APITA 第二節 SOC之相關技術 第三節 SOC建置方式-自行與委外差異比較 第四章從風險管理觀點建置SOC之服務層級協議書策略 第一節 從風險管理概念建立分層服務之觀點 第二節 服務層級協議書之作業規劃 第三節 SOC之服務層級協議書建置策略與架構 第五章 SOC委外建置契約與評析 第一節概說 第二節 SOC委外建置契約之架構與差異條款說明 第三節 SOC委外建置契約範例-以SLAs高級服務等級為例 第六章 結論 第一節 研究成果與未來展望 第二節 SOC建置之衍生問題及其對策

    ㄧ、中文期刊論文(按作者姓氏筆劃排列)
    1. 王俊雄, 「警政資通安全管理政策之研究」, 中央警察大學資訊管理研究所碩士論文, 2002。
    2. 朱曉璋,「委外服務如何簽訂合適的SLA?」, 通訊雜誌第86期, 2001.3。
    3. 李毓華, 「生物技術授權契約之研究」, 東吳大學法律學研究所碩士論文, 2003.1。
    4. 黃承聖, 「企業資訊安全的起點-資訊安全政策」, 網路通訊雜誌, 109,頁100-103, 2000。
    5. 曾于洲、李清賓, 「建構企業整體資訊安全解決方案」, 資訊安全論壇, 頁46-50, 2003. 10。
    6. 葉俊榮, 「電子化政府資通安全發展策略與展望」, 研考雙月刊, 29卷, 2005。
    7. 「資訊安全採購新標準-- 從單一防禦到整合防護安全新趨勢」, 資訊安全論壇, 頁38-43, 2004. 3。
    8. 「資安可以委外嗎?」, 資訊與電腦, 頁99-105,2004. 2。
    9. 樊國楨等,「資訊安全稽核與警示保護剖繪初探」, 電腦與通訊, 頁116-129, 2004. 3。
    10. 樊國楨、林樹國、歐崇明, 「資安監控中心之終極目標-資訊分享與分析中心初探」, 95年度資通安全專論彙編之ㄧ, 財團法人國家實驗研究院科技政策研究與資訊中心, 頁 1-33, 2006. 12 。
    11. 顧美春, 「工程契約風險分配與常見爭議問題之研究」, 交通大學科技法律研究所碩士論文, 2003.8。

    二、中文專書論著(按作者姓氏筆劃排列)
    12. Larry Long、Nancy Long原著、陳玄玲編譯, 「計算機概論」, 台北:培生教育出版, 2003. 6。
    13. 王澤鑑, 「民法債偏總論(1)基本理論債之發生」, 2001. 3增訂版。
    14. 李順仁, 「資訊安全」, 臺北市:文魁出版, 2004。
    15. 李睿, 「契約法」, 高美芬出版, 2004. 5。
    16. 宋明哲, 「現代風險管理」, 台北:五南出版, 2005. 8。
    17. 吳琮璠、謝清佳, 「資訊管理:理論與實務」, 臺北市:智勝出版, 2004。
    18. 林誠二, 「民法總則講義」,瑞興圖書公司出版,1995。
    19. 林誠二,「民法債編各論(中)」,台北:瑞興圖書股份有限公司, 2002。
    20. 孫森焱, 「民法債編總論」, 1999. 10修訂版。
    21. 黃立, 「民法債編總論」, 1999. 10 二版。
    22. 黃茂榮, 「債法各論」, 2003。
    23. 陳春山, 「契約法講義」第一冊, 瑞興圖書股份有限公司出版, 1995. 9。
    24. 吳宗成主編,「資安法規與政策管理」, 94年度資通安全專論彙編之二十, 財團法人國家實驗研究院科技政策研究與資訊中心, 2005. 6 。
    25. 楊崇森, 「混合契約之研究」, 民法債篇論文選輯,台北:五南出版,1984. 7。
    26. 鄧家駒, 「風險管理」四版, 華泰文化事業, 2005.6, pp 63。
    27. 樊國楨主編,「資訊安全風險管理」, 資通安全專輯之五, 行政院國家科學委員會科學技術資料中心, 2002. 12。
    28. 鄭玉波, 「民法債編論文選輯(上)」, 台北:五南出版, 1984. 7。
    29. 鄭燦堂,「風險管理-理論與實務」, 台北:五南出版, 1995. 9。

    三、英文期刊論文(按作者姓氏字母排列)
    30. Dr. Walter Fumy, “IT Security Standardization”, Network Security, Vol. 2004, No. 12, 2004.12, pp. 6-11.
    31. Kwo-Jean Farn, Shu-Kuo Lin and A. ken-Wei, “A Study on Information Security Management System Evaluation-Assets, Threat and Vulnerability”, Computer Standard & Interfaces, Vol. 26, No 6, 2004.10, pp. 501-513.
    32. Mariana Gerber and Rossouw von Solms”, Management of Risk in the Information Age”, Computers & Security, Vol. 24, No. 1, 2005.1, pp. 16-30.
    33. Ray A. Maxion and Rachel R. M. Roberts, “Methodological Foundations: Enabling the Next Generation of Security”, IEEE Security & Privacy Journal, Vol. 3, No. 2, 2005.3-4, pp. 54-57.
    34. Robert S. Coles and Rolf Moulton, “Operationalizing IT Risk Management”, Computers & Security, Vol. 22, No. 6, 2003.9, pp. 487-493.
    35. Shaun Posthumus and Rossouw von Solms, “A Framework for the Governance of Information Security”, Computer Network, Vol. 23, No. 8, 2004.12, pp. 638-646.
    36. Shin-Jer Yang, Hsiang-Yin Kuo, and Yung-Chun Chen, “SLA Strategy and Integration Technology in Security Operation Center”, In Proceedings of the ISCA 21th International Conference on Computers and Their Applications, Seattle, WA U. S. A., March 2006, pp. 343 - 349.
    37. Stephen Mason, “Trusting Your Computer to Be Trusted”, Computer Fraud & Security, Vol. 2005, No. 1, 2005.1, pp. 7-11.
    38. Stuart E. Schechter, ”Toward Econometric Models of the Security Risk from Remote Attack”, IEEE Security & Privacy Journal, Vol. 3, No. 1, 2005.1-2, pp. 40-44.
    39. Yong Liu, Chen-Khong Tham and Yuming Jiang, “Conformance Analysis in Networks with Service Level Agreements”, Computer Network, Vol. 47, No. 6, 2005.4, pp. 885-906

    四、英文專書論著(按作者姓氏字母排列)
    40. C. Kaufman, R. Perlman and M. Speciner, “Network Security”, Prentice-Hall PTR, NJ U.S.A., 2002.
    41. Eric Maiwald, “Fundamentals of Network Security”, McGraw-Hill Technology Education Inc., IL U.S.A., 2004.
    42. K. C. Laudon and J. P. Laudon, “Essentials of Management Information Systems”, 5th Ed., Prentice-Hall PTR, NJ U.S.A., 2003.
    43. H. M. Deitel, P. J. Deitel, B. Duwaldt and L. K. Trees, “Web Services: A Technical Introduction”, Prentice-Hall PTR, NJ U.S.A., 2003.
    44. William Stallings, “Data and Computer Communications”, 7th Ed., Pearson Education Inc., U.S.A., 2004.

    五、中文電子資訊(按網頁英文字母排列)
    45. 風險管理知識網(http://risk.rdec.gov.tw/)
    46. 政府機關資訊委外資訊網(http://web.rdec.gov.tw/cisa/)
    47.政府資安作業共通規範(http://www.giscc.org.tw/giscc/)
    48. 行政院國家資通安全會報技術服務中心(http://www.icst.org.tw/)
    49. 行政院國家資通安全會報(http://www.nicst.nat.gov.tw/)
    50.國家資訊基本建設產業發展協會 (http://www.nii.org.tw/)

    六、英文電子資訊(按網頁英文字母排列)
    51. http://www.bsi-global.com/
    52. http://www.gartner.com/
    53. http://www.nipc.gov/
    54. http://www.twisc.org/

    無法下載圖示 全文公開日期 本全文未授權公開 (校內網路)
    全文公開日期 本全文未授權公開 (校外網路)

    QR CODE