應用能力成熟度整合模式改善資訊安全管理

Applying CMMI to Improve Information Security Management

廖岳祥(Anthony Y. H. Liao)；許家凱(Chia-Kai Hsu)

資訊安全 ； 能力成熟度整合模式 ； 建構管理 ； 風險管理 ； information security ； CMMI ； configuration management ； risk management

品質學報

15卷3期（2008 / 06 / 01）

223 - 232

繁體中文

近年來資訊安全開始受到企業的重視，但經常礙於管理系統上的規劃不良，使得企業在實行導入及後續驗證時，遭遇到許多原本應可避免的問題。本研究應用能力成熟度整合模式中，有關建構及風險管理兩項流程領域，將資訊安全管理系統條文模式化，並配合系統要求及相關的文獻標準，透過輔助軟體的模擬，經由規劃、執行、檢查及改進等步驟逐次展開。在個案導入後評估結果，得到兩項結論：(1)將資訊資產的安全與風險數量化後，可明確得知管理目標及方向；(2)與建構管理模式結合後，更易於管理及溝通。

In recent years, information security has attracted more attention from the enterprises. However, the enterprises encounter a lot avoidable problems caused by poor planning on the management systems during the implementation and validation processes. In this research, two process areas, configuration management and risk management, of CMMI are applied to construct an information security management model. According to the system requirements and related references, the simulation software is constructed to implement the processes in planning, doing, checking, and acting sequence. In the results of the study case, there are two findings as follows: (1) Quantifying the security and risk of information asset, clearer objective and direction of management can be found; (2) Applying configuration management model, management and communication will be easier.

1. 瞿鴻斌(2005)。碩士論文(碩士論文)。世新大學資訊管理研究所。
   連結：
2. CMMI Product Team、SEI、資策會譯(2005)。Capability Maturity Model Integration (CMMISM): Continuous Representation, Version 1.1。台北:資策會。
3. 中央標準局(2002)。資訊安全管理系統(ISMS)−CNS17800標準介紹。台北:中央標準局出版社。
4. 中央標準局(2002)。我國資訊安全國家標準之應用發展現況。台北:中央標準局出版社。
5. 王百川(2003)。碩士論文(碩士論文)。中國文化大學資訊管理研究所。
6. 姚俊羽(2004)。碩士論文(碩士論文)。銘傳大學資訊管理學系。
7. 英國標準協會(2005)。資訊科技－安全技術－資訊安全管理系統要。BSI英國標準協會。
8. 浦樹盛(2005)。ISMS BS7799資訊安全管理系統－資安政策－BS7799的落實與稽核。BSI英國標準協會。
9. 賴志迢、莊雅喻、王紀先、黃彥荏、徐銓基譯、Dennis M, Ahern.、Aaron, C、Richard, T.著(2004)。CMMI DISTILLED中文版。台北:培生教育出版集團。