根基於2011-05-16之「數位空間國際策略」中的供應鏈風險管理標準化進程探討美國資訊安全管理政策之實作

10.29614/DRMM.201204.0008

樊國楨；林惠芳；黃健誠

雲端運算 ； 資訊安全管理 ； 軟體保證 ； 標準化 ； 供應鏈風險管理 ； Cloud Computing ； Information Security Management ； Software Assurance ； Standardization ； Supply Chain Risk Management

資訊安全通訊

18卷2期（2012 / 04 / 01）

69 - 91

繁體中文

標準可以累積知識與經驗，標準化則是冀求以系統的、共同的協調一致的方法來強化標準實作的知識及技術以供傳承。資訊安全之標準化歷程，自90年代的產品（ISO/IEC15408（已調和為CNS15408）標準系列）、千禧年間之管理系統（ISO/IEC27000（已調和為CNS27000)標準系列），惟資訊安全管理的問題仍是全球共同面對之議題。自2007年起，根基於資訊安全內容自動化協定（Security Content Automation Protocol，簡稱SCAP）之有效性的軟體保證（Software Assurance）標準系列已逐漸成為事實標準（Defacto Standards）並孕育資訊與通信技術供應鏈風險管理標準化的源池，本文闡述其歷程與布局，探討資訊安全管理標準化之未來展望及做為資訊安全護理系列報導的終篇。

1. Swanson, M.et al.(2010) Piloting Supply Chain Risk Management Practices for Federal Information Systems (Draft),NIST IR 7622,June 2010..
2. Rockefeller J., and O. Snowe (2010) Cybersecurity Act (in the Senate of the United States), 2010-12-17.
3. ISO(2011)Text of ISO/IEC 4th WD 27002(revision) － Information technology －Security techniques－code of practice for information security management:2011-05-29, ISO/IEC JTC 1/SC 27 N10005..
4. Bartol, N. (2011) ICT SCRM – ISO Standards Update (Presentation), 2011-03-02..
5. U.S. Department of Defense (2011) Department of Defense Strategy for Operating in Cyberspace, July 2011..
6. Regenscheid A. and K. Scarfone (2011) BIOS Integrity Measurement Guidelines (Draft), NIST Special Publication 800-155, December 2011..
7. 樊國楨 (2011) 資訊安全管理實作初探－根基於美國聯邦資訊安全管理法實作計畫與中國大陸等級保護之發展歷程(未發表)，2011-06。
8. Davidson, D. (2011) Point Paper: Federal Agencies' Engagement in Standards, 2011-03-06..
9. Davidson, D. (2009) CNCI & SCRM (Presentation), 2009-10-16..
10. http://www.govinfosecurity.com/articles.php?art_id=2151 (2011-12-09).
11. ISO (2011) Information Security for Supplier Relationship – Part 1: Overview and Concepts, ISO/IEC WD 27036-1:2011-06-21, ISO/IEC JTC 1/SC 27 N9965..
12. CIO Council (2010) Proposed Security Assessment & Authorization for U.S. Government Cloud Computing, Draft, Version 0.96: 2010-11-02..
13. Martin, R.A. (2011) Security the Cyber Ecosystem (Presentation), August 2011..
14. Executive Office of the President of the United States (2010) The Comprehensive National Cybersecurity Initiative.
15. Reitiger, P. (2011) Enabling Distributed Security Cyberspace, 2011-03-23..
16. Arora, A.,Krishnan, R.,Telang, R.,Yang, Y.(2010).An Empirical Analysis of Software Vendors'Patch Release Behavior: Impact of Vulnerability Disclosure.Information System Research,21(1),115-132.
17. Brumer, E.(2011).CIIP Handbook 2008/2009.ETH Zurich Switzerland:
18. Ransbotham, S.,Mitra, S.,Ramsey, J..Are Markets for Vulnerabilities Effective?.MIS Quarterly
19. U.S. GAO=United States Government Accountability Office(2010).GAOGAO,未出版
20. White House(2011).International Strategy for Cyberspace: Prosperity, Security and Openness in a Networked World.

1. 樊國楨、黃健誠、林樹國(2013)。完備我國資訊安全管理法規初探。前瞻科技與管理，3(1)，97-147。
2. 樊國楨、黃健誠、林樹國、林惠芳(2012)。論美國資訊安全管理政策―從「數位空間國際策略」中之供應鏈風險管理標準化進程談起。前瞻科技與管理，2(2)，15-35。
3. 羅德興,錢素英,樊國楨,陳韶薇(2023)。資通安全管理法驗證方案特定要求事項標準化初論：根基於ISO/IEC 27001:2022(E)及ISO/IEC 27009:2020(E)框架。電腦稽核，48，24-60。