شناسایی و اولويت¬بندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات (مطالعه موردی: شعب تامین¬اجتماعی استان گیلان)
الموضوعات :
اسدالله شاه بهرامی
1
(عضو هیات علمی)
رامین رفیع زاده کاسانی
2
(دانشگاه جامع علمی و کاربردی گیلان)
حسین پوریوسفی درگاه
3
(گروه مدیریت فناوری اطلاعات، دانشگاه آزاد واحد الکترونیکی تهران)
الکلمات المفتاحية: امنيت اطلاعات, سيستم مديريت امنيت اطلاعات, تحليل سلسله مراتبي فازي, عوامل نرم, عوامل سخت,
ملخص المقالة :
اطلاعات و حفاظت از آن يكي از اركان مهم بقاي سازمان های امروزی است از اینرو دستاوردهای مطالعاتی سيستم مديريت امنيت اطلاعات ( ISMS )، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت وجامعیت اطلاعات و در دسترس بودن اطلاعات تعريف مي كند و بسياري از شكست هاي پياده سازي ISMS را ريشه در مسائل سازماني و بي توجهي به وضعيت آمادگي سازمان قبل از پياده سازي آن می داند. لذا ارزیابی وضعيت و اولویت بندی مخاطرات امنيت اطلاعات و ایجاد ديد کلي و سلسله مراتبي از آن، در استقرار موفق سيستم امنيت اطلاعات حائز اهمیت است. اما به لحاظ ابعاد و آثار و علل متعدد مخاطرات امنیت و با توجه به تعدد شاخص ها و پارامترهای تاثیرگذار پیاده سازی ISMS، لزوم استفاده از مدل های تصمیم گیری چند شاخصه را در ارزیابی و رتبه بندی آنها مطرح می نماید. در اين پژوهش تلاش شده است عوامل موثر بر سيستم مديريت امنيت اطلاعات را به دو گروه عوامل نرم و سخت طبقهبندي نموده و به منظور رتبه بندی دقیق و تمرکز بيشتر علی الخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، به روش تحليل سلسله مراتبي فازی(FAHP) اقدام گردید. بر این اساس و به کمک پرسشنامه به جهت کمی نمودن نتایج از نظرات خبرگان فن شامل خبرگان دانشگاهي، مديران و کارکنان بخش فناوري اطلاعات شعب تامين اجتماعي استان گيلان به عنوان مطالعه موردي اين پژوهش استفاده شده است. نتايج حاصل نشان مي دهد، عوامل نرم شامل عوامل مديريتي و فرهنگي/ اجتماعي نسبت به عوامل سخت شامل عوامل مالي و فني/ فناورانه درسيستم مديريت امنيت اطلاعات از اهميت بيشتري برخوردار بوده و عوامل مديريتي نسبت به ساير عوامل نرم و همچنین عوامل فني/ فناورانه نسبت به سایر عوامل سخت داراي بيشترين اهميت هستند.
1. تاج¬فر، امیرهوشنگ، محمد محمودي ميمند، فاطمه رضاسلطاني و پوريا رضاسلطاني. (1393). رتبه¬بندي موانع پياده¬سازي سيستم مديريت امنيت اطلاعات و بررسي ميزان آمادگي مديريت اكتشاف. مدیریت فناوری اطلاعات. 6 (4): 551-566.
2. قرایی، حسین و مهسا آقا محی الدین. (1393). بهبود رتبه¬بندی مخاطرات امنیت اطلاعات با استفاده از مدل¬های تصمیم¬گیری چندشاخه. پردازش علائم و داده¬ها. 2 (22): 3-14.
3. آرام، محمدرضا. (1388). بررسي و سنجش مؤلفههاي مؤثر بر مديريت امنيت اطلاعات در فناوري اطلاعات شركت گاز پارس جنوبي. پاياننامه كارشناسي ارشد، دانشگاه شهيد بهشتي.
4. بهرامی، مجتبی. (1390). ارائه روشی مناسب برای بهبود و توسعه شاخص های مدیریت امنیت اطلاعات جهت طراحی و پیاده سازی در سازمان ها. هشتمین کنفرانس بین المللی انجمن رمز ایران.
5. صالحیان، مهران. (1388). بررسی استقرار سیستم مدیریت امنیت اطلاعات (ISMS) در دستگاه¬های دولتی. پایان¬نامه کارشناسی ارشد. دانشگاه شیراز.
6. طاهري، مهدي. (1386). ارائه چارچوبي براي نقش عوامل انساني در امنيت سيستم¬هاي اطلاعاتي. پایان¬نامه کارشناسی ارشد. دانشگاه تربيت مدرس. تهران.
7. زنده دل نوبري، بابك. (1389). ارائه مدلي جهت رتبهبندي سازمانها بر مبناي اندازهگيري و شناسايي ميزان بلوغ امنيت اطلاعات در آنها. پاياننامه كارشناسي ارشد. دانشگاه آزاد اسلامي واحد علوم تحقيقات. تهران.
8. شاه بهرامی، اسدا.. رفیع زاده کاسانی، رامین. (1394). امنیت منابع فناوری اطلاعات، انتشارات جهاد دانشگاهی-تهران.
9. مومني، منصور (1385)، مباحث نوين تحقيق در عمليات، انتشارات دانشکده مديريت، دانشگاه تهران.
10. Buckley, J. (1985). Fuzzy Hierarchial Analysis. Fuzzy Sets and Systems. 17. 233-247.
11. Chang, E., Lin, C. (2007). Exploring organizational culture for information security Management. Industrial Management & Data Systems. 107. 1-10.
12. Choi, N. Dan, K and Jahyun G. (2008). Knowing is doing: An empirical validation of the relationship between managerial information security awareness and action, Information Management & Computer Security. 16. 484-485.
13. Deng, H.(1999). Multicriteria analysis with fuzzy pairwise comparisons. International Journal of Approximate Reasoning. 21. 231–215.
14. Hua, B. (2008). A Fuzzy AHP Based Evaluation Method for Vendor-Selection. Shenzhen Tourism College. Jinan University. Shenzhen. 518053. China.
15. ISO/IEC 27001. (2005). Information technology-Security techniques-Information security management systems–Requirements (First edition).
16. ISO/IEC 27005. (2008). Information technology - Security techniques-Information security risk management (First edition).
17. Hubacek, K. Dabo G. and Anamika B. (2007). Changing Lifestyles and Consumption Patterns in Developing Countries: A Scenario Analysis for China and India. Sustainability Research Institute (SRI). 45-62.
18. Kritzinge, E and Elme S. (2008). Information security management: An information security retrieval and awareness model for industry. Computer & security. 27. 224-231.
19. Kruger, H and Kearney, W. D. (2006). A prototype for assessing information security awareness, Computer & security, 25, 289-296.
20. Lau, H. C. and Mohd Awang, I. (2001). The Soft Foundation of The Critical SuccessFactors on TQM Implementation in Malaysia, The TQM magazine , Vol.13 , No. 1, PP. 51-62.
21. Lewis W. Pun, K. Fai. L. (2006). Exploring Soft versus Hard Factors for TQM Implementation in Small and Medium-Sized Enterprises, International Journal of Productivity and Performance Management, Vol. 55, No. 7, PP. 539-554.
22. Nikrerk, J. and Solms, V. (2009). Information security culture: a management perspective, Computer & security, 5, 142-144.
23. Saaty, T.L., (1980). The Analytic Hierarchy Process, New York, Mc GrawHill.
24. Saaty, T.L.(1994).How to Make a
Decision:The Analytic Hierarchy Process, Interfaces 24(6):19-43.
25. Chang, D. (1996). Applications of the Extent Analysis Method on Fuzzy AHP. European Journal of Operational Research. 95(3). 649-655.
26. Sungho, K. Jang, S. Lee, J and Kim,S.(2007).Common defects in information security management system of Korean companies. The Journal of Systems and Software. 80(10). 1631–1638.
27. Broderick, J. S. (2006). ISMS, security standards and security regulations, information security technical report. 11: 26 –31.
28. Meer, J. van der (Jeroen). (2012). Multi-criteria decision model inference and application in information security risk classification
