論文使用權限 Thesis access permission:校內校外完全公開 unrestricted
開放時間 Available:
校內 Campus: 已公開 available
校外 Off-campus: 已公開 available
論文名稱 Title |
探討資通安全管理法實施對防禦供應鏈攻擊之有效性 Discussing the Effectiveness of Defending Supply Chain Attacks after Implementing Cyber Security Management Act |
||
系所名稱 Department |
|||
畢業學年期 Year, semester |
語文別 Language |
||
學位類別 Degree |
頁數 Number of pages |
72 |
|
研究生 Author |
|||
指導教授 Advisor |
|||
召集委員 Convenor |
|||
口試委員 Advisory Committee |
|||
口試日期 Date of Exam |
2022-07-14 |
繳交日期 Date of Submission |
2022-07-15 |
關鍵字 Keywords |
供應鏈攻擊、資通安全法、委外資訊服務、ISO 27001、SOC Supply Chain Attack, Information Security, Outsourced Information Service, ISO 27001, SOC |
||
統計 Statistics |
本論文已被瀏覽 493 次,被下載 161 次 The thesis/dissertation has been browsed 493 times, has been downloaded 161 times. |
中文摘要 |
駭客的攻擊方式,從單一攻擊到發展至更為成熟的網路犯罪,手法越來越多,除了防禦機制需要不斷更新,更需要一套適合的資安法規來因應不斷變化的資安威脅,這也是各國資通法令的發展趨勢。 隨著台灣資通法的立法,內容跟規範讓資安管理比ISO 27001提高,不禁讓我們思考,對於那些人力不足、技術管理網路環境的企業,資通法是帶來幫助,還是如同以往般應付稽查性質的例行作業方式,反而增加了資訊人員管理負擔。 因此我們可以發現因為人力資源不足,而委外辦理的供應鏈資訊服務隨之增加,也更容易發生難以預防的資安問題。 所以本研究想以透過個案方式,並以資安法要求規範做驗證,除了分析對於供應鏈安全是否能有效管理,也提出可能性的建議調整方案。 |
Abstract |
Hackers' attack methods, from a single attack to a more sophisticated cybercrime,There are more and more tactics,so new defense mechanisms are needed to respond. Therefore, enterprises need a set of suitable information security regulations to cope with the ever-changing information security threats. The same is true for the trend of countries around the world. With the legislation of Taiwan's Information and Communication Act, the content and specifications have improved information security management compared to ISO 27001. Let's think about whether the Information Access Law will help those companies with insufficient manpower and technology to manage the network environment, or will it be the usual way of coping with auditing routine operations, which also increases the burden of information personnel management. Therefore, we can find outsourced supply chain information services due to insufficient human resources,With the increase, there have also been an endless stream of information security incidents.Therefore, this study intends to verify through the case-by-case method and the requirements of the Information Security Law. In addition to analyzing whether the security of the supply chain can be effectively managed, it also proposes a possible adjustment plan. |
目次 Table of Contents |
目錄 論文審定書i 誌謝ii 摘要iii Abstractiv 圖次vii 表次viii 第一章、研究背景、動機、目的1 第一節、研究背景1 第二節、研究動機2 第三節、研究目的3 第二章、文獻探討4 第一節、有關供應鏈攻擊模式探討4 供應鏈攻擊模式4 第二節、我國資通安全法令與規範5 ISO/CNS 27000系統系列資安標準5 資通安全管理法與子法6 第三章、研究設計及方法7 第一節、研究設計7 第二節、研究方法8 資訊系統委外管理9 研究個案說明9 第三節、法令探討11 法令概觀ISO27001及與規範項目11 法令概觀:資通安全法及規範項目12 第四節、供應鏈攻擊手法探討及分析13 技術面探討供應鏈攻擊防範之有效性分析13 ISO27001規範項目說明15 資通安全法規範項目說明18 資安健診及日誌管理分析18 資安威脅情資應用、社交工程演練21 WAF、APT、EDR、SOC資安監控23 GCB組態基準、VANS政府資安弱點通報27 各國資通法令分析30 第四章、個案研究及資料分析32 第一節、個案一:供應鏈資安事件32 第二節、個案二:供應鏈攻擊事件35 個案二供應鏈攻擊過程及記錄36 第三節、個案對於供應鏈資通法令防範探討41 本案供應鏈攻擊與ISO27001有關之條文及控制項42 本案供應鏈攻擊與資通法有關之條文42 ISO27001及資通法對於供應鏈攻擊技術性項目分析43 第四節、資料結果分析48 研究分析及問題解決方向48 ISO及資通法與供應鏈法規及技術性列表分析48 研究結果53 第五章、結論及未來研究方向58 委外越多,造成的資安風險越高?58 資通法於專職(責)人力所面臨的實際問題59 資通法應明訂有關第三方稽核事項60 ZERO TRUST的重要性61 建議及未來研究方向62 參考文獻63 |
參考文獻 References |
參考文獻 1.國家資通安全發展方案(110年至113年)民國110年02月23日發行 資料來源:行政院國家資通安全會報 (https://nicst.ey.gov.tw/Page/296DE03FA832459B/e5eb620d-dae2-40ae-85d5-264955863506) 2.ISO/CNS 27000系統系列資安標準,專題報導 期別:第125期 出版日期:107年6月15日(https://fsms.bsmi.gov.tw/cat/epaper/0706.html) 3.ISO/IEC 27000系列, 資料來源:維基百科 (https://zh.wikipedia.org/wiki/ISO/IEC_27000%E7%B3%BB%E5%88%97) 4.資通安全管理法,民國107年06月06日,資料來源:全國法規資料庫 (https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297) 5.資安管理法,資通安全管理法草案,民國 106 年 04 月 28 日、資通安全管理法及子法彙整版(1100914更新)民國110年09月14日 (https://nicst.ey.gov.tw/Page/EB237763A1535D65) 6.陳仕弘,我國資通安全管理法之探討-以規範對象為中心,The Discussion about Governing Object of the R.O.C Information Communication Security Managemnnt Act,嶺東科技大學,民國108年6月 7.Wikipedia,Supply chain attack https://en.wikipedia.org/wiki/Supply_chain_attack 8.NISTIR 8276 Key Practices in Cyber Supply Chain Risk Management: Observations from Industry https://csrc.nist.gov/News/2021/nistir-8276-key-practices-in-c-scrm 9.調查局首度揭露國內政府委外廠商成資安破口的現況,資料來源:iThome網站https://www.ithome.com.tw/news/139504(2020-08-19發表) |
電子全文 Fulltext |
本電子全文僅授權使用者為學術研究之目的,進行個人非營利性質之檢索、閱讀、列印。請遵守中華民國著作權法之相關規定,切勿任意重製、散佈、改作、轉貼、播送,以免觸法。 論文使用權限 Thesis access permission:校內校外完全公開 unrestricted 開放時間 Available: 校內 Campus: 已公開 available 校外 Off-campus: 已公開 available |
紙本論文 Printed copies |
紙本論文的公開資訊在102學年度以後相對較為完整。如果需要查詢101學年度以前的紙本論文公開資訊,請聯繫圖資處紙本論文服務櫃台。如有不便之處敬請見諒。 開放時間 available 已公開 available |
QR Code |