應用能力成熟度整合模式改善資訊安全管理.pdfVIP

品質學報 Vol. 15, No. 3 (2008) 223 應用能力成熟度整合模式改善資訊安全管理 * 廖岳祥 許家凱 亞洲大學資訊科學與應用學系 (95/11 收件；96/08 修改；96/10 接受) 摘 要 近年來資訊安全開始受到企業的重視，但經常礙於管理系統上的規劃不良，使得企業在實行導 入及後續驗證時，遭遇到許多原本應可避免的問題。本研究應用能力成熟度整合模式中，有關建構 及風險管理兩項流程領域，將資訊安全管理系統條文模式化，並配合系統要求及相關的文獻標準，透 過輔助軟體的模擬，經由規劃、執行、檢查及改進等步驟逐次展開。在個案導入後評估結果，得到 兩項結論：(1) 將資訊資產的安全與風險數量化後，可明確得知管理目標及方向；(2) 與建構管理模 式結合後，更易於管理及溝通。 關鍵詞：資訊安全、能力成熟度整合模式、建構管理、風險管理 於 CMMI 的相關研究甚少，因此，實有必要對 1. 前言 CMMI 之內涵做深入的探討。 隨著資訊科技的快速進步，企業 e 化的程度 本研究的主要動機，是針對如何將資訊安全 也 隨 之 提 高 。 從 企 業 資 源 規 劃 (Enterprise 的管理，用一套容易配合 CMMI 管理的架構模 Resource Planning, ERP) 、供應鏈管 (Supply 型，使其能落實在企業或組織內。對資訊安全管 Chain Management, SCM) 、再到客戶關係管 理系統的要求，以條文式的流程模式來研究與整 (Customer Relationship Management, CRM) ，莫不 理，並透過個案的步驟化模擬導入，以深入研究 強調要與電腦資訊相結合。當企業愈來愈倚賴資 本管理系統的模式架構及其管理精神之所在。 訊科技的協助時，也就更顯示出資訊的價值之所 設計及使用軟體介面做輔助，使個案導入此 在，而一場災難或一個離職員工，都可能引發企 系統更方便，資訊安全的稽核更容易，管理更落 業的嚴重損失，甚至造成企業持續經營的困 實，並與個案做過程與綜合討論，以瞭解此系統 難，而這些事件我們也時有所聞。因此，如何將 導入所發現的問題與建議，給後續要導入此系統 企業可能的損失納入掌控，是經營管理者所必須 的 企 業 及 研 究 者 一 個 參 考 ( 賴 志 迢 等 人 正視的課題。 譯，2004 ；中央標準局，2002a ；英國標準協 自 從 我 國 加 入 世 貿 組 織 (World Trade 會，2005) 。 Organization, WTO) 之後，台灣產業已面臨更嚴 本研究主要是針對現已通過能力成熟度整 厲的全球化競爭，必須爭取到國際大廠長期合 合模式 (Capability Maturity Model Integration, 作，才能大幅提升競爭優勢。但想爭取到合作的 CMMI) 第二級認證的企業。而本個案研究之敘 機會，必須要通過國際上公認的軟體發展能力成 述，由於研究者 和受訪者有長時 間且密切接 熟度的審核標準。關於認證系統的研究，國內的 觸 ，可與個案之組織發展出較融洽的關係。因 許 多 研 究 ， 皆 限