歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
組織制定資訊安全政策對資訊安全之影響(下)
2005 / 02 / 03
洪國興、季延平、趙榮耀
本研究(組織制定資訊安全政策對資訊安全之影響)依據資訊安全管理之「安全政策理論」(Security Policy Theory),提出「資訊安全政策模式」(Information Security Policy Model),此一模式基本組成為:組織特性、資訊安全政策之制定、實施與維護、資訊安全之提昇。其關係為:組織特性表達資訊安全需求,組織特性影響資訊安全政策,資訊安全政策影響資訊安全之提昇。如圖1所示。
研究假設
由實務上的觀察與文獻探討得知,不同的組織,有不同的資訊安全需求,對於制定資訊安全政策通常有不同的看法與作法,亦即不同的組織特性,對於資訊安全政策制定時間之早晚,以及政策制定的相關決策均有所不同。針對此,本研究形成以下假設:
1. 不同性質的組織,對於資訊安全政策制定時間會有影響。
2. 組織規模愈大,愈早制定資訊安全政策。
3. 組織運用資訊系統的歷史愈久,愈早制定資訊安全政策。
4. 組織設置資訊部門且層級愈高,愈早制定資訊安全政策。
5. 資訊組織規模愈大,愈早制定資訊安全政策。
6. 使用電腦系統架構,對於資訊安全政策制定時間會有影響。
「資訊安全政策」是組織資訊安全的最高指導原則,也是資訊安全的基礎建設,因此,組織資訊安全政策制定時間之早晚,資訊安全政策的功能定位,包括:資訊安全範圍的定義、資訊安全目標與策略的訂定、各階層對資訊安全責任的規範、監督遵守資訊安全的機制、及宣示未遵守資訊安全規章的後果等,均足以影響組織之資訊安全。針對此,本研究形成以下假設:
7. 組織資訊安全政策制定時間,對資訊安全之提昇會有影響。
8. 組織對資訊安全政策之功能定位,對資訊安全之提昇會有影響。
資訊安全政策的重心在於其執行。資訊安全政策的內容包括:政策目標、資訊安全標準、作業程序之建立與管控,資訊安全與企業營運的結合、安全意識的建立與增進、協調與整合、適用範圍、執行方法,這些都是資訊安全政策的重要內容,均足以影響資訊安全。針對此,本研究形成以下假設:
9. 資訊安全政策之內容,對資訊安全之提昇會有影響。
資訊安全政策的實施項目,或稱為子政策,為資訊安全政策最核心的部分,在ISO/IEC 17799之中,有詳盡的規範,包括:政策之制定、安全組織與職責、人員安全、資訊資產分類、實體及環境安全、系統規劃與操作安全、資料與媒體安全,通訊與網路安全、存取控制、系統開發與維護、業務持續運作管理、執行與遵守、及資訊稽核等政策,對資訊安全之影響當既深且遠。針對此,本研究形成以下假設:
10. 資訊安全政策實施項目,對資訊安全之提昇會有影響。
按資訊安全管理「安全政策理論」(Security Policy Theory),資訊安全係經由資訊安全政策之制定、實施與維護來實現,因此資訊安全政策之建立與評估維護係此一理論的重要環節,在管理程序中為規劃(Planning)與考核(Evaluation)的角色,對資訊安全自然有其貢獻。針對此,本研究形成以下假設:
11. 資訊安全政策建立與維護之程序與方法,都將影響到組織資訊安全之提昇。
研究結果
本研究採問卷調查法,調查對象為中華民國資訊經理人協會、中華民國資訊應用發展協會之會員,及政府資訊主管聯席會議成員等,共以E-mail寄出問卷645份,有效問卷為157份。
一、組織性質
分析結果顯示,組織性質之不同,會影響該組織資訊安全政策制定時間的早晚。
政府行政機關已制定資訊安全政策,且制定時間較早之傾向最高,其次為公營事業機構,再次為學校及研究機構,最低者為民間企業,顯示此一結果與政府重視資訊安全,公布資訊安全管理規範,明文要求各級機關應制定資訊安全政策,有極密切關係,而民間企業對資訊安全之重視,起步相對較晚。
二、組織規模
而「組織規模」的大小,與該組織「資訊安全政策制定時間」之間並無因果關係,概因「組織規模」的大小,人數之多寡,與組織所面臨的資訊安全威脅程度或資訊風險之高低,未成正相關,與組織「資訊安全政策制定時間」之早晚無因果關係,因此,不會因為「組織規模」的大小而影響組織「資訊安全政策制定時間」。
三、組織應用資訊系統的歷史
分析結果顯示,「組織應用資訊系統的歷史」與組織「資訊安全政策制定時間」之間無因果關係,概因組織應用資訊系統時間的長短,與資訊系統的複雜度,或資訊風險高低未成正相關,因此,不會因組織應用資訊系統歷史的不同,而影響到組織資訊安全政策制定時間的早晚。
四、設置資訊部門與層級
「設置資訊部門與層級」與「資訊安全政策制定時間」之間也無因果關係。概因,組織設置資訊部門與其層級的高低,與組織所面臨的資訊安全風險未必有關係,因此不會因為組織是否設置資訊部門與資訊部門之層級高低之不同,而影響組織資訊安全政策制定時間的早晚。
五、資訊組織規模
「組織資訊人力的多寡」,與組織「資訊安全政策制定時間」之間則有因果關係。由於資訊安全威脅許多係來自於組織內部,資訊人員也是最有能力危害資訊安全的人,在許多的研究中均顯示,非授權存取大部分都是來自於組織內部,而資訊人員又擁有比一般的使用者更高的權限及資訊技術能力,也更有機會接觸到敏感性、機密性的資訊,因此,資訊人員愈多,內部控制制度亦應愈嚴密,對於資訊安全政策之制定愈有需要,則組織愈會儘早制定資訊安全政策,據以實施,以提昇組織的資訊安全水準。
六、使用電腦系統架構
「使用電腦系統架構」與「資訊安全政策制定時間」之間無因果關係。亦即不會因為使用大型電腦主機(Mainframe Computer),迷你級電腦(Mini Computer)、Multi-user CP-LAN或其他電腦系統架構之不同,而影響組織「資訊安全政策制定時間」的早晚。以今日資訊科技環境,任何資訊系統架構都有資訊安全的問題,其組織「資訊安全政策制定時間」之早晚,顯然與其「使用電腦系統架構」為何無關。
七、制定資訊安全政策時間
組織「資訊安全政策制定時間」與組織「資訊安全之提昇」之間無因果關係。此結果與常理判斷似有不同,總認為組織「制定資訊安全政策」,必有助於「資訊安全的提昇」,然而若從以下四項有關資訊安全政策之功能、內容、實施與維護等對「資訊安全之提昇」的因果效應來看,即可知組織徒有「資訊安全政策」,也就是組織制定「資訊安全政策」雖甚早,而未能有效的付諸實施,其內容與程序未能真正符合組織資訊安全所需,恐未必真能促進資訊安全,亦即資訊安全政策「實質上的內容」重於「形式上的有無」與「制定時間的早晚」。
八、政策之功能定位
資訊安全「政策之功能定位」與組織「資訊安全之提昇」之間有因果關係。資訊安全政策愈能具備:規範資訊安全範圍、訂定目標與策略、規範各階層之安全責任、宣示未遵守規章的後果、監督執行政策的機制等功能,對組織「資訊安全之提昇」愈有幫助。
九、政策之內容
分析結果,資訊安全「政策之內容」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策之內容」愈能包含:安全政策目標,安全標準、作業程序之建立與管制,資訊安全與企業營運的結合,資訊安全認知的建立與增進,資訊安全協調與整合,資訊安全政策適用範圍,及資訊安全執行等,對組織「資訊安全之提昇」愈有幫助。
十、政策實施項目
資訊安全「政策實施項目」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策實施項目」愈完整,其項目包括:資訊安全政策之制定與修正,資訊安全組織與權責,人員安全管理與教育訓練,資訊資產分類,實體及環境安全,系統規劃與操作安全,資料與媒體安全,通訊與網路安全,存取控制,系統開發與維護安全,業務持續運作管理,資訊安全執行與遵守,資訊稽核等,對組織「資訊安全之提昇」愈有幫助。
十一、政策建立與維護之程序與方法
資訊安全「政策建立與維護之程序與方法」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策建立與維護之程序與方法」愈完整周延,包括:嚴格定義其範圍,高階管理者的支持與核定,進行風險評估或衝擊分析,組織內部各階層的有效溝通及建立安全意識,政策內容的周延與完整,與業務主管部門的溝通與協調,政策的落實執行,政策之定期檢討與修正,當發生重大安全事故的檢討修正,當組織出現新的安全漏洞的檢討修正,當組織或技術基礎結構發生變化時之檢討修正,對資訊安全與工作效率、成本與效益求取平衡等,對組織「資訊安全之提昇」愈有幫助。
結論與建議
因此,組織性質之不同,政府行政機關、公營事業機構,資訊部門規模愈大,愈較早制定資訊安全政策,而組織欲求「資訊安全之提昇」,也應從強化資訊安全「政策之功能定位」、「政策之內容」、「政策實施項目」與「政策建立與維護之程序與方法」等資訊安全政策實質面下工夫,才能見效。
往後的研究,建議可採隨機抽樣或分層隨機抽樣,強化研究的外部效度。其次,可擴大研究構念,考量組織行為或領導行為對資訊安全政策之影響,發展更完備的資訊安全政策研究模式。此外,資訊安全尚有風險管理理論、控制稽核理論、管理系統理論、權變理論與整合系統理論可繼續研究。
最後,提出幾點對實務界的建議做為結束:
1. 組織為達成資訊安全的目標,應建立資訊安全政策,並經資訊安全政策的制定、實施與評估維護,以提昇組織的資訊安全。
2. 資訊安全政策之制定,應重視其政策的實質內容,形式可不必過於計較。
3. 組織規模愈大,資訊人員愈多,愈有必要制定資訊安全政策。
本文改寫自洪國興(現任監察院綜合規劃室主任)、季延平(國立政治大學資訊管理學系副教授)、趙榮耀(淡江大學管理科學研究所教授)所合著「組織制定資訊安全政策對資訊安全影響之研究」,相關參考文獻請參考該研究全文。
資訊安全政策
最新活動
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
趨勢科技與Palo Alto Networks 發布多項重要安全更新
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話