中 文 摘 要
本研究出發點的動機，原藉由個案公司的災難回復計畫 (Disaster Recovery Plan) 之探討來思索其在資訊安全上的扮演的專業角色，以提出個案模式加以論討。 然在本研究過程中，發覺出資訊安全的國際上普遍遵守的規範 BS 7799-2、ISO 17799及我國 CNS 17799的制訂。由企業廠家問卷調查上的探討與研究，在在顯示了資訊安全全面性的到臨與建構，其極有可能成為 ISO 9000，QS 9000等認證的下一企業風潮。

由個案公司1978年CTS總公司首度發生火警，發現各功能委員會以非正式方式制訂的條例，無法有效整合發揮功效，第一份 Emergency Plan乃於1980出爐，同年修訂為 Contingency Plan / Emergency Response Plan 爾後展開「災難備援方案」(Disaster Recovery Planning) 並正式列入公司頌佈的遵循政策與執行步驟。

針對影響資訊安全的風險評估，舉實證比較說明其重要性。並對國內外最近幾年來重大影響資訊整體性運作事故，依其發生時間順序，做一番有系統的整理報告。 針對資訊安全事件探討與企業因應之道，提示產官學的看法，對資訊安全範圍提出研究報告並對管理系統的安全提出進一步論述。最後對BS 7799-1、BS7799-2、ISO 17799 提出完整的整埋與比較分析。 條列出 10 個大類、36 個控制目、127個控制項目及ISO 17799 八大內容摘要詳文。

比較國際各資訊安全標準與CTS Corporation差異性及探討發展資訊安全四個階段步驟：資訊安全政策、文件化與實施、風險管理運作、資訊安全管理系統。並佐以個案研究公司的營運持續的稽核問卷內容為實證。

彙總前幾章研究內容，勾勒出三大構面「週遭環境事物」五項議題， 「災難回復計畫」七項議題及「經營持續計畫」六項議題。彙編出個案公司「災難回復計畫制定構面模式」七個執行步驟及四項驗證方法模式，做為總結。

Abstract

The motive of thesis is trying to find out the role of information system security via the researching company – CTS Corporation’s disaster recovery plan and present a model to discuss with that. While through the researching procedure, we found out that most of information security systems obey the BS 7799-2 and ISO 17799 even the CNS 17799 in the world. Through the help of investigation of the questionnaire, all evidence just show out that how to construct and recognize the information security system is the issue and trend for enterprise to do after the ISO 9000 and QS 9000.

Since 1978, the case study company, CTS Corporation has had fire and evacuation procedures, which were informally supported by various committees. An emergency plan, which was issued March 24, 1980, incorporated the functions of these committees and provided more formalized procedures for responding to emergencies. The emergency plan was later reissued as know of “CTS Corporation Disaster Recovery Plan” as one of policy to be followed.

In thesis, widely discuss the risk and evaluation of information security and show up some of major case of the information security for domestic and international by sequence of the date. Present some of overview from industry、government and academic how to face such of information security around the enterprises. Final conduct of 10 control sets, 36 control subjects and 127 control items with 8 abstracts of ISO 17799 introduction from BS 7799-1 and BS 779902 with comparison of ISO 17799 totally.

Compare and distinguish the variance from CTS Corporation and those of international standard for the information security system, we deploy 4 steps of development the information security system as of: Information Security Policy; Documentation and Implementation; Risks Management and Information Security Management Security (ISMS). Provide evidence of questionnaires of the case study company.


Summary three of dimensions for five(5) issues of “Environment & Infrastructure”, seven(7) issues of “Disaster Recovering Planning” and six(6) issues of “Business Contingency Planning” to conduce a Disaster Recovery Planning’s Deployment Model for seven steps of four scenario as a conclusion.

本　文　目　錄
第一章 緒論……………………………………………….. 1
第一節 研究背景…………………………………………. 3
第二節 研究動機…………………………………………. 9
第三節 研究目的…………………………………………. 11
第四節 研究方法及範圍………………………………… 13
第五節 研究流程與步驟………………………………… 15
第二章 文獻探討…………………………………………. 16
第一節 影響資訊安全的風險評估……………………. 16
第二節 BS 7799 標準及其制定……………………….. 29
第三節 ISO 17799 標準及其制定…………………….. 54
第三章 災難應變計畫策略與執行…………………….. 65
第一節 應變計畫敘述…………………………………… 65
第二節 資訊安全政策…………………………………… 68
第三節 文件化與實施…………………………………… 72
第四節 風險管理運作…………………………………… 80
第五節 資訊安全管理系統…………………………….. 84
第四章 資料分析與結果……………………………….. 90
第一節 研究取樣………………………………………… 90
第二節 敘述性統計資料……………………………….. 92
第三節 災難應變處理分析…………………………….. 103
一、 週遭環境事物(Environment & Infrastructure)…. 103
二、 災害回復計畫(Disaster Recover Planning)……. 108
（一） 災難備援方式攸關回復時間………………… 108
（二） 委外服務與自我建置觀點…………………… 109
三、 營運持續計畫(Business Contigency Planning)…. 119
四、 問卷調查構面分析總結………………………. 127
第五章 結論與建議……………………………………… 129
第一節 研究結論………………………………….……… 129
第二節 研究限制……………………………………….… 132
一、 研究方法的限制…………………………….….. 132
二、 資料提供者之偏差（Bias）…………….……. 132
三、 時間地域限制…………………………………... 132
四、 樣本數的限制…………………………………... 132
五、 資料的取得與版本更新……………………….. 132
第三節 研究貢獻…………………………………………. 134
第四節 後續研究建議…………………………………… 136
參考文獻 中文部份…………………………………………. 138
英文部份…………………………………………. 143
附錄 １ 問卷調查 - 災難救援回復計畫在資訊安全影響探索…………………………………………. 147


圖　目　錄
圖1-1 CTS Remote Telephone Field Set (RM-29)…… 4
圖1-2 CTS Corporation Global Manufacturing geographic location…………………………….. 6
圖1-3 研究流程圖………………………………………. 15
圖2-1 產業營運中斷時間影響表…………………….. 18
圖2-2 資訊安全範圍……………………………………. 28
圖2-3 資訊安全風險評估流程……………………….. 32
圖2-4 BS 7799第3章第2節, 建立一個管理架構… 37
圖 2-5 ISO/IEC 標準制定程序………………………… 55
圖 3-1 發展資訊安全四個階段步驟………………….. 68
圖 3-2 資訊安全政策的施行…………………………… 69
圖 3-3 CTS 減低風險政策四大目標…………………. 83
圖 3-4 組織建立ISMS………………………………….. 86
圖 4-1 問卷調查行業別總覽分佈…………………….. 94
圖 4-2 問卷調查行業別資本額分佈………………….. 94
圖 4-3 問卷調查行業別員工人數分佈……………….. 80
圖 4-4 問卷調查資訊部員工編制分佈……………….. 95
圖 4-5 問卷調查中高階層推動影響力……………….. 96
圖 4-6 問卷調查中主要電腦主機廠商運用分佈…… 90
圖 4-7 問卷調查中企業備援需求種類分佈…………. 99
圖 4-8 問卷調查中備援需求預算分佈……………….. 101
圖 4-9 問卷調查備援需求導入計畫時程分佈………. 102
圖 4-10 問卷調查中備援計畫導入專案中角色………. 102
圖 4-11 資訊中心建構在危險地區調查……………….. 105
圖 4-12 災害地理環境因素調查………………………… 105
圖 4-13 資訊中心內部管控嚴謹程度調查……………. 106
圖 4-14 公司災難應變回復計畫存在否調查…………. 111
圖 4-15 災難應變回復計畫實施有效性調查…………. 112
圖 4-16 災害業衝擊損失分析調查…………………….. 113
圖 4-17 重要業務資料之備份調查…………………….. 114
圖 4-18 資料備份的完整性與完備性………………….. 115
圖 4-19 備份資料及時性及教育性…………………….. 116
圖 4-20 災後關鍵及時性資訊系統持續運作調查…… 121
圖 4-21 系統停擺對企業活動的衝擊與評估調查…… 122
圖 4-22 營運持續計畫內部管控及變更調查…………. 123
圖 4-23 災難發生資訊系統迅速回復信心度調………. 124
圖 5-1 資訊安全架構下的災難回復計畫構面………….. 131


表　目　錄
表 2-1 國內外資訊系統停止運作對企業影響程度比較表……………………………………………….. 17
表 2-2 國內外最近幾年來重大影響資訊整體性運作事故……………………………………………….. 20
表 2-3 近來來企業安全範疇拓展發展階段…………. 27
表 2-4 BS 7799-2：1999 的4個章節內容摘要……. 34
表 2-5 BS 7799-2:1999 10大控制集，36個控制目標 38
表 2-6 BS 7799-2:1999 10大控制集，127個控制項.. 42
表 2-7 BS7799/ISO17799 資訊安全管理10大準則之架構……………………………………………. 57
表 2-8 ISO-17799簡介及其內容摘要……………….. 57
表 2-9 ISO-17799 資訊安全管理的10大類別…….. 62
表 3-1 資訊應變計畫CTS與各標準機構發行年代比較表…………………………………………….. 65
表 3-2 CTS Corporation vs BS 7799 / ISO 1799 就政策涵意構面……………………………………. 71
表 3-3 CTS Disaster Recover Plan vs. BS 7799-2….. 75
表 3-4 CTS 存取控制稽核問卷……………………….. 76
表 3-5 存取控制BS 7799-2與CTS之比較…………. 79
表 3-6 CTS 風險評估vs. BS 7799-2控制集……….. 82
表 3-7 CTS Corporation 營運持續部分的稽核問卷調查……………………………………………….. 87
表 4-1 E-mail 問卷調查全部樣本數…………………. 91
表 4-2 行業別營運資料………………………………… 92
表 4-3 硬體基本設施與計畫…………………………… 97
表 4-4 災難應變處理－週遭環境事物構面分析. 104
表 4-5 災難應變處理－災害回復構面分析 110
表 4-6 災難回復與營運持續計畫行為模式比較 119
表 4-7 災難應變處理－營運持續計畫構面分析 120
表 4-8 災難應變處理構面較認同處理項目 127
表 4-9 災難應變處理構面較不認同處理項目 128
表 5-1 災難回復計劃制定構面模式 132

參考文獻
一、中文部份:
[1] "Disaster Recovery 災難防治與重建(一)"，完全備份手冊，組合國際電腦股份有限公司, 1998。
[2] 林俊銘,，「從企業資訊安全論備援系統的計劃與實務」， 國立中山大學管理學院國際高階經營碩士學程專班(IEMBA)碩士論文，2001年6 月。
[3] 彼得潘， 「納莉風災後企業對於資訊系統管理之省思」，通訊雜誌，第94期，2001年11月。
[4] 中時電子報，「東科災損初估逾百億元」， http://forums.chinatimes.com.tw/special/east/90e0515a.htm，2001年5 月。
[5] 中時電子報，「大地震全國財損3000億台幣」，http://forums.chinatimes.com.tw/report/921_quake/88101211.htm，1999年10月。
[6] 樊國楨、林宜隆及王俊雄，「通資訊安全危機事件處理機制芻議」，第十一屆全國資訊安全會議論文集，2001年5月。
[7] 李麒麟，「駭客攻防」，中華民國資訊安全學會資訊安全通訊、第5卷，第3期，1999年6月，pp.86-96。
[8] 楊明豪，「後門之偵測與防治」，中華民國資訊安全學會資訊安全通訊，第7卷，第1期，2000年12月， p.58。
[9] 沈文吉，「網路安全監控與攻擊行為之分析與實作」，國立台灣大學資訊管理研究所碩士論文，2001年6月。
[10] 林震岩，「資訊系統與組織配合關係之研究」，國科會研究成果報告，1996年。
[11] "Disaster Recovery 災難防治與重建(二)"，完全備份手冊，組合國際電腦股份有限公司, 1998。
[12] Robert Lemos報導，http://taiwan.cnet.com/news/ec/story/0,2000022589,20022183,00.htm ，2001年9月19日。
[13] 陳宜芝報導， http://www.ettoday.com/2001/09/12/1153-579615.htm ，2001年9月22日
[14] "虛心檢討台灣的脆弱，提升系統管理能力"，中時社論第三版，2000年7月31日。
[15] 黃源宏、蔡明憲及李四維，「第七章 電腦倫理」， http://www.mcsh.hk.edu.tw/computer/chapter/ch07/c07_02.htm ，1999年10月。
[16] "資訊安全事件探討與企業因應之道"，資策會MIC，2001年11月 1日。
[17] "紅色警戒變種來襲"， http://taiwan.cnet.com/news/ec/story/0,2000022589,20070981,00.htm ，2003年3月12日。
[18] 樊國楨，「資訊安全管理認證（中）」，經濟部標準與檢驗雜誌，第18期，2000年6月，pp.48-62。
[19] 鄧永基，「資訊安全管理之典範實務簡介」， 2001年5月。
[20] 鄧永基，BS 7799 part1 and part2 - 1999，台北：BSi Pacific 台灣分公司，2002年5月。
[21] 吳俊德，「ISO 17799 資訊安全管理關鍵重點之探討」，國立中正大學企業管理研究所碩士論文，2001年6月。
[22] 「資訊安全」，第七章 電腦倫理，明誠中學，http://www.mcsh.kh.edu.tw/computer/chapter/ch07/c07_02.htm 2003年5月。
[23] 樊國楨，「資訊安全管理認證（上）」，經濟部標準與檢驗雜誌，第17期，2000年6月，pp.63-72。
[24] 鍾翠玲，「國家資通安全計畫 第一階段接近完成」，http://taiwan.cnet.com/news/ec/story/0,2000022589,20032226,00.htm ，2002年2月18日。
[25] 經濟部標準檢驗局網站公告，http://w3.bsmi.gov.tw/upload/b05/b0503/cns17800/CNS17800-NEWS.htm ，2002年12月13日。
[26] 鍾翠玲，「推動資安品保　標準局擬制定國家標準」，http://taiwan.cnet.com/news/ec/story/0,2000022589,20043402,00.htm ，2002年 6月18日。
[27] 黃漢臣，「從BS7799到ISO 17799－談國際資訊安全標準的推動」，http://www.secureonline.com.tw/sol_main_t06-1b.asp?id=283，2001-05。
[28] 鄭進興，「網路安全管理與稽核」，http://www.cert.org.tw/news/conference/cist_20021127_manage_check.pdf ，2003-05。
[29] 鄧永基，「如何推廣BS7799/ISO17799資訊安全國際標準」， 「TopSec資訊安全聯盟」舉辦，2001年5月29日。
[30] 楊淑娟，「紐約重建的祕密」，天才雜誌，http://archive.cw.com.tw/91_95/91年09月01日第258期.doc/221362387.3.htm。
[31] 吳宜靜，「管理危機，先從危機中學教訓」，天下雜誌，http://archive.cw.com.tw/88_86/90年10月第245期.doc/199672222.35.htm
[32] 楊艾俐，「二十一世紀新挑戰 風險管理」，天下雜誌，http://archive.cw.com.tw/88_86/88年11月第222期.doc/105754928.43.htm
[33] 「談資訊安全議題對美國社會的衝擊及影響」，資策會MIC， http://mic.iii.org.tw/itdb/ResourceDisplay.asp?sno=DJBDBFLI ，P.12，2002年02月1日。
[34] 「資訊安全發展趨勢與科專研發方向建議」，第二章 「資訊安全發展沿革」，資策會MIC，http://mic.iii.org.tw/itdb/ResourceDisplay.asp?sno=NSBVHWFR，2002年１月３０日。
[35] 「資訊技術－資訊安全管理之作業要點」，經濟部標準檢驗局，2002年１２月
[36] 資策會MIC 經濟部ITIS 計畫，2001 年12 月
[37] 陳良榕，「管理三種致命的風險資訊風險　讓駭客無所遁形」，天下雜誌，246期，2001年11月13日
[38] 官振萱，「網路內容產業將十倍速起飛」，天下雜誌 228期，2000年5月。

英文部份:
[39] Turban．McLean．Wetherbe, "Information Technology for Management", John Wiley & Sons , 1999, P.2
[40] Soltow, James H., "Ninety Years, A History of CTS Corporation 1896-1986", 1987 P.27
[41] Walker, Joseph P., anniversary brochure "Celebrating Our First Century of Service", April 29, 1996
[42] Bernstein, Corinne, 'Best-Managed Companies,' Electronic Buyers' News, October 18, 1999,p. 26.
[43] Gobles, Marvin E., "Contigency Plan / Emergency Response Plan", Professional Engineer, State of Indiana, Certification No. 16995, November 10, 1989.
[44] PROLAND, "Report CIH (Chernobyl) virus attach"， http://www.pspl.com/virus_info/win95/cih.htm ，2002-04。
[45] STARDATE，"Melissa (email) Virus Attachs Outlook, Exchange & Word Users"，http://www.stardate.bc.ca/stardate_only/html/ melisa.htm，2002-04。
[46] Davis, G. B. and Olson, M. H., Management Information System: Conceptual Foundations, Structure and Development, New York; McGraw-Hill, 1985
[47] EMC IMG (Integrated Marketing Group) Document Center
[48] http://www.findsvp.com/，2003-04。
[49] http://www.cert.org/advisories/CA-2001-26.html，2003-04。
[50] Information Security Homepage, Bsi, http://emea.bsi-global.com/InformationSecurity/index.xalter，2003-05。
[51] DNV.COM "BS 7799" http://www.dnv.com.cn/sh/tw/bs7799.htm， 2001-05。
[52] Information Security Management Brouchure, Det Norske Veritas - DNV, http://www.dnv.com/certification/managementsystems/ informationsequrity/bs7799.asp , 2003-05。
[53] Procedure History, OECD Guidelines for Security of Information System and Network, 2002-07-25
[54] Lloyd's Register Quality Assurance, http://www.lrqa.com/comsite/ template.asp?name=comreview_bs7799 , 2003-05.
[55] British Standards institution, BS 7799-1:1999 Information security management Part 1: Code of practice for information security management, London, 1999.
[56] http://intranet/Irqa/reference/global_training/future_plans _obsolete.html , Intranet, Lloyd's Register of Shipping, 2003-04.
[57] ISO 17799，"ISO 17799：What Is It ?"， http://www.iso1799software.com/what.htm ，2002-04.
[58] "What is ISO" revised 2002-07-17， http://www.iso.ch/iso/en/aboutiso/introduction/whatisISO.html ，2003-05
[59] "International Standard ISO/IEC 17799:2000 Code of Practice for Information Security Management", November 2002, http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf , 2003-05
[60] "History, About the IEC", http://www.iec.ch/about/history/hentry-e.htm , 2003-05
[61] "DNV - BS 7799", http://www.dnv.com/certification/managementsystems/informationsequrity/bs7799.asp , 2003-05.
[62] "Information Security Management Brochure", http://www.dnv.com/certification/managementsystems/informationsequrity/bs7799.asp , 2003-05.
[63] CTS CORPORATION, "Disaster Recover Plan", December 8, 1989
[64] Lillywhite, Tom "How to protect your information--an introduction to BS7799", Management Services; Enfield; Jan. 1999.
[65] British Standards institution, "Implementing a Management System", http://emea.bsi-global.com/ImplementingManagement Systems/index.xalter?print_only=1 , 2003-05.
[66] 「Disaster Recovery Plan for CTS Corporation」, CTS Corporation, December 8, 1989.
[67] Davidson, Frame J., "The New Project Management", Chapter Four: "Managing Risk: Identifying, Analyzing and Planning Response", P.75, 1st Ed. 1994.
[68] "Where Do I Start?", BSi Global website, http://emea.bsi-global.com/InformationSecurity/Overview/WhatisanISMS.xalter , 2003-05.
[69] Nemzow, Martin "Business Continuity", Internation Journal of Network Management, Vol 7, 127-136, 1997.