以自組織映射圖(SOM)進行資訊安全視覺化

Self-organizing Maps (SOM) for the Visualization of Information Security

10.6840/cycu201100832

郭松霖

資訊安全地圖 ； 自組織映射圖網路 ； 資訊安全 ； ISO 27001 ； 決策支援 ； Iso 27001 ； Self-Organizing Map ； Information Security ； Information Security Map ； Decision Support

中原大學資訊管理學系學位論文

2011年

碩士

洪智力

繁體中文

資訊技術的應用既深且廣，網路服務的多樣化；儲存媒體的容量越來越大，但體積卻是越來越小；雲端概念如火如荼的發展，更是成為資訊產業發展的焦點。由於前述各項因素，衍伸出更多資訊安全方面的顧慮，急待資訊科技運用者的重視。然而，公司資訊人員在導入資訊安全相關的解決方案或設備時，卻常常遭遇到推展困難的情形。因此，本研究透過以全方位的ISO27001資訊安全管理規範，針對不同規模級距之電子業進行問卷調查，續以自組織映射圖網路(SOM)的技術進行問卷資料的分群圖像化，預期產出一資訊安全地圖，期能以淺顯易懂且具有說服力的方式，讓眾多的資訊安全決策者了解公司資訊安全的妥善程度，做為判斷推展加強資訊安全的決策依據。ISO27001的133個控制項，涵蓋的資訊安全規範之範圍是全方位的，但也由於項目太過繁雜，無法很直接的從中看出公司資訊安全的妥善程度。本研究分別以ISO27001的11個領域、39個控制目標及133個控制項為維度，產出三個結果些許差異的分群圖，並對於各群特徵加以定義說明，透過這樣的地圖，期能提供給其他公司，提升判別其公司資訊安全概況的效率。

The application of Information technology is wide, and the internet service is diversified. The volume of database storage is increasing, but the volume of object is decreasing. The concept of cloud computing is developing significantly and is becoming the focus of IT industry as well.According to the factors as mentioned above, there are more and more concerns on information security and needs the operator of information technology to emphasize. However, a lot of difficulties in promoting information security management systems occur when information technicians implement the solutions and equipments of information security. ISO 27001 generally plays a very important role in monitoring, reviewing, maintenance and improvement of information security management system. Data of this study was derived from the outcome of questionnaires from IT organizations by utilizing SOM (Self-Organizing Map) to produce some possible information security map. As a result, the outcome of the study would assist the decision maker of IT enterprises to understand the importance of a standard information security policy and how to shape it as per the organization’s requirements. The range of information security which 133 controls factors of ISO 27001 cover is all-directional, but it’s hard to distinguish the wellness of company information security directly due to over completed items. This research tries to propose to three differential Clustering maps by studying 11 domains, 39 Control objectives, 133 controls of the information security-ISO 27001 to help other companies improve the efficiency of the information security management.

1. 王拜文(2007)。企業資訊安全機制導入與評估–以H公司為例。碩士論文，中央大學，2008。
   連結：
2. 史振忠(2005)。資訊安全風險評估與管理之研究。碩士論文，中原大學，2006。
   連結：
3. 李東峰、林子銘(2002)。資訊主管對企業資訊安全之風險控管決策。資訊管理研究，資訊安全專刊，4(2)，1-42。
   連結：
4. 杜偉欽(2006)。結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究。碩士論文，成功大學，2006。
   連結：
5. 郭建麟(2009)。探討組織如何落實ISO 27001-以資料外洩衍生危安事件之研究。碩士論 文，崑山科技大學，2003。
   連結：
6. 黃信捷(2008)。使用潛在語意分析與自我組織映射於中文文件摘要。碩士論文，國立清華大學，2008。
   連結：
7. 劉永禮(2001)。以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究。碩士論文，元智大學，2002。
   連結：
8. 樊國楨、林樹國和黃健誠(2008)。資訊安全管理系統驗證標準化之二：資訊安全管理系統政策集初探。資訊安全通訊，14(2)，1-21。
   連結：
9. 蔡重成、彭家亮和敖先義 (2007)。從企業營運的觀點探討ISO 27001資訊安全管 理系統的産業價值。品質月刊，43(2)，67-70。
   連結：
10. 蕭瑞祥、許容豪(2008)。圖形教學運用於資訊安全認知訓練之研究。資訊管理展望，10(1)，69-87。
    連結：
11. Allinson, N., Yin, H., & Obermayer, K. (2002). Introduction: new developements in self-organizing maps. Neural Networks, 15, 943.
    連結：
12. Card, S., Mackinlay, J. (1997). The Structure of the Information Visualization Design Space. Processing of Information Visualization. , 92-99.
    連結：
13. Card, S. K., Mackinlay J. D., and Shneiderman, B. (1999).Readings in information visualization: using vision to think. Morgan Kaufmann.
    連結：
14. Dhillon,G., Backhouse , J. (2000). Information System Security Management in the New Millennium. Communication of the ACM, 43(7),125-128.
    連結：
15. Kohonen, T.(1990).The self-organizing map. Proc. IEEE, 78 (9),1480-1481.
    連結：
16. Ku, C.-Y., Chang, Y.-W., & Yen., D. C. (2009). National information security policy and its implementation: A case study in Taiwan. Telecommunications Policy, 33(7), 371-384.
    連結：
17. Ong, T., Chen, H., Sung, W., and Zhu.B. (2005).Newsmap: a knowledge map for online news. Decision Support Systems. 39, 583-597.
    連結：
18. Williams, P. A. H. (2008). In a ‘trusting’ environment, everyone is responsible for information security. Information Security Technical Report, 13(4), 207-215.
    連結：
19. 參考文獻
20. 1.中文文獻：
21. 方鴻春(2004)。企業建置資訊安全管理系統（ISMS）之平衡績效指標研究論文。博士論文，國立台灣科技大學，2004。
22. 王振鴻(2009)。全組織導入資訊安全管理系統的個案研究。碩士論文，長庚大學，2009。
23. 古紀萱(2008)。探討落實ISO 27001之基準－以個人資料安全為例。碩士論文，華梵大學，2008。
24. 江蕙民、江育民(2005)。台灣各縣市家庭消費支出之SOM群集分析。2005管理創新與科際整合學術研討會。新竹市。
25. 李東峰(2003)。企業資訊安全控管決策之研究--從組織決策理論觀點探討。博士論文，中央大學，2003。
26. 李東峰(2006)。高科技企業機密資訊安全控管制度之研究。EC2006電子商務與數位生活研討會。
27. 周少華、付略和梁寶鎏(2008)。基於SOM神經網路的古代青瓷聚類分析。中國科學E輯：技術科學，38(7)，1089-1096。
28. 林曙熙(2004)。企業資訊安全管理之認知與實施研究。碩士論文，清華大學，2003。
29. 洪國興(2002)。資訊安全「影響因素與評估模式」之研究。未出版博士論文，政治大學，台北市。
30. 洪國興，季延平和趙榮耀(2006)。影響資訊安全關鍵因素之研究。資訊管理研究，6，1-29。
31. 洪國興、季延平和趙榮耀(2003)。資訊安全評估準則層級結構之研究。Journal of Library and Information Science, 29（2）, 22 – 44.
32. 張詠翔(2005)。結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究。碩士論文，銘傳大學，2005。
33. 張嘉祐(2006)。模糊多準則決策於企業數位權利管理系統風險評估模式之研究。碩士論文，華梵大學，2007。
34. 莊煥銘、韓富州(2007)。資訊安全管理系統之規劃與建置研究－以某大型企業之風險管理為例。雲林科技大學，雲林縣。
35. 楊正仁(2001)。資訊視覺化呈現之發展與挑戰。21 世紀資訊科學與技術學術研討會，291-305．
36. 楊東昌(2004)。自組織映射圖神經網路改善模式與分群應用之回顧研究。碩士論文，華梵大學，2008。
37. 詹燦芳(2008)。國內ISMS導入效益、成功要素與遭遇困難之研究。碩士論文，國立臺灣科技大學，2008。
38. 劉佳勳(2009)。導入資訊安全管理系統之績效衡量架構－以國家研究單位為例。碩士論文，世新大學，2009。
39. 劉智敏(2004)。運用BS 7799建構資訊安全風險管理指標。碩士論文，台北大學，2004。
40. 鍾雪珍（2008）。新版EBSCOhost 2.0資訊視覺化檢索簡介。BIBLID 1026-7220，97(3)，19-23。
41. 關中(2002)。資訊科技與國際政治發展趨勢。國家政策論壇，2(6)，146-151。
42. 蘇友章(2003)。應用AHP模式探討資訊安全決策選擇之研究。碩士論文，樹德科技大學，2009。
43. 2.英文文獻：
44. British Standard Institution. (2005). ISO 27001, Information Security Management－Part 2：Information Security Management System（ISMS）－ Requirement. London: Author.
45. Kohonen, T.(2001).Self-Organizing Maps. 3rd ed. Berlin:Springer-Vrelag.
46. Preece, J., Roger, Y., Sharp, H., Benyon, D., Holland, S., & Carey, T.(1994). Human Computer Interaction. Addison-Wesley Publishing Company.