具有或闸失误树于银行批次作业之风险模式建构-国立空中大学.PDFVIP

國立空中大學管理與資訊學系 ．1 管理與資訊學報，民 98 ，14 期，1-48頁 具有或閘失誤樹於銀行批次作業之 風險模式建構 陳俊德 華梵大學資訊管理系所副教授 張明松 華梵大學資訊管理系所碩士 摘要 傳統銀行夜間批次作業管控，常常遇到不可預期的資訊安全威脅 風險，由於缺乏深入分析與探討各項資安事件發生原因，與剖析對銀 行資訊資產衝擊做出明確定義，造成無法採取有效的資訊安全管理政 策。 本研究擬建立一套有用且有效風險評估模型，這模型特色是將數 種風險評估方法中部分互補技術與特點加以整合，以 AS/NZS 4360 與 ISO27001 為風險管理程序的基礎。 這模型首先收集資訊安全事件的資料，使用改良之 HAZOP 方法 分析危害原因，分析過程中利用統一朔模語言（Unified Modeling Language ，UML ）使用案例（Use Case ）觀點，加以描述劇情以建構 威脅模式狀態轉換圖，以找出 24個發生原因。 第二步驟以使用主成份分析（ Principal Component Analysis ， PCA ）從發生原因的資料矩陣中，萃取出數個的主成份（以不同危害 等級加以命名），建立評估準則之層級結構，提供銀行管理者有效資 訊作風險排除，以及作為建立批次作業資訊安全多準則風險評估模式 的基礎。 第三步驟以主成份分析後的構面與準則，來產生具有或閘的失誤 - 1 - ．2 具有或閘失誤樹於銀行批次作業之風險模式建構 樹（ FTA ），再透過發生原因的資料矩陣來推估出失誤樹中每一基本 事件的可能發生機率，最後利用失誤樹（ FTA ）或閘（Or Gate ）計算 可以估得頂端事件的發生機率，完成一個有效的 FTA風險評估模式。 最後本研究以銀行個案為例，經本式實際實施後，可協助管理者 數種資訊安全政策進行方案評選，經驗證並修改夜間批次作業控管政 策，確實能改善現有夜間批次作業控管機制。 關鍵詞：資訊安全（ IS ）、風險評鑑（RS ）、失誤樹（FTA ）、主成份 分析（PCA ）、危害分析（HAZOP ）。 - 2 - ．3 管理與資訊學報，民 98 ，14 期 Fault Tree Analysis for the Risk Model in the Batch Processing of the Banking Industry Chun-Te Chen Associate Proftssor, Department of Information Management, HUAFAN University Ming-Song