企業資訊網站設計之資訊安全的評估模式與評量工具之研究

An Approach to Assessment Model and Metric Tool of Information Security in Designing EIP

楊欣哲(Shin-Jer Yang)；林裕倫(Yu-Lung Lin)

企業資訊網站 ； 評估模式 ； 資訊安全 ； 評量工具 ； EIP ； Assessment Model ； AHP ； Information Security ； Metric Tool

資訊管理學報

21卷2期（2014 / 04 / 01）

107 - 137

繁體中文

由於全球資訊網（World Wide Web）技術發展與應用普及，因此帶動了企業資訊網站平台的興起。然而，提供安全的企業資訊網站平台（EIP）是網際網路應用之重要的服務品質關鍵之一。有鑑於此，本論文主要在針對企業資訊網站平台設計上之各種不同的風險構面，參照ISO27001文獻和國際標準組織OWASP與SANS組織所提出的資訊網站之風險，透過ISMS模式找出每一風險構面與風險因子以及經由專家焦點座談確認，並經由5位資訊安全或Web網站系統建置之專家或學者填寫各項構面因子問卷，再利用AHP層級分析法，計算出各項風險權重值與排序。然後，將制訂EIP之資訊安全的評估模式與評量工具。最後，我們將以現有的企業網站資訊平台，採用本論文所提出的資訊安全評估模式與評量工具來計算企業資訊網站平台之風險值，並且依風險值訂定風險等級的指標以驗證資訊網站之安全性，並提出相關改善策略之建議。總之，我們所提出的資訊安全之評估模式與評量工具，可用來作為安全的網頁系統建置之安全評量準則與參考模式。

The WWW technology brings the rising of Enterprise Information Portal (EIP). However, providing a secure Enterprise Information Portal is one of essential quality of services (QoS) in Internet applications. Based on the security of designing EIP, the purposes of this paper are to find out various risk facets based on ISO 27001 reference standards and the ISMS process and also utilize AHP model to validate the factors of each risk facet using focus discussion of experts. Then, we refine and validate required factors of each risk facet through questionnaire method of five experts or scholars who are specialized in implementing a secure EIP system. In addition, we can establish an Information Security assessment model of EIP and design its algorithm. Finally, we develop a Metric Tool and also perform experiments to verify and validate the risk management of a selected EIP practice. According to the risk values, it can refine the risk level to verify and validate the security of EIP and propose related improving strategies. Based on the experimental result, our proposed assessment model and Metric Tool of EIP Information Security can be served as the security measure guidelines of implementing a secure Web application.

1. 楊欣哲、彭勝寶(2013)。延伸型攻擊樹分析法以評估網站安全風險之研究。資訊管理學報，20(1)，1-38。
   連結：
2. OWASP TOP 10, Category: OWASP Top Ten Project, available at https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project (accessed 25 March 2014).
3. ISO/IEC 27005（2008），資訊安全風險管理標準.（BSI, ISO/IEC 27005 Information Security Risk Management Standard.）。
4. ISO 27001（2005），資訊安全管理系統－要求.（BSI, ISO 27001:Information Security Management Systems (ISMS) - Requirements.）。
5. SANS TOP 20, Twenty Critical Security Controls for Effective Cyber Defense: Consensus Audit Guidelines, available at http://www.sans.org/critical-securitycontrols/ (accessed 25 March 2014).
6. Likert, R. (1932), 'A technique for the measurement of attitudes', Archives of Psychology, Vol. 140, pp. 1-55
7. Allen, J.,Christie, A.,Fithen, W.,McHugh, J.,Pickel, J.(2000).,Pittsburgh Pa:Carnegie-Mellon Univ Software Engineering Inst..
8. Barafort, B.,Humbert, J.P.,Poggi, S.(2006).Information security management and ISO/IEC 15504: the link opportunity between security and quality.Proceedings of the SPICE 2006 conference,Luxembourg:
9. Cachia, E.,Micallef, M.(2007).A multi-tier, multi-role security framework for e-commerce systems.Proceedings of 14th Annual IEEE International Conference and Workshops on the Engineering of Computer-Based Systems (ECBS'07),Tucson , USA:
10. Fenz, S.,Goluch, G.,Ekelhart, A.,Riedl, B.,Weippl, E.(2007).Information security fortification by ontological mapping of the ISO/IEC 27001 standard.Proceedings of the Dependable Computing (PRDC 2007) 13th Pacific Rim International Symposium on,Melbourne, Victoria, Australia:
11. Saaty, T.L.(1980).The Analytic Hierarchy Process: Planning, Priority Setting, Resource Allocation.Pittsburgh:RWS Publications.
12. Saaty, T.L.(1990).How to make a decision: the analytic hierarchy process.European Journal of Operation Research,48(1),9-26.
13. Yang, C.H.,Wan, J.C.(2008).An approach to separating security concerns in e-commerce systems at the architecture level.Proceedings of 2008 International Symposium on Electronic Commerce and Security (ISECS 2008),Guangzhou, China:
14. 林玉峰(2005)。碩士論文(碩士論文)。高雄市，樹德科技大學資訊管理研究所。
15. 施藍欣(2008)。碩士論文(碩士論文)。高雄市，國立高雄大學亞太工商管理學系。
16. 翁宇能(2009)。碩士論文(碩士論文)。桃園縣，國立中央大學資訊管理學系碩士在職專班。
17. 陳俊德(2009)。碩士論文(碩士論文)。新北市，華梵大學資訊管理學系。
18. 黃淑慧(2003)。碩士論文(碩士論文)。彰化市，大葉大學資訊管理學系。
19. 鄧振源、曾國雄(1989)。層級分析法的內涵特性與應用（上）。中國統計學報，27(6)，5-22。
20. 韓慧林、王貴民、王振陽、劉庭維、鄭曳庭(2011)。應用失效模式與效應分析評估資訊安全管理系統之風險。國防雜誌，26(6)，107-122。
21. 羅福枝(2005)。碩士論文(碩士論文)。台北市，世新大學資訊管理研究所。

1. 黃劭彥、陳天意、洪育忠(2017)。保險經紀業法令遵循控制機制之研究─以A公司資安法規為例。電腦稽核，35，7-21。
2. 蘇世強、林國照、沈育霖(2017)。特定行業設備安全檢核資訊平台實用化研究。勞動及職業安全衛生研究季刊，25(3)，203-214。