English  |  正體中文  |  简体中文  |  Items with full text/Total items : 65231/98744 (66%)
Visitors : 31979347      Online Users : 1969
RC Version 7.0 © Powered By DSPACE, MIT. Enhanced by NTU Library & TKU Library IR team.
Scope Tips:
  • please add "double quotation mark" for query phrases to get precise results
  • please goto advance search for comprehansive author search
  • Adv. Search
    HomeLoginUploadHelpAboutAdminister Goto mobile version
    Please use this identifier to cite or link to this item: https://tkuir.lib.tku.edu.tw/dspace/handle/987654321/128752


    Title: 基於安全開發生命週期探索滿足資訊安全要求交付物之研究
    Authors: 蕭瑞祥;鄭哲斌;楊俊益
    Keywords: 安全開發生命週期;資訊安全;ISO/IEC 27001:2022;能力成熟度整合模型;軟體安全開發框架
    Date: 2024-06-23
    Issue Date: 2026-03-12 12:07:11 (UTC+8)
    Abstract: 本研究聚焦於安全開發生命週期交付物,旨在透過分析 ISO/IEC 27001:2022 和安全軟體開發框架的控制措施,定義各階段的資訊安全交付物。研究目標為取代現有組織內傳統安全開發生命週期各階段的控制措施和檢核表格,以符合專案交付的資訊安全需求。目前業界實務普遍參考資訊安全規範,定義及篩選各階段控制措施,並建立檢核表。在專案交付或稽核時,專案團隊會使用檢核表勾稽確認開發生命週期各階段是否依照定義實施控制措施。然而,實務上常遭遇資訊安全需求不明確、控制措施定義不一致、工作績效驗收困難等問題。本研究融合 ISO/IEC 27001:2022及安全軟體開發框架指引,從規範內的控制措施探索出安全性交付物。並將資訊安全交付物納入能力成熟度整合模型的流程改進進行審視,以確保專案開發過程中各階段的資訊安全交付物都能滿足達成資訊安全目標,並提升組織對安全開發的能力,進而提高產品的安全性和品質。此外,本研究透過專家深度訪談,完善研究結果,以確保符合資訊安全、專案管理和系統軟體開發領域規範。研究發現,資訊安全交付物之軟體物料清單應記載軟體程式碼、開源資料庫、第三方程式庫、模組等元件的版本、開發人員、組織、授權條款、依頼關係、漏洞和弱點。以提高軟體供應鏈安全和透明度,促進軟體合規性,組織及專案團隊必須在安全開發生命週期中全程對軟體物料清單進行監管,並隨時審視及更新。本研究提出的資訊安全交付物不僅能實現實務應用中的資訊安全目標,同時亦可提供專案管理上的量化績效依據。
    DOI: 10.6846/tku202400306
    Appears in Collections:[資訊管理學系暨研究所] 會議論文

    Files in This Item:

    File Description SizeFormat
    index.html0KbHTML36View/Open

    All items in 機構典藏 are protected by copyright, with all rights reserved.


    DSpace Software Copyright © 2002-2004  MIT &  Hewlett-Packard  /   Enhanced by   NTU Library & TKU Library IR teams. Copyright ©   - Feedback