h企业资讯安全风险评估.docVIP

企業資訊安全風險評估 傅豐玲 國立政治大學資訊管理系 flfu@nccu.edu.tw 洪裕傑 國立政治大學資訊管理研究所nccu.edu.tw 郭國泰 國立政治大學企業管理研究所 g1355506@nccu.edu.tw 摘要 隨著網際網路的快速成長，資訊安全已成為企業最重視的議題之一。企業必須保護自己免於網際威脅(Cyber-Threat)，不過防止企業免受網際威脅已非易事，這也為企業資訊安全風險埋下了一顆不定時炸彈。換句話說，資訊安全風險是現今企業所面臨的主要挑戰之一，企業資訊安全防護的好壞將直接反應在企業的盈虧上，甚至可能影響到顧客對該企業產品或服務的滿意度等，對企業的殺傷力是不容忽視的。目前的防毒軟體(Anti-Virus)與威脅管理系統(Threat Management System)所能提供的基本功能都是大同小異，其效能也在伯仲之間，但是企業使用的成效則大不相同。因此如何掌握左右企業資訊安全風險的主要影響因子，並根據該影響因子提供企業一套資訊安全策略以解決其所面臨的風險與使得金錢上的損失降到最低，將是改善企業資訊安全風險的關鍵成功因素。 本研究首先透過與五位企業安全維護有實務經驗的專家訪談，了解資訊安全之重要影響因素並不在於投入防毒軟體的預算金額，反而是企業的資訊安全策略類型，如使用者與資訊安全人員關係型態、資訊安全人員的素質、高階主管對資訊安全政策的支持之類因素更重要。 接著藉由問卷調查，以國內某著名防毒軟體客戶為樣本，發出1910份郵寄問卷與網路問卷邀請email信，共回收102份有效問卷，回收率5.3%。問卷共分為兩大部份：組織特徵（包括公司背景、過去三年病毒感染情形、防毒系統、資訊安全管理現況）及防毒能力評估（防毒軟體的使用、監控與過濾、追蹤裝置、區隔網路等四類防毒技術的使用，與弱點管理、病毒碼部署、帳號管理、應用程式與網路使用的權限、回應與恢復程序等五類安全程序政策，組織的責任與能力、組織的順從、對教育訓練的重視等三項組織因素）。以「病毒爆發數量」、「病毒爆發影響嚴重性」、「偵測病毒數」與「偵測感染事件事」為應變數，以公司概況及防毒能力評估各變項為自變數進行單因子與多因子變異數分析，分析結果顯示組織大小及防毒軟體的使用、弱點管理、帳號管理等安全程序政策是影響「病毒爆發數量」的重要因素；組織大小、網路管理等組織特徵，防毒軟體的使用、弱點管理、病毒碼部署等安全程序政策及教育訓練等是影響「病毒爆發影響嚴重性」的重要因素；組織大小與防毒軟體的使用、監控與過濾等防毒技術的使用，弱點管理影響「偵測病毒數」的重要因素；組織大小、弱點管理、與教育訓練等是影響「偵測感染事件數」的重要因素。 本研究藉由分析企業在資訊安全所面臨到的風險，得以建立並發展相關評量的模型，研究結果除了可以提供廠商與設計人員在開發企業資訊安全風險評量時參考的依據，也為後續的相關實證研究提供一些建議的方向。 關鍵字：資訊安全、病毒、網路威脅、弱點管理 三．多项选择题 1、监督的主要功能是（ABCD ） A、预防功能 B、校正功能C、制约功能 D、救济功能 2、以监督监督划分为监督监督监督）群众监督A．监御史九条B．刺史六条 C．察吏六条D．《巡察条例》 2．元代的监察法规包括（ ACD ）等。 A. 《宪台格例》 B. 《监察御史失察法》 C. 《察司合察事理》 D. 《行台体察等例》 1．人民代表大会监督的范围包括(ABC ) A.对行政机关进行的监督B.对司法机关的监督 C.对本级人大常委会和下级人大及其常委会的监督 D.对本级及下级党委的监督 2.在各级人民代表大会闭会期间，各级人民代表大会常务委员会根据工作需要，选择专门事项听取行政机关、审判机关和检察机关的报告。这一监督方式的主要特点是（ABCD ） A.经常性 B.广泛性 C.针对性 D.及时性 3.对审判机关和检察机关的执法监督包括以下方（ABCD） A.对审判机关行使职权情况进行监督 B.对检察机关行使职权情况进行监督 C.对司法程序进行监督D.对具体案件进行监督 4.县级以上人民代表大会常务委员会受理公民和组织的（BCD ）是国家权力机关进行监督的重要方式之一。 A.上诉 B.申诉 C.控告 D.检举 1．党组织监督的特征是(ABCD )。 A.层级性与系统性B.单向性与相互性 C.强制性与有效性D.全面性与广泛性 2.党内监督的主体主要包括（ABCD ）。 A.党的各级委员会及其委员B.党的各级纪律检查委员会及其委员C.党员D.党的各级代表大会代表。 3.党内监督的对象包括（ ABCD ） A．党的各级领导机关领导干部1、检察机关的法律监督具有如下特征（ ABCD ） A、检察