【毕业学位论文】（Word原稿）以BS 7799为基础评估大学资讯中心之资讯安全管理-以淡江大学为例-信息管理学

I 淡江大学资讯管理学系硕士班 硕士论文 指导教授 : 黄明达 博士 : 以 799为基础评估大学资讯中心之资讯安全管理 A S 7799 A 究生 郭志贤 撰 中华民国九十二年六月 文名称：以 799为基础评估大学资讯中心之资讯安全管理 页数： 63 校系所组别：淡江大学资讯管理学系硕士班 毕业时间及提要别：九十一学年度第二学期硕士学位论文提要 研究生：郭志贤 指导教授：黄明达 博士 论文提要内容： 本研究以 799 资讯安全为基础，评估淡江大学资讯中心资讯安全的现况。 本研究采用个案研究，以深度访谈为主、其他相关资讯安全文件及资讯中心相关资料为辅，并尝 试找出资讯中心在资讯安全方面可以改善或加强的部份。 本研究发现资讯中心可以从以下方向来加强资讯安全管理： 法充分发挥全校多使用者，各行政业务和资料间的授权存取规定，可采用单一签入。 能。 关键字： 799、 7799、个案研究、资讯安全 A S 7799 A 3 799, 7799, 003 志 贤 黄 明 达 博 士 of of of in 1. up 2. To 3. by up a n in 4. of DS 录 中文摘要 . 英文摘要 . 本文目录 . 表目录 . V 第壹章 緒論 . 错误 !未定义书签。 第一節 研究動機 . 错误 !未定义书签。 第二節 研究目的 . 错误 !未定义书签。 第三節 研究對象 . 错误 !未定义书签。 第四節 研究限制 . 错误 !未定义书签。 第貳章 文獻探討 . 错误 !未定义书签。 第一節 799 . 错误 !未定义书签。 第二節 相關研究 . 错误 !未定义书签。 第參章 研究方法與設計 . 错误 !未定义书签。 第一節 研究方法 . 错误 !未定义书签。 第二節 訪談對象 . 错误 !未定义书签。 第三節 研究設計 . 错误 !未定义书签。 第肆章 研究分析 . 错误 !未定义书签。 第一節 資料蒐集方式 . 错误 !未定义书签。 第二節 資料分析結果 . 错误 !未定义书签。 第伍章 結論與建議 . 错误 !未定义书签。 第一節 結論 . 错误 !未定义书签。 第二節 建議 . 错误 !未定义书签。 參考文獻 错误 !未定义书签。 附錄 A 問卷統計資料 . 错误 !未定义书签。 附錄 B 訪談資料 . 错误 !未定义书签。 V 表目录 表 1 C 通報的安全事件次數 . 错误 !未定义书签。 表 2 安全弱點被通報的次數 . 错误 !未定义书签。 表 3 淡江大學資訊中心各組主要業務 . 错误 !未定义书签。 表 4 本研究相關議 題文獻 . 错误 !未定义书签。 表 5 十個控管要點一覽表 . 错误 !未定义书签。 表 6 各組在安全政策的完成程度（共 2 項） 错误 !未定义书签。 表 7 各組在安全組織的完成程度（共 10 項） 错误 !未定义书签。 表 8 各組在資產分類與管制的完成程度（共 3 項） 错误 !未定义书签。 表 9 各組在人員安全的完成程度（共 10 項） 错误 !未定义书签。 表 10 各組在實體與環境安全的完成 程度（共 13 項） . 错误 !未定义书签。 表 11 各組在通訊與操作管理的完成程度（共 24 項） . 错误 !未定义书签。 表 12 各組在存取控制的完成程度（共 31 項） 错误 !未定义书签。 表 13 各組在系統開發與維護的完成程度（共 18 項） . 错误 !未定义书签。 表 14 各組在企業永續運作管理的完成程度（共 5 項） 错误 !未定义书签。 表 15 各組在遵行法規的完成程度（共 11 項） 错误 !未定义书签。 表 16 各組達成度綜合整理（共 127 項） . 错误 !未定义书签。 表 17 各組短期目標 . 错误 !未定义书签。 表 18 各組中期目標 . 错误 !未定义书签。 表 19 各組長 期目標 . 错误 !未 定义书签。 以 799为基础评估大学资讯中心之资讯安全管理 第壹章 绪论 1 第壹章 绪论 第一節 研究动机 李盈德（民 91）提到，回顾近一年来，一连串的天灾人祸，使得企业面临雪上加霜的窘境，许多倚赖资讯系统为营运核心的产业，更在 更多企业在纳莉台风袭击下，核心资讯付绪东流，损失惨重，连攸关全国治安的刑事警察局，似乎也出人意表地被大水冲毁重要证物，令人不禁忧心，资讯安全之整体防护，是否正落入一种恶质的循环：为樽节支出缩减相关安全预算、忽略安全警觉，使得原已积弱的整体 资讯防护能力，更形脆弱，一旦任何意外发生，唯有坐视冲击扩大。 根据行政院主计处政府机关资讯安全问卷调查报告，针对232家机构，涵括行政机关占 72，事业单位占 15，学校或研究机构占 11；其中各单位的灾害经验中，电力中断占 62和病毒感染占 56最多，天然灾害占 25居次，骇客占 18与人为疏失占19；只有 13个单位占 5没有资安遭遇（行政院主计处，民 91年）。 从 发现安全事件急速增加， 2001年提报之安全事件为 52,000件， 2002年为 100,000件，2003年预估将急速增加到 200,000件，而未提报之案件 2001年为 410万件， 2002年为 790万件， 2003年预估将达 1590万件（行政院主计处，民 92）。 002全球资讯安全调查，发现有 87%的受访者表示曾受到安全性破坏，包括电脑病毒占 61%，垃圾邮件占 28%，阻以 799为基础评估大学资讯中心之资讯安全管理 第壹章 绪论 2 断式服务占 15%，软体损坏占 13%，网站遭入侵占 12%（ 2002）。 美国 学 以下 简称 C)是全世界处理资通安全的权威机构之一。依据该中心 2002年 1共接到204,841个电子邮件及 800通的热线电话，向其报告资讯安全事件或请求提供资讯安全相关资讯。 2002年 ,129个安全漏洞的报告，并且处理 82,094项资讯安全事件。历年的统计比较如 错误 !未找到引用源。 及 错误 !未找到引用源。 ，网路安全事件的次数大幅成长；而且大约有 95%的入侵事件都是利用大家所熟知的系 统安全弱点及系统组态错误，即使这些弱点都有解决对策，但是因未能及时补漏或不重视安全问题，致入侵者有机可乘（何全德 , 民 92）。 表 1 年 1998 1999 2000 2001 2002 次数 3,734 9,859 21,756 52,658 82,094 表 2 安全弱点被通报的次数 年 1998 1999 2000 2001 2002 次数 262 417 1090 2437 4129 近年来由于网际网路的蓬勃发展，企业对网路和资讯的应用依赖日深，相关的安全管理和风险意识 也成为企业营运的重要课题。安全管理在国内已进入评估与规画阶段，行政院国家资讯通信基本建设计画专案推动小组、主计处、研考会及经济部标准检验局等相关单位，皆积极协助公家机关和企业界导入 799/望藉助程序和标准落实资讯安全的管理层面；且 目前 799/此本研究决定以 799为基础对淡江大学资讯中心的资讯以 799为基础评估大学资讯中心之资讯安全管理 第壹章 绪论 3 安全作一评估。 第二節 研究目的 本研究希望能达到下列目的： 针对资讯中心现有的资讯安全管理环 境，作深入评估与分析。 针对各组不同的工作环境，提出最适的解决方案。 以导入 799为最终目标，订出可行的短、中、长期目标。 第三節 研究对象 淡江大学资讯中心，目前设有网路管理组、教学支援组、多媒体设计组、校务资讯组、专案发展组、作业管理组等共六组（淡江大学资讯中心，民 91）；共有 79人。资讯中心各组主要业务情况如 错误 !未找到引用源。 所示（淡江大学资讯中心，民 91）。 第四節 研究限制 本研究由于时间与环境的限制，采用单一个案研究。本研究 目的在于深入此一学术机构，研究所得之结果，可能因为每一个学术机构的背景有所差异，而有不同结果。 表 3 淡江大学资讯中心各组主要业务 组别 业务 网路管理组 网路资源系统之规划、建立、维护、效能评估及改进。 网路运作状况之监管、评估及改进，网路故障之研判及排除。 网路使用者之训练及谘询服务，及其他指定之网路应用相关事项。 校务 校务管理资讯系统之建立及维护，校务资料库之管理，安以 799为基础评估大学资讯中心之资讯安全管理 第壹章 绪论 4 资讯组 全保护及维护。 一般行政业务电脑应用程式之设计，及其他指定之校务相关电脑应用系统开发及维护。 教学支援组 一般电脑课程之教学、研 究、实习之支援与服务。 电脑实习室之设备管理及维护事项，个人电脑之保养及维修。 电脑专业训练之规划及执行相关事项，及其他指定之教学支援有关事项。 多媒体设计组 电脑多媒体系统之建立、维护、评估及改进。 协助电脑多媒体教材之编撰、设计与制作。 电脑多媒体有关之谘询服务，及其他指定之电脑多媒体应用相关事项。 作业管理组 主电脑设备之使用、资料管制相关事项及主电脑资料储存媒体之保管。 主电脑作业系统之建立、维护、效能评估及改进。 网路数据中心的管理，及其他指定之作业管理相关事项。 专案发展组 电脑专案应用系 统开发及维护，办公室自动化系统开发维护及谘询。 中文系统维护与新造字之申请处理，其他指定之应用系统开发及维护。 以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 5 第貳章 文献探讨 第一節 799 799是一套英国国家标准，由英国国家标准协会（ 制定，此项标准之主要目的在于定义及提供组织作为保护自身或客户关键资讯之机密性(完整性 (可用性 (管制方法。虽然此项标准系由英国初创订定，但现已被许多国家引用为资讯安 全之标准。 799的发展简史： 1995年英国公布 799 ； 1998年英国公布 799 I； 1999年英国公布新版 799 、I； 2000年 称 过成为 7799 ： 2000（王宇平，民 90）。它广泛地涵盖了所有的安全议题，可以适用于各种产业与所有的组织与机构，是一个非常详尽甚至有些复杂的资讯安全 标准（黄汉臣，民 90）。 799包含了所有面向的最先进企业安全政策，从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制，甚至包含防毒的策略（龙网科技，民 90；黄汉臣，民 90）。 799资讯安全标准内容主要可分成两个部分： （一）、 7799 为 2000年版的资讯安全管理实施准则 (其设立了产业最佳化与全面性的资讯安全管理准则，是 系统规范要求以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 6 的最佳运用指南，不能做为验证标准，内文一共 12个章节（ 2000；经济部标准检验局，民 91）。 （二）、 799 是 2002年版的资讯安全管理系统规范(也就是资讯安全管理系统详细说明书。它详述一个资讯安全运用与稽核所应遵循的架构，可为整个组织或部份单位之资讯安全管理系统评估的基准，也就是它可以做为一个正式验证的标准，包含了 4个章节与 10个控管要 点，它可以型塑 (用的时程，以 10个控管要点、 36项控管目标及 127项控管与评审要项来保证目标的达成（ 2002；经济部标准检验局，民 91）。 799是一套相当复杂的资讯安全应用与稽核的标准，但不外乎是所谓控管（ 观念，而所谓的 序、实施与组织化的架构，用来提供合理的保障使企业目标得以达成，并避免、侦测或修正无法预期事件所造成的后果。 龙网科技（民 90）及黄汉臣（民 90）提到 799是组织拟定安全策略须遵循 的标准，其导入是一件相当密集、艰巨且高成本的工作，因此在导入之前组织须有相当的决心与信心，更需要高阶主管承诺与支持，并且确实要求定期回报与追踪其进度，才能有实际的成效。而且之前的详细规划也是很重要的，这样可以让组织较顺利达成 799的目标与要求。最好从组织或企业现在的情况着手，依照自身的需求选取欲应用的标准，遵照 799的要求一步一步有计划的进行，才能在最短的时间内达成所期待的成果。 以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 7 第二節 相关研究 其他相关的资讯安全研究包括：使用资讯安全风险评估方式，讨论资讯安全的需求与无法落实的原因 (刘永礼 ,2002)；以 799为基础用问卷调查方式，分析本国银行及外商银行在资讯安全方面的运用现况 (曾淑惠 ,2002)；医疗院所的资安评比标准并同时对现况作一了解 (叶相妤 ,2002)； 799之验证机制与评审要项重作汇整(李庆民 ,2001)；以质性研究为基础的 7799 资讯安全管理关键重点之探讨 (吴俊德 ,2002)；搜集 7799:2000(799 )等国际资通讯安全规范、我国资通讯安全管理政策、现况及警政资通讯安全管理规定等文献，并以文献资料分析法交叉 比对、分析，比较现行警察资通安全管理规定 (王俊雄 ,2002)；资讯安全相关研究整理如 错误 !未找到引用源。 。 表 4 本研究相关议题文献 议题 篇名 作者 /年份 出版单位或期刊 内容概述 以B S 7 7 9 9为主轴相关论文 以 799资讯安全管理规范建构组织资讯安全风险管理模式之研究 刘永礼/2002 元智大学工业工程与管理研究所硕士论文 利用 799之规范，建立组织资讯安全之认知，在机密性、整体性及可用性三项指标下，以风险管理的角度，建立资讯安全风险评估方式。讨论资讯安全的需求与无法落实的原因，对资讯安全的风险进行有效管理；资料分析结果显示，以 799为基础之资讯安全风险管理模式，除了可以提供资讯安全事项的优先处理顺序与相关对策外，更可彰显示出组织资讯安全风险问题之所在。 (刘永礼 ,2002) 以 799为基础评估银行业的资讯安全环境 曾淑惠/2002 淡江大学资讯管理学系硕士班硕士以 799为基础用问卷调查方式，分析本国银行及外商银行在资讯安全方面的运用现况。利用研究中所列出各集群间资讯安全运用的差异项目，可做为集群平均数较低的 银行持续加强，以提升集群的参考依据。且发现在运用以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 8 论文 现况方面：本国银行及外商银行在资讯安全运用上最重视的三个控管要点依序为存取控制、实体与环境安全与系统开发与维护，而最需要加强是安全组织、遵行、安全政策方面的运用。 (曾淑惠 ,2002) 运用 799 检测医疗院所资讯安全管理作业文件之研究 叶相妤/2002 阳明大学卫生资讯与决策研究所 本研究希望找到适用于医疗院所的资安评比标准并同时对现况作一了解。在资安管理标准中英国标准协会之 799最为国际所接受，因此我们以 799为标准来检视各医疗院所之资安管理现况。受限于时间与资料取得之困难，仅针对各医院之个人资料档案安全管理办法以及 提供的六家医疗院所之资安政策范本作文件审核。审核的结果我们发现 799虽不是针对医疗环境所设计，但其控制项目大多适用于医疗环境。 (叶相妤 ,2002) 以 799为基建构资讯安全评选模式之研究李庆民/2001 国防管理学院国防管理研究所 本论文研究尝试将 799之验证机制与评审要项重作汇整，并透过四分量表与资讯自动化作业构建评选模式，可用以实施资讯系统相关之评核与评选依据。期藉本研究以 799为基础所建构资讯安全评选模式，可以将所有资讯安全各项评选要项进行量化评估，藉以得到最可靠的资讯安全水准，并据以全面提升资讯安全之共识，有助于企业组织之资讯系统安全获得保障。 (李庆民 ,2001) 7799 资讯安全管理关键重点之探讨 吴俊德/2002 中正大学企业管理研究所硕士论文 本研究以质性研究为之，并致力于提高信度与效度，以提升研究的品质。经一连串 的研究过程，发展出 8项命题，同时发现这些命题，于执行时有其顺序性，并与管理程序之规画、组织、领导、控制相互呼应。套用 80则，期望提供这 20%的关键重点，能为企业带来 80%的资讯安全成效。(吴俊德 ,2002) B S 7 7 9 9 : 002 本标准之制定乃为企业 经营者及其员工提供一项建置及管理一有效资讯安全管理系统（ 模式。影响资讯安全管理系统之设计与执行因素，包括安全与企业需求、目标、安全要求之结果、组织作业程序及组织以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 9 模与架构。并规范建立、实施、操作、监控、审查、维护及改进一份包含组织整体企业风险之文件化资讯安全管理系统之要求。并规范安全控制措施之实施要求；控制措施可依据个别组织或部分单位之需求加以调整。 (002) : of 000 本标准提供资讯安全管理的建议，使负责建立、实施或维护组织安全的人员得以利用。目的是提供共同的基础，以便发展组织安全标准及有效安全管理实务，并让组织间往来时能互相信任。从本标准挑选及使用建议时，应遵守相关法律及法规。 (000) 资讯安全 警政资通安全管理政策之研究 王俊雄/2002 中央警察大学资讯管理研究所硕士论文 搜集 7799:2000(799 )等国际资通讯安全规范、我国资通讯安全管理政策、现况及警政资通讯安全管理规定等文献，并以文献资料分析法交叉比对、分析，比较现行警察资通安全管理规定与 7799:2000(799 )等国际资通安全规范之异同及缺失，进而检讨现行警察资通安全组织现况及优缺点，再以问卷调查法测量各级警察机关资通安全设备、电脑及网路使用情形等警察资通安全现况，并以访谈法访问曾受 799 练之专家及警察资讯单位主管，调查导入7799:2000(799 )之优先顺序。 (王俊雄 ,2002) 资讯安全管理 万幼筠/2001 网路通讯 从四个向度及七个层面分析评估企业之资讯安全。 (万幼筠 ,2001) 资讯安全控管与侦防 何全德/1999 资讯安全通讯 从安全角度探讨资讯安全之控管与侦防，特别对电子化政府的资讯作业研提相关之建议，对相关之资讯安全控管与侦防需求亦有相当助益。 (何全德 ,1999) 行政 院及所属各机关资行政院主计处 /1999 为推动各机关强化资讯安全管理，确保资料、系统、设备及网路安全，保障民众权益，行政以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 10 讯安全管理要点 院研考会经参酌欧美等主要国家政府部门的资讯安全管理实务作业，并特别参考英国政府推动的资讯安全管理规范 799,于八十八年十一月十六日颁布的管理规范 ,以作为各机关建立资讯安全管理制度之依据。 (行政院主处 ,1999) 从企业资讯安全论备援系统的计划与实务 林俊铭/2002 中山大学国际高阶经营管理研究所 本研究探讨国内在资安备援计划方面的现况与实施的可能障碍。透过实地 的了解与负责人员的访谈，对于国内一些领导型产业的概况与其产业差异性有了进一步的了解。 同时，藉由公认的国际级资安标准 799，本文对于各个研究的个案也做了一次检验，希望能因此而有助于健全整体的资安环境，提升灾难备援防护观念。 (林俊铭 ,2002) 现代企业资讯安全之个案研究 黄旭男等/2000 科技管理学刊 以个案研究方式，深入检视现代化组织，于高度资讯化后，所面临之资讯安全问题。于案例中发现，组织欠缺明确资讯安全政策，是导致资讯安全面临严重威胁之最根本问题；而技术上，最大之困境在于不易藉由资讯系 统所提供之存取控制机制，充分完成组织众多使用者，与各类业务资料间之授权存取规定；此外，如何对资讯部门人员与资讯服务提供厂商，进行更有效之监督与稽核，不仅是技术上之难事，更是管理上一大挑战。 (黄旭男 ,2000) J./1994 出企业组织在发展安全政策时首先要确定目标，并调查需求、因应对策的选择以及考虑人为的因素。在安全政策实施方面，必须事先定义责任的区分，以及明文规定于文件中。在维护 及每日实行安全政策方面，必须随着系统资源的更新而调整，随着企业组织的变动而修改。 (J.,1994) A K. P./1995 出一安全政策的架构，包括四个策略：一、系统安全策略二、产品安全策略三、通讯安全策略四、整体资讯安全策略。 (K. P.,1995) 002 主要探讨多种会影响组织对资料安全的政策方向，最后提出一般对于资讯政策的需求。(002) 以 799为基础评估大学资讯中心之资讯安全管理 第貳章 文献探讨 11 799为基础评估大学资讯中心之资讯安全管理 第參章 研究方法与设计 12 第參章 研究方法与设计 第一節 研究方法 因本研究的动机及目的，旨在了解事实之真象及发掘其症结所在，继而提出改善之方法，因此采用个案研究。吴琮璠（ 1997）认为个案研究适合研究当前较新的、未曾有许多人研究或无坚强的研究理论的研究问题，且是现实环境演变下的研究问题。 第二節 访谈对象 根据吴琮璠（ 1997）的说法，分析单位乃决定于研究所欲探讨的问题，依研究重点 是在探讨个人、稽核单位等。此外，研究个案的多寡并不能代表品质的优劣，其不同的是多重个案以跨个案的分析，寻求共通性为主，而单一个案则是以个案的总合性为主。 本研究主要是探讨以 799资讯安全管理的标准来评估资讯中心目前的情况并探讨其原因，由于在资源取得上的困难，因此选择采用单一个案来设计。根据吴琮璠（ 1997）的说法，在个案研究中，需对为何选用公司（或单位、团体等）为研究对象加以解释。本研究选择淡江大学资讯中心为个案研究对象的主要原因有： 淡江大学资讯中心的规模够大（共有六组，人数达 79人）， 在全国各大专院校中具代表性。 资源取得的便利性，因指导老师任职于资讯中心，愿意提供相关资源。 该个案组织愿意全力支援访谈、观察和资料提供。 第三節 研究设计 以 799为基础评估大学资讯中心之资讯安全管理 第參章 研究方法与设计 13 本研究的调查表架构以 799之资讯安全管理系统验证规范为基础。采用 799第二部份的 10个控管要点为内容如 错误 !未找到引用源。 。 表 5 十个控管要点一览表 十个控管要点 (所含项目数 ) 一、安全政策 (2) 六、通讯与操作管理 (24) 二、安全组织 (10) 七、存取控制 (31) 三、资产分类与管制 (3) 八、系 统开发与维护 (18) 四、人员安全 (10) 九、企业永续运作管理 (5) 五、实体与环境安全 (13) 十、遵行 (11) 依据黄俊英（民 86）所说，深度访谈法可由访问员用结构性及直接方式，对受访者事先透露研究目的，然后进行访谈。为避免访谈过程中，讨论的内容脱离主题，徒然浪费双方宝贵时间，因而必须于事前拟定访谈大纲。 本研究的访谈策略，是事先告知受访者本研究目的，以及访谈时间，并预先将调查表给受访者，使受访者能预先作准备，并能在有限的时间内充分发言。 访谈过程及内容： 1. 预先将 799 查表（以下简称调查表）给受访者，并约定回收调查表时间及第一次访谈时间。 2. 于约定时间询问受访者调查表有无疑问处，回收调查表。 3. 将调查表作整理后，以 10要点为起始，询问受访者的观点和想法；再针对 127要项和受访者共同研讨原因。 4. 尽量在时间内，询问受访者想法和看法，并共同研讨对未来资讯中心实施资讯安全管理提供各自的目标和改善方向。 以 799为基础评估大学资讯中心之资讯安全管理 第肆章 研究分析 14 第肆章 研究分析 第一節 资料搜集方式 本研究的资料搜集在初级资料方面，是采用深度访谈与直接观察方式，以结构化问题来进行访谈。而在次级资料方面，举凡与 799、 讯安全管理相关 的文献资料或与淡江大学资讯中心相关的书面文件及网站资料均列为搜集范围。 第二節 资料分析结果 （一） 资讯安全控管要点分析表 从 错误 !未找到引用源。 到 错误 !未找到引用源。 为各组组长针对 799 十大类并统计各个程度的数量和百分比，可以知道各组在十类中的完成状况，而最后一栏的平均，可以清楚看出在资讯安全的项目中六组完成的比重？在表下方则是根据调查表的填写内容，对各组组长作深入访谈并共同研讨探究其原因，并将部分 重点摘要于上。 表 6 各组在安全政策的完成程度（共 2项） 网路 校务 教学 多媒 体 作业 专案 平均 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 1 0 0 0 0 0 0 0 2 0 0 0 0 0 0 0 3 0 0 0 0 0 0 0 4 0 0 0 0 0 0 0 51 50 2 100 0 1 50 1 50 0 1 50 0 2 100 1 50 1 50 2 100 799为基础评估大学资讯中心之资讯安全管理 第肆章 研究分析 15 网路管理组 ： 对组内的政策完成度很高，但资讯中心本身仍未有完整的资讯安全政策及目标，目前都是以组内自行订定为主，未来仍以主任室拟定的政策为主。 其他各组 ： 对组内政策完成度很高，但仍需由主任室订定全中心之安全政策及目标。 表 7 各组在安全组织的完成程度（共 10项） 网路 校务 教学 多媒 体 作业 专案 平均 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 1 0 4 40 0 4 40 3 30 0 0 0 0 0 0 0 0 3 0 0 0 0 0 0 0 4 0 2 20 3 30 0 0 0 8 80 4 40 7 70 5 50 4 40 2 20 5 50 62 20 0 0 1 10 3 30 8 80 网路管理组 ： 对于每一套新系统都有一定的执行顺序，但是并非全部由管理者自己去执行或亲身参与，而是交付给比较熟悉的人去执行，管理者再作检查的动作，严格来说这样是有安全上的暇疵；对于第三方存取，网路组并无法去拒绝任何人来使用网路，且各组仍未把各伺服器所订定的安全政策相关规范提供给网路组（如：哪些伺服器，只开放部份 些 伺服器是可以全部对外公开的，各组应把伺服器政策规范资料给网路组）（ 80%大部份完成） 。 校务资讯组 ： 认为资讯安全政策，应由上而下来推行，需有人来稽核（ 40%尚 未考虑 ）；目前正在实施的有灾后复原、异地备援和以 799为基础评估大学资讯中心之资讯安全管理 第肆章 研究分析 16 修补伺服器的漏洞，有关资讯安全的事宜都有在执行，只是还不够彻底；且在单独审核资讯安全政策执行状况方面，本组并未有此机制，（部份完成加上大部份完成共 60%）。 教学支援组 ： 主要以学生使用的实习室电脑和维修全校电脑为主（ 70%大部份完成） ，并没有非常机密性的设备和资料需防护（ 30%部份完成） 。 多媒体设计组 ： 全组组员对资讯安全的观念充足（ 60%大部份完成）， 在资讯安全政策方面并没有一个单独的审核机制，应先由主任室或设立稽核人员来制定（ 40%尚未考虑 ）。 作 业管理组 ： 该组认为到目前为止，并没有类似安全政策的执法机关（ 30%尚未考虑） 。 专案发展组 ： 由于资讯安全的面向很宽，且本组负责的面向也很宽，没有把握每一部份都达到十分完备；对大型组织的协调，以组来说并无足够能力协调跨部门会议。（ 20%大部份完成） ；另外中心可以设立稽核人员，负责整个中心的资讯安全及稽核事宜。 表 8 各组在资产分类与管制的完成程度（共 3项） 网路 校务 教学 多媒 体 作业 专案 平均 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 1 0 0 0 0 1 33 1 33 0 0 0 1 33 0 0 0 0 1 33 0 0 0 1 33 1 33 1 33 0 0 0 1 33 2 67 0 0 1 33 0 1 33 0 1 33 2 67 1 33 2 67 网路管理组 ： 由于网路设备的资产与登录已分散到全校各级单以 799为基础评估大学资讯中心之资讯安全管理 第肆章 研究分析 17 位，对于非本组内的网路设备，并无法直接管控（部份完成加上大部份完成共 66%） 。 校务资讯组 ： 在制作所有重要资产清册并维护方面，单以硬体来说其实已分的蛮清楚，但其他部份则没有非常完善（大部份完成67%） 。 教学支援组 ： 目前的设备有：软体伺服站的管理，主要牵涉到智慧财产权和人员授权使用，共有二台（台北和淡水校园各一台，并互为备援）；及实习室内供学生使用的 千多台，因数量庞大，仍无详细分类（规划中占 33%,部份完成占 33%） 。 多媒 体设计组 ： 本组最重要的资产大多属于无形资产（多媒体资料：包括网页、电子教材、简报资料）皆有作适当的管理（ 67%完全达成） 。在有形资产方面，都是以个人 软体属于一般网页制作、绘图等软体，并无需要作严格控管（ 33%规划中） 。 作业管理组 ： 资产分级和相关保护措施并非做的很完整，虽然有规定流程，但是使用者并不能彻底执行（大部份完成加上完全达成共 67%） ；而在中心内部组与组之间是同样等级，无法限制其他组的人一定要依正常程序来使用。 专案发展组 ： 在资讯分级、保护措施及电脑的资源分享都有一定规范（完全达 成 67%），但并无拟 定一套处理流程（尚未考虑 33%） 。 表 9 各组在人员安全的完成程度（共 10项） 网路 校务 教学 多媒 体 作业 专案 平均 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 个数 百分比 1 0 2 20 1 10 2 20 2 20 0 0 0 0 0 0 0 0 0 以 799为基础评估大学资讯中心之资讯安全管理 第肆章 研究分析 18 3 0 0 1 10 0 0 0 2 20 4 40 5 50 1 10 1 10 0 6 60 3 30 1 10 1 10 3 30 1 10 5 62 20 1 10 2 20 6 60 4 40 9 90 4 40 网路管理组 ： 在员工的训练方面，其实没有作到很确实，而且目前也没有一定的标准去衡量（部份完成 20%） ；对于监控事故与故障类型的机制都有相关流程，但是技术人员在填写时，并不是非常确实（大部份完成 60%） 。 校务资讯组 ： 在聘用人时有进行部份背景调查，但不在本组的权责范围（ 20%） ；在主要系统（校级主机）监控事故与故障类型都有记录，但是个人电脑就没有，不过在个人电脑内重要资料都有备份（部份完成加上大部份完成共 70%）。 教学支援组 ： 组内同仁皆有签订保密协定，但较缺乏组内资讯安全相关训练（部份完成 50%） 。 多媒体设计组 ： 应征属于人事室权责，且已多年不曾招考人，对于有无背景调查并不知情（尚未考虑 20%）；组内人员对资讯安全的教育训练有一定水准（完全达成 6