شناسایی و اولويت¬بندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات (مطالعه موردی: شعب تامین¬اجتماعی استان گیلان)
الموضوعات :اسدالله شاه بهرامی 1 , رامین رفیع زاده کاسانی 2 , حسین پوریوسفی درگاه 3
1 - عضو هیات علمی
2 - دانشگاه جامع علمی و کاربردی گیلان
3 - گروه مدیریت فناوری اطلاعات، دانشگاه آزاد واحد الکترونیکی تهران
الکلمات المفتاحية: امنيت اطلاعات, سيستم مديريت امنيت اطلاعات, تحليل سلسله مراتبي فازي, عوامل نرم, عوامل سخت,
ملخص المقالة :
اطلاعات و حفاظت از آن يكي از اركان مهم بقاي سازمان های امروزی است از اینرو دستاوردهای مطالعاتی سيستم مديريت امنيت اطلاعات ( ISMS )، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت وجامعیت اطلاعات و در دسترس بودن اطلاعات تعريف مي كند و بسياري از شكست هاي پياده سازي ISMS را ريشه در مسائل سازماني و بي توجهي به وضعيت آمادگي سازمان قبل از پياده سازي آن می داند. لذا ارزیابی وضعيت و اولویت بندی مخاطرات امنيت اطلاعات و ایجاد ديد کلي و سلسله مراتبي از آن، در استقرار موفق سيستم امنيت اطلاعات حائز اهمیت است. اما به لحاظ ابعاد و آثار و علل متعدد مخاطرات امنیت و با توجه به تعدد شاخص ها و پارامترهای تاثیرگذار پیاده سازی ISMS، لزوم استفاده از مدل های تصمیم گیری چند شاخصه را در ارزیابی و رتبه بندی آنها مطرح می نماید. در اين پژوهش تلاش شده است عوامل موثر بر سيستم مديريت امنيت اطلاعات را به دو گروه عوامل نرم و سخت طبقهبندي نموده و به منظور رتبه بندی دقیق و تمرکز بيشتر علی الخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، به روش تحليل سلسله مراتبي فازی(FAHP) اقدام گردید. بر این اساس و به کمک پرسشنامه به جهت کمی نمودن نتایج از نظرات خبرگان فن شامل خبرگان دانشگاهي، مديران و کارکنان بخش فناوري اطلاعات شعب تامين اجتماعي استان گيلان به عنوان مطالعه موردي اين پژوهش استفاده شده است. نتايج حاصل نشان مي دهد، عوامل نرم شامل عوامل مديريتي و فرهنگي/ اجتماعي نسبت به عوامل سخت شامل عوامل مالي و فني/ فناورانه درسيستم مديريت امنيت اطلاعات از اهميت بيشتري برخوردار بوده و عوامل مديريتي نسبت به ساير عوامل نرم و همچنین عوامل فني/ فناورانه نسبت به سایر عوامل سخت داراي بيشترين اهميت هستند.
1. تاج¬فر، امیرهوشنگ، محمد محمودي ميمند، فاطمه رضاسلطاني و پوريا رضاسلطاني. (1393). رتبه¬بندي موانع پياده¬سازي سيستم مديريت امنيت اطلاعات و بررسي ميزان آمادگي مديريت اكتشاف. مدیریت فناوری اطلاعات. 6 (4): 551-566.
2. قرایی، حسین و مهسا آقا محی الدین. (1393). بهبود رتبه¬بندی مخاطرات امنیت اطلاعات با استفاده از مدل¬های تصمیم¬گیری چندشاخه. پردازش علائم و داده¬ها. 2 (22): 3-14.
3. آرام، محمدرضا. (1388). بررسي و سنجش مؤلفههاي مؤثر بر مديريت امنيت اطلاعات در فناوري اطلاعات شركت گاز پارس جنوبي. پاياننامه كارشناسي ارشد، دانشگاه شهيد بهشتي.
4. بهرامی، مجتبی. (1390). ارائه روشی مناسب برای بهبود و توسعه شاخص های مدیریت امنیت اطلاعات جهت طراحی و پیاده سازی در سازمان ها. هشتمین کنفرانس بین المللی انجمن رمز ایران.
5. صالحیان، مهران. (1388). بررسی استقرار سیستم مدیریت امنیت اطلاعات (ISMS) در دستگاه¬های دولتی. پایان¬نامه کارشناسی ارشد. دانشگاه شیراز.
6. طاهري، مهدي. (1386). ارائه چارچوبي براي نقش عوامل انساني در امنيت سيستم¬هاي اطلاعاتي. پایان¬نامه کارشناسی ارشد. دانشگاه تربيت مدرس. تهران.
7. زنده دل نوبري، بابك. (1389). ارائه مدلي جهت رتبهبندي سازمانها بر مبناي اندازهگيري و شناسايي ميزان بلوغ امنيت اطلاعات در آنها. پاياننامه كارشناسي ارشد. دانشگاه آزاد اسلامي واحد علوم تحقيقات. تهران.
8. شاه بهرامی، اسدا.. رفیع زاده کاسانی، رامین. (1394). امنیت منابع فناوری اطلاعات، انتشارات جهاد دانشگاهی-تهران.
9. مومني، منصور (1385)، مباحث نوين تحقيق در عمليات، انتشارات دانشکده مديريت، دانشگاه تهران.
10. Buckley, J. (1985). Fuzzy Hierarchial Analysis. Fuzzy Sets and Systems. 17. 233-247.
11. Chang, E., Lin, C. (2007). Exploring organizational culture for information security Management. Industrial Management & Data Systems. 107. 1-10.
12. Choi, N. Dan, K and Jahyun G. (2008). Knowing is doing: An empirical validation of the relationship between managerial information security awareness and action, Information Management & Computer Security. 16. 484-485.
13. Deng, H.(1999). Multicriteria analysis with fuzzy pairwise comparisons. International Journal of Approximate Reasoning. 21. 231–215.
14. Hua, B. (2008). A Fuzzy AHP Based Evaluation Method for Vendor-Selection. Shenzhen Tourism College. Jinan University. Shenzhen. 518053. China.
15. ISO/IEC 27001. (2005). Information technology-Security techniques-Information security management systems–Requirements (First edition).
16. ISO/IEC 27005. (2008). Information technology - Security techniques-Information security risk management (First edition).
17. Hubacek, K. Dabo G. and Anamika B. (2007). Changing Lifestyles and Consumption Patterns in Developing Countries: A Scenario Analysis for China and India. Sustainability Research Institute (SRI). 45-62.
18. Kritzinge, E and Elme S. (2008). Information security management: An information security retrieval and awareness model for industry. Computer & security. 27. 224-231.
19. Kruger, H and Kearney, W. D. (2006). A prototype for assessing information security awareness, Computer & security, 25, 289-296.
20. Lau, H. C. and Mohd Awang, I. (2001). The Soft Foundation of The Critical SuccessFactors on TQM Implementation in Malaysia, The TQM magazine , Vol.13 , No. 1, PP. 51-62.
21. Lewis W. Pun, K. Fai. L. (2006). Exploring Soft versus Hard Factors for TQM Implementation in Small and Medium-Sized Enterprises, International Journal of Productivity and Performance Management, Vol. 55, No. 7, PP. 539-554.
22. Nikrerk, J. and Solms, V. (2009). Information security culture: a management perspective, Computer & security, 5, 142-144.
23. Saaty, T.L., (1980). The Analytic Hierarchy Process, New York, Mc GrawHill.
24. Saaty, T.L.(1994).How to Make a
Decision:The Analytic Hierarchy Process, Interfaces 24(6):19-43.
25. Chang, D. (1996). Applications of the Extent Analysis Method on Fuzzy AHP. European Journal of Operational Research. 95(3). 649-655.
26. Sungho, K. Jang, S. Lee, J and Kim,S.(2007).Common defects in information security management system of Korean companies. The Journal of Systems and Software. 80(10). 1631–1638.
27. Broderick, J. S. (2006). ISMS, security standards and security regulations, information security technical report. 11: 26 –31.
28. Meer, J. van der (Jeroen). (2012). Multi-criteria decision model inference and application in information security risk classification
فصلنامه علمي- پژوهشي فناوري اطلاعات و ارتباطات ایران | سال دهم، شمارههاي 35 و 36، بهار و تابستان 1397 |
|
شناسایی و اولويتبندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات
(مطالعه موردی: شعب تامیناجتماعی استان گیلان)
* اسدالله شاهبهرامی ** رامین رفیعزادهکاسانی ***حسين پوريوسفيدرگاه
* گروه مهندسی کامپیوتر، دانشکده فنی دانشگاه گیلان
** مدرس دانشگاه جامع علمی و کاربردی گیلان
*** گروه مدیریت فناوری اطلاعات، دانشگاه آزاد واحد الکترونیکی تهران
تاریخ دریافت: 26/04/1396 تاریخ پذیرش: 18/01/1397
چکیده
اطلاعات و حفاظت از آن يكي از اركان مهم بقاي سازمانهای امروزی است از اینرو دستاوردهای مطالعاتیسيستم مديريت امنيت اطلاعات ( ISMS )، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت وجامعیت اطلاعات و در دسترس بودن اطلاعات تعريف ميكند و بسياري از شكستهاي پياده سازي ISMS را ريشه در مسائل سازماني و بيتوجهي به وضعيت آمادگي سازمان قبل از پيادهسازي آن میداند. لذا ارزیابی وضعيت و اولویتبندی مخاطرات امنيت اطلاعات و ایجاد ديد کلي و سلسله مراتبي از آن، در استقرار موفق سيستم امنيت اطلاعات حائز اهمیت است. اما به لحاظ ابعاد و آثار و علل متعدد مخاطرات امنیت و با توجه به تعدد شاخصها و پارامترهای تاثیرگذار پیادهسازی ISMS، لزوم استفاده از مدلهای تصمیمگیری چند شاخصه را در ارزیابی و رتبهبندی آنها مطرح مینماید. در اين پژوهش تلاش شده است عوامل موثر بر سيستم مديريت امنيت اطلاعات را به دو گروه عوامل نرم و سخت طبقهبندي نموده و به منظور رتبهبندی دقیق و تمرکز بيشتر علیالخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، به روش تحليل سلسله مراتبي فازی(FAHP) اقدام گردید. بر این اساس و به کمک پرسشنامه به جهت کمی نمودن نتایج از نظرات خبرگان فن شامل خبرگان دانشگاهي، مديران و کارکنان بخش فناوري اطلاعات شعب تامين اجتماعي استان گيلان بهعنوان مطالعه موردي اين پژوهش استفاده شدهاست. نتايج حاصل نشان ميدهد، عوامل نرم شامل عوامل مديريتي و فرهنگي/ اجتماعي نسبت به عوامل سخت شامل عوامل مالي و فني/ فناورانه درسيستم مديريت امنيت اطلاعات از اهميت بيشتري برخوردار بوده و عوامل مديريتي نسبت به ساير عوامل نرم و همچنین عوامل فني/ فناورانه نسبت به سایر عوامل سخت داراي بيشترين اهميت هستند.
واژههای کلیدی : امنيت اطلاعات، سيستم مديريت امنيت اطلاعات، تحليل سلسله مراتبي فازي، عوامل نرم، عوامل سخت
ارائه سرويس مداوم و داشتن توانايي پاسخگويي به انتظارها، يکي از نيازمنديهاي کسبوکار مطمئن سازمانها در شرایط پر از تحول و مخاطرات امروزی است، به همین دلیل داشتن ساختار شبکهاي قوي، مؤثر و ایمن در سازمانها بسيار مهم است. گسترش روزافزون استفاده از اينترنت، تبادلات اطلاعات درون سازماني و برون سازماني و هزينههاي صرف شده براي يکپارچگي اطلاعات، کسب آمادگي کافي جهت مقابله يا اتخاذ تصميمات مناسب در مقابل حوادث فيزيکي، جرائم سايبري و غيره در هر دو لايه زيرساخت و کاربرد فناوري اطلاعات، رهيافتي اجتنابناپذير براي تضمين پايايي کسبوکاراست [26].
براي حل مسئله امنيت اطلاعات، سازمان نيازمند بكارگيري مجموعه گستردهاي از فناوري، دانش و قوانين سازماني است و باید توجه داشت فناوري به تنهايي، قادر به حفاظت از سازمان نيست، چرا که امنيت اطلاعات يک مشکل صرفاً فني نيست و اجزاي كليدي ديگر امنيت اطلاعات، شامل فرآيندها و كاركنان است که خود يک مسئله مديريتي و کسبوکار است. به همین دلیل با تدوين اولين استاندارد مديريت امنيت اطلاعات درسال1995، نگرش سيستماتيك به مقوله ايمنسازي فضاي تبادل اطلاعات جايگزين نگرش فني گرديد [27].
بر اساس اين نگرش، هر سازمان برای تأمين امنيت فضاي تبادل اطلاعات درون مجموعه خود براساس يك روش مشخص و برنامهريزي شده به کنترل و نظارت بر پيدايش، جابجايي و تبادلات اطلاعات می پردازد وبدلیل نیاز به صرف زمان و هزینه زیاد و عدم امکان پیادهسازی یکباره سیستم مدیریت امنیت اطلاعات(ISMS)، لازم است امنيت در يك چرخه مداوم ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح تامين گردد [15].
از طرفی مطالعات متعدد نشان داده است که شناسایی کلیه پارامترهای تاثیرگذار درپیاده سازی ISMS شامل مولفه های مديريتي، محيطي، فني، آموزشي، اقتصادي، ساختاري، فردي و فرهنگي و زيرمؤلفة آن و نیز داشتن ديد کلي و سلسله مراتبي از وضعيت موجود امنيت اطلاعات، در استقرار موفق سيستم امنيت اطلاعات موثر است. از اینرو براي بهبود و توسعه شاخصهاي مديريت امنيت اطلاعات، رتبهبندي میزان تاثیرات عوامل یا موانع پيادهسازي سيستم مديريت امنيت اطلاعات، در سازمانها نقش بسزایی دارد [1].
از اینرو هدف از اين پژوهش، ایجاد سلسله مراتب و اولويتبندي عوامل موثر بر پیاده سازی سيستم مديريت امنيت در سازمان موصوف به جهت کسب نتایج بهتر و مطلوبتر درتحقق رسالت امنیت اطلاعات است. در این راستا نظر به اینکه تعدادی از عوامل اساسی موفقيت پياده سازيISMS ، عواملی نظیر حمايت مديريت ارشد، خط مشي امنيتي سازمان، ايجاد مديريت مركزي با نفوذ (مديرامنيت)، آگاهي ودانش كاركنان از امنيت اطلاعات، آگاهي وپايبندي به سياست ها، رويهها و عمليات سازمان، گزارشدهي وقايع امنيتي سازمان، سياست ها و استراتژيهاي فناوري اطلاعات و امنيت سازمان، تعيين قلمرو امنيت سازمان، فرهنگ سازماني، فرهنگ امنيت اطلاعات در سازمان، نهادينه شدن رفتار سازماني و رفتارهاي امنيتي در كاركنان، آگاهي ذينفعان و مشتريان از مزاياي امنيت اطلاعات، آموزش مداوم استفاده كنندگان در زمينه فناوري و امنيت اطلاعات، تجهيزات و زيرساختهاي امنيت اطلاعات (سخت افزار، نرمافزار و شبكه)، شناسايي و ارزيابي مخاطرات امنيت اطلاعات، مديريت مخاطرات (ريسكها) سازمان ، تدوين و نگهداري مستندات امنيت اطلاعات، نظارت، ارزيابي، كنترل و مميزي داخلي، شناخت داراييها و تعيين ارزش آنها، تخصيص بودجه مناسب در زمينه فناوري اطلاعات و امنيت اطلاعات، تامين هزينههاي آموزش در زمينه فناوري اطلاعات و ارتباطات و امنيت اطلاعات وغیره لحاظ شده است نسبت به سنجش و طبقه بندی پارامترهایی مانند عوامل مدیریتی و عوامل فرهنگی در طبقه عوامل نرم و پارامترهایی مانند عوامل مالی و عوامل فنی/ فناورانه در طبقه عوامل سخت اقدام گردید [8] و ادامه مطالب درقالب مباحث کمی وکاربردی، نتایج حاصل این تحقیق را به روش فرایند تحلیل سلسله مراتبی فازی نشان
میدهد.
2- مبانی نظری پژوهش
در این بخش تعاریفی که دراین مقاله در زمینه سیستمهای مدیریت امنیت اطلاعات مطرح هستند تعریف شده و بهطور مختصر شرح داده میشوند.
2-1- امنيت اطلاعات: طبق تعريف استاندارد، امنيت اطلاعات به منظور تضمين سه اصل مورد نياز است:
1- محرمانگي: اطمينان از اينكه منابع فقط براي افراد مجاز سازمان در دسترس هستند. 2- يكپارچگي: تامين دقت لازم و كامل بودن منابع و دادهها و روشهای پردازش آنها. 3- دسترسپذيري: اطمينان از اين كه افراد مجاز در تمامي زمانهاي تعيين شده، به منابع و دادهها و سرمايههاي موجود دس ترسي داشته باشند [15].
2-2- سيستم مديريت امنيت اطلاعات: سيستم مديريت امنيت اطلاعات بخشي از سيستم كلي مديريت
بهشمار ميرود و مبتني بر رويكرد ريسك تجاري بوده و هدف از آن ايجاد، پيادهسازي، بهرهبرداري، پايش، بازنگري، نگهداري و بهبود امنيت اطلاعات است [16].
سيستم مديريت امنيت اطلاعات يک مفهوم مستقل نيست، بلكه مشتقاتي از استاندارهاي مختلف از جمله ISO/IEC17799 (سری استانداردهای BS7799 در امنيتIT ) و ايزو 9000 در مديريت کيفيت جامع است. بررسي و مرور مفاهيم و ادبيات موجود در زمينه مديريت کيفيت جامع و مديريت امنيت اطلاعات، نشان ميدهد، عوامل مؤثر بر سيستم مديريت امنيت اطلاعات در دو طبقه كلي عوامل نرم و عوامل سخت قابل طبقهبندي است [20].
2-3- عوامل نرم: عوامل نرم آنهايي هستند كه اندازهگيري و ارزيابي آنها نسبتاً دشوار بوده و بر بلندمدت تأكيد دارند. فرهنگ، آگاهي، روابطكاري و انساني، اعتماد، مقاومت، تغييرپذيري، آموزش، هماهنگي، امنيت، تصميمگيري، سازماندهي و موضوعاتي از اين دست، از جمله عوامل نرم به شمار ميآيند [21].
2-4- عوامل سخت : عوامل سخت، بيشتر سيستمگرا بوده و نقش حمايتي براي اعمال عوامل نرم دارند. زيرساختهاي فني و اقتصادي، تأمين هزينههاي توسعه شبكه، سرمايهگذاريها، تهيه نرمافزارها و سختافزارهاي مربوطه و مسائلي از اين دست، از جمله عوامل سخت بهشمار ميآيند [17].
2-5- مدلهای تصمیم گیری چند شاخصه: مدلهای تصمیمگیری چند شاخصه مجموعهای از تکنیکها هستند که اجازه میدهد طیفی از شاخصهای وابسته به یک مبحث، امتیازدهی و وزندهی شده و سپس رتبهبندی شوند و پتانسیل زیادی را به منظور کاهش دادن هزینه و زمان و بالابردن دقت در تصمیمگیریها دارا میباشد و میتواند چارچوب مناسبی را برای بهبود مدیریت مخاطرات امنیت اطلاعات فراهم آورد[28] مانند روش ویکور، روش الکتر، روش لین مپ، روش مجموع وزین وغیره.
اما یکی از پرکاربردترین و در عین حال مناسبترین
روشهای تصمیمگیری چند شاخصه، روش فرایند تحلیل سلسله مراتبی است. به زبان ساده اگر ساختار مساله شامل سطوح مختلفی از شاخصهای ارزیابی و به شکل سلسله مراتبی باشد و بخواهیم اهمیت تجمیعی و نهایی گزینهها را با توجه به هر شاخص یا زیر شاخص بسنجیم و به اولویت آنها بپردازیم، روش فرایند سلسله مراتبی مناسبترین روش تحلیل مساله است [2]. و نیز به منظور رتبهبندی دقیق و تمرکز بيشتر بر مباحث امنیت اطلاعات علیالخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، از تکنیکهای تحلیل فازی کمک گرفته میشود که مدلی بنام تحلیل سلسله مراتبی فازی (FAHP) شکل میگیرد که نتیجه آن حصول نتایج مطلوبتر و دقیقتر و در نهایت بهبود رتبهبندی عوامل مخاطرات امنیت اطلاعات خواهد بود که سبب پیادهسازی موفق ISMS و اعمال کنترلهای لازم در تمام سطوح سازمانی (راهبردی، تاکتیکی و عملیاتی)
میگردد.
3- پیشینه پژوهش (پیشینه تجربی)
با توجه به هدف تحقیق در خصوص بررسی عوامل تاثیرگذار بر سیستم مدیریت امنیت، به جهت ارتباط موضوع در ادامه برخی از تحقیقات انجام شده در این خصوص آورده شده است که همگی به این مطلب تاکید دارند که پیادهسازی اثربخش امنیت اطلاعات در
سازمانها، نیازمند رویکردی مدیریتی و یکپارچه براساس مدلهای ارزیابی و رتبه بندی شاخصها و عوامل مطرح در امنیت اطلاعات است.
تاجفر و دیگران(1393) در مطالعه ایی تلاش کردهاند موانع پيادهسازي سيستم مديريت امنيت اطلاعات برحسب ميزان اهميت، رتبهبندي و ميزان آمادگي سازمان در پيادهسازي سيستم مديريت امنيت اطلاعات مشخص نمایند. نتايج پژوهش مهمترين مانع در راه پيادهسازي سيستم مديريت امنيت اطلاعات را ناهمخواني ساختار سازماني با نيازهاي سيستم مديريت امنيت اطلاعات دانسته و ترس كاركنان از سخت شدن فرآيندهاي كار با اجراي سيستم مديريت امنيت اطلاعات را كماهميتترين مانع معرفي كرده است؛ ضمن آنكه ميزان آمادگي مديريت اكتشاف در پيادهسازي سيستم مديريت امنيت اطلاعات پايينتراز حد متوسط است[1].
قرايي و آقا محيالدين(1393) در پژوهشي به معرفی امکان بهبود رتبهبندي مخاطرات امنيت اطلاعات با استفاده از مدل تصميمگيري چند شاخصه پرداختند و این مدل را روشی کاربردی جهت ارزیابی و بهبود اقدامات مخاطرات امنیت دانستهاند [2].
بهرامي (1390) در پژوهشي ضمن معرفي برخي از استانداردهاي معتبر در زمينه مديريت امنيت اطلاعات و ارتباطات، با ارائه يک چرخه مديريت امنيت مناسب، شاخصهاي مديريت امنيت را جهت طراحي و پيادهسازي در يک سازمان بزرگ، معرفی نمودند [4].
زندهدل نوبري (1389) مدلي براي رتبهبندي سازمانها بر مبناي اندازهگيري و شناسايي ميزان بلوغ امنيت اطلاعات در آنها ارائه نمود. بدين منظور، پس از تعيين شاخصهاي امنيت اطلاعات در قالب دو دستهی كلي فني و مديريتي و با توجه به معيارهاي سهگانهی «امنيت»، «ايمني» و «پايداري»، نظرهاي خبرگان فناوري اطلاعات بخشهاي انفورماتيك در سه سازمان مطالعه شد [7].
آرام (1388) شاخصهاي مؤثر بر مديريت امنيت اطلاعات در فناوري اطلاعات شركت گاز پارس جنوبي را مورد سنجش قرار داد. نتايج پژوهش حاكي از تأثيرگذاري بيشتر عوامل انساني از ديدگاه كارشناسان فناوري اطلاعات بود و پس از آن شاخصهاي مربوط به عوامل مديريتي، فني و مالي قرار داشت [3].
صالحيان (1388) در پژوهشي به بررسي استقرار نظام مديريت امنيت اطلاعات در دستگاههاي دولتي پرداخت. نتايج پژوهش بيان ميدارد، استقرار نظام مديريت امنيت اطلاعات در سازمانهاي دولتي براساس استاندارد خانواده بي.اس.7799 نشاندهنده اهميت پيادهسازي سياست كنترلي مشخص براي افراد سازمان و حفاظت از اطلاعات سازمان است [5].
طاهري (1386) در پژوهشي به مطالعه نقش عوامل انساني در امنيت نظام اطلاعاتي پرداخت. نتايج نشان ميدهد، داشتن چارچوبی مناسب برای ایفای درست نقش عوامل انساني در امنيت نظام اطلاعاتي، به عنوان يكي از مولفههاي مهم ايجاد امنيت، متغيرهايي مانند آموزش، فرهنگ و مهارت امنيتي و خودباوريهاي افراد بهعنوان عوامل اثرگذار معرفي شدهاند [6].
تحقيقي ديگر توسط نيكرك و سُلمز (2009) شكلگيري فرهنگ امنيت اطلاعات در سازمان و تفاوت آن با فرهنگ سازماني ارائه شد، و به اين نتيجه رسيد كه در ايجاد فرهنگ امنيت اطلاعات علاوه بر مصنوعات و ارزشهاي پذيرفته شده و احساسات و اعتقادات كارمندان، دانش و آگاهي كارمندان از امنيت اطلاعات تأثير بسزايي دارد [22].
در تحقيقي كه توسط چوی و دیگران (2008) در زمينه امنيت اطلاعات انجام شد، يافتهها حاكي از آن بود كه افزايش ميزان مديريت آگاهي و دانش كاربران از امنيت اطلاعات تأثيري مستقيم بر نحوه مديريت عمل و رفتار امنيتي كاركنان خواهد گذاشت و در نتيجه، عملكرد سازمان بهبود خواهد يافت [12].
در تحقيق ديگري كه توسط كريتزينگ و المی (2008) انجام شد، نماي كلي براي مديريت امنيت اطلاعات (مستخرج از اسناد امنيت اطلاعات همچون استانداردها، گزارشها و غیره) به دو قسمت موضوعات فني و غيرفني تقسيم شد، كه از جمله موضوعات غيرفني تأثيرگذار براي مديريت امنيت اطلاعات، موضوع عوامل انساني بود [18].
در پژوهش ديگري توسط چانگ (2007) نيز نتيجه گرفته شد كه فرهنگ سازماني، تأثير مستقيم بر ايجاد فرهنگ امنيت اطلاعات دارد. از جمله مؤلفههاي سازماني شامل همكاري، نوآوري، سازگاري، كارايي و تأثيربخشي بر روي اصول امنيت اطلاعات يعني محرمانگي، در دسترس بودن، صحت و پاسخگويي بررسي شد و يافتهها نشان داد كه تمام عوامل فرهنگ سازماني برمؤلفههاي امنيت اطلاعات تأثير مثبتي دارد [11].
كراگر و كرني (2006) در تحقيقي در زمينه ارزيابي ميزان آگاهي كاركنان از امنيت اطلاعات در شركتهاي
بينالمللي معادن، نتايج مهمي در موارد مختلف امنيتي به دست آوردند. آنها سطوح آگاهي از امنيت اطلاعات را درسه سطح دانش، نگرش و رفتار تقسيم كردند و نواحي مورد ارزيابي در اين سه سطح، شامل پايبندي به سياستها، ايجاد و نگهداري رمزهاي مطمئن، اصول اينترنت و ايميل، ايمني تجهيزات سيار در انتقال اطلاعات، گزارشدهي وقايع امنيتي و اقدامات عملیاتی مناسب بود. اين پژوهشگران پس از ارزيابيهاي خود به اين نتيجه رسيدند كه در كل، سطح آگاهي كارمندان از امنيت اطلاعات در حد متوسطي قرار دارد و به آموزش و توجه بيشتري نياز است و براي بالا بردن سطح آگاهي از امنيت اطلاعات لازم است در هركدام از حيطههاي دانش، نگرش تلاش بيشتري انجام دهند [19].
4- مدل مفهومی
در اين پژوهش با توجه به مبانی نظری و پیشینه مطالعات صورت گرفته و مصاحبه با متولیان امر و محدودیتهای محقق در سازمان مورد نظر، عوامل نرم موثر برسیستم مدیریت امنیت اطلاعات در قالب دو دسته کلی عوامل فرهنگي/ اجتماعي و عوامل مديريتي و عوامل سخت نیز در دو دسته، عوامل فنی/ فناورانه و عوامل مالی طبقهبندي شدهاند. شکل 1 مدل مفهومی این پژوهش را نشان میدهد.
شکل 1 – مدل مفهومی پژوهش، عواملهای نرم و سخت موثر بر سیستم مدیریت امنیت
4-1- روششناسی پژوهش
پس از جمعآوري مهمترین عوامل و شاخصهاي تاثیر گذار بر سیستم مدیریت امنیت اطلاعات از طريق مرور پيشينه تحقيق، کتب، مقالات و پاياننامهها، و منابع اينترنتي معتبر داخلي و خارجي و انطباق آن با مدل مفهومی پژوهش، پرسشنامههای مقایسات زوجی تنظیم شده سپس با استفاده از رويكرد فرآيند تحليل سلسله مراتبي فازي اين عوامل و ميزان اهميت آن مشخص شد. براي سنجش روايي پرسشنامه از نظر خبرگان دانشگاهی استفاده گرديد، بدین ترتیب روایی پرسشنامهها مورد تایید قرار گرفت و در تعیین پایایی ابزار جمعآوری دادهها از نرخ سازگاری استفاده شده است. شکل2 فرایند اجرایی تحقیق را نشان میدهد.
شکل2 – فرایند اجرایی تحقیق
بايد توجه داشت در اين فرآيند عامل مهمتر، کيفيت نظر خبرگان است. در اين پژوهش براي برقراري روش فرآيند تحليل سلسله مراتبي فازي (FAHP) از نظرات بیست خبره از خبرگان دانشگاهي و مديران و کارکنان در حوزه مديريت فناوري اطلاعات و مديریت امنيت اطلاعات استفاده شده است. انتخاب نمونههاي پژوهش، بر مبناي معيارهايي همچون سابقه آنها در حوزه فناوری اطلاعات و مديريت امنيت اطلاعات با حداقل پنج سال به بالا و شناخت عوامل مورد استفاده در اين پژوهش بوده است.
4-2- فرایند تحليل سلسله مراتبي فازي
يکي از روشهايي که در تصميمگيري مورد استفاده قرار میگیرد، فرآيند تحليل سلسله مراتبي فازی است. تمامي مقايسهها در فرآيند تحليل سلسله مراتبي، بهصورت مقایسات زوجي انجام ميشود [13]. اعداد فازی استفاده شده در این فرایند معمولاً اعداد فازی مثلثی یا ذوزنقهای است که بهدلیل راحتی محاسبات از اعداد فازی مثلثی (T.F.N) استفاده میگردد. عدد فازی مثلثي بهوسيله سه نقطه (l,m,u) نشان داده ميشود. تابع عضويت يک عدد فازي مثلثي را ميتوان بهوسيله معادله زيرنشان داد [9].
(1) |
پاسخ خبرگان به مقايسههاي زوجي، بر مبنا اصطلاحات (متغیر) زباني و معيار نه نقطهاي صورت ميگيرد. جدول 1 اعداد فازي متناظر با اصطلاحات زباني استفاده شده را نشان میدهد.
جدول1- مقايسههاي زباني براي بيان درجه اهميت
معکوس عدد فازی | مقیاس عددی فازی مثلثی | اصطلاحات(متغیر) زبانی | عدد |
---|---|---|---|
(9/1 ، 9/1، 9/1) | (9،9،9) | شدیدا قوی | 9 |
(7/1، 8/1، 9/1) | (7،8،9) | متوسط | 8 |
(6/1، 7/1، 8/1) | (6،7،8) | بسیار قوی | 7 |
(5/1، 6/1، 7/1) | (5،6،7) | متوسط | 6 |
(4/1، 5/1، 6/1) | (4،5،6) | قوی | 5 |
(3/1، 4/1، 5/1) | (3،4،5) | متوسط | 4 |
(2/1، 3/1، 4/1) | (2،3،4) | نسبتا قوی | 3 |
(1، 2/1، 3/1) | (1،2،3) | متوسط | 2 |
(1،1،1) | (1،1،1) | دارای اهمیت | 1 |
پس از تبديل جوابهاي خبرگان به اعداد فازي، براي يکپارچهسازي جوابهاي خبرگان از روشي که باکلي [10] پیشنهاد داده، استفاده شدهاست. بنا به گفته باکلي براي تلفيق نظرات خبرگان از فرمولهاي زير استفاده ميشود. در اينجا Uij يک عدد فازي مثلثي است [11].
(2) |
قبل محاسبه وزن معيارها با استفاده از تحليل سلسله مراتبي فازي ابتدا بايد نرخ سازگاري پاسخهاي خبرگان حساب شود [23]. شاخص سازگاري (CI) و نرخ سازگاري (CR) را بهمنظور تأييد ماتريس مقايسات زوجي مطرح کرد.
(3)
|
ساعتي (1994) ذكر كردهاست که بيشترين مقدار قابل قبول نرخ سازگاري بايد مطابق جدول 2 باشد.
جدول 2-حداکثر مقدار قابل پذيرش نرخ ناسازگاري در ارتباط با شمار معيارها(n) [24]
4n> | 4×4 | 3×3 | n |
1/0 | 08/0 | 05/0 | RI |
مطابق مباحث فوق به منظور اندازهگيري روابط بين عوامل و شاخصهاي مؤثّر بر سيستم مديريت امنيت اطلاعات، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول3 نرخ سازگاري عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر يكي از خبرگان) را نشان ميدهد.
پس از اينکه اطمينان حاصل شد نرخ سازگاري همه دادهها قابل قبول است، اکنون زمان آن فرا رسيده که وزن عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات محاسبه شود. جدول4 ماتريس عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شدهاند، را نشان ميدهد.
|
پس از اطمينان از سازگاري همه دادهها در جدول مقايسات زوجي، براي محاسبه وزن معيارها و زيرمعيارها، از روش تحليل توسعهاي كه توسط چانگ [25] ارائه شده، استفاده شدهاست. اعداد فازي مورد استفاده در اين روش اعداد فازي مثلثي هستند. مراحل تحليل سلسله مراتبي فازي طبق روش تحليل توسعهاي چانگ بهصورت زير ميباشد [14]: *گام اول: محاسبه ارزش هر يک از معيارها Sk است که براي هر يك از سطرهاي ماتريس مقايسههاي زوجي بهصورت زير تعريف ميشود. k بيانگر شماره سطر و i و j بهترتيب نشاندهنده گزينهها و شاخصها هستند.
*گام دوم: در روش تحليل توسعهاي پس از محاسبه Sk هر سطر، درجه بزرگي ارزش هر معيار نسبت به هم بهدست آيد. بهطور کلي اگر M1=(l1,m1,u1) و M2=(l2,m2,u2)دو عدد فازي مثلثي باشند، درجه بزرگي M1 نسبت به M2 كه با (M2 M1≥)V نشان داده ميشود، بهصورت زير تعريف ميشود:
|
(4) |
|
جدول3 - نرخ سازگاري عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر يكي از خبرگان)
|
پس از اينکه اطمينان حاصل شد نرخ سازگاري همه دادهها قابل قبول است، اکنون زمان آن فرا رسيده که وزن عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات محاسبه شود. جدول4 ماتريس عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شدهاند، را نشان ميدهد.
|
جدول4- عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر نهايي خبرگان- بر مبنا روش باکلي)
|
|
درجه بزرگي M1 نسبت به M2 كه با (M2 M1≥)V نشان داده ميشود، بهصورت زير تعريف ميشود:
*گام سوم: محاسبه ميزان بزرگي يک عدد فازي مثلثي از k عدد فازي مثلثي ديگر است كه از روابط زير بهدست ميآيد:
|
(5) |
(6) |
محاسبه وزن شاخصها در ماتريس مقايسهها زوجي
بهصورت زير عمل ميشود:
(7) |
بر اين اساس بردار وزن شاخصها بهصورت زير خواهد بود که همان بردار ضرايب غيرنرمال تحليل سلسله مراتبي فازي است:
(8) |
*گام چهارم: اينک بر اساس رابطه زير، مقدار اوزان نرمال شده شاخصها بهدست ميآيد.
(9) |
در این مقاله پیشنهاد انجام اهداف تحقیق به روش فوق توجه به این نکته بوده است که مخاطرات دارای ابعاد و اثرات مختلفی، با قابلیت رخداد در سطوح مختلف هستند و اقدامات پیشگیرانه خاص خود را در هر سطح میطلبند که روش فوق رتبهبندی مخاطرات امنیت اطلاعات در سازمان مورد نظر را با در نظرگرفتن علل بروز هر مخاطره و وزن و آثار آن مخاطره بنا به طبقهبندی انجام شده مطابق مدل مفهومی، رتبهبندی میکند که نتایج یافتههای آماری آن بشرح ذیل میباشد:
5- تجزیه و تحلیل یافتهها
با توجه به اینکه سازمان تامیناجتماعی یک سازمان بیمهگر
و با خدمات متنوع رفاهی برای آحاد جامعه برشمرده
میشود و تقریباً نیمی از جمعیت کشور را تحت پوشش خود دارد، استفاده هرچه بهتر و ایمنتر از تکنولوژی و سرویسها و خدمات جدید میتواند تاثیر بسزایی در افزایش خدمت رسانی و در نتیجه افزایش رفاه اجتماعی و ایجاد
رضایتمندی بیشتر در مخاطبان سازمان داشته باشد. نگاهی به پیشینه فعالیتهای سازمان و مصاحبه با خبرگان امر شاهد این مدعاست که در هر دورهای به فناوری اطلاعات و امنیت آن اهمیت داده شده و فضای رشد و توسعه مناسب فراهم شده باشد، خدمات ارائه شده به مخاطبان اعم از بیمهای و درمانی جهشهای چشمگیری را نشان داده و در هر دورهای که به آن اهمیت جدی داده نشده است ارائه خدمات وسرویسهای الکترونیکی با نقصان مواجه شده است. در این راستا نتایج حاصل ازیافتههای آماری سئوالات محقق از خبرگان سازمانی در مطالعه موردی شعب تامین اجتماعی استان گیلان در سه بعد قابل ذکر است:
الف) شناسایی عوامل موثر بر امنیت اطلاعات بر اساس مدل مفهومی
با توجه به ادبيات پژوهش و نظر خبرگان، عوامل مؤثر بر سيستم مديريت امنيت اطلاعات شناسایی و براساس مدل مفهومی تحقیق طبقهبندی گرديد. جدول 5 نظر نهايي حاصل از بازخورد خبرگان در مورد عوامل مؤثر، نرم و سخت بر سيستم مديريت امنيت اطلاعات در شعب تاميناجتماعي استان گيلان را نشان ميدهد.
ب) اولويتبندي عوامل اصلی و فرعی سيستم مديريت امنيت اطلاعات: همانگونه كه در جدول6 مشاهده ميگردد، مطابق نظر خبرگان و بر اساس تحليل سلسله مراتبي فازي، عوامل مديريتي (وزن 3851/0) داراي بيشترين اهميت و عوامل مالي (وزن 0873/0) داري كمترين اهميت را در بين عوامل موثر بر سيستم مديريت امنيت اطلاعات دارند. جدول 6- وزن عوامل فرعی مؤثر بر سيستم مديريت امنيت اطلاعات شعب تامین اجتماعی استان گیلان
|
جدول 5- نظر نهايي حاصل از بازخورد خبرگان شعب تامین اجتماعی استان گیلان در مورد عوامل موثر نرم و سخت بر سیستم امنیت اطلاعات
|
|
ج) اولويتبندي شـاخصـهاي عـوامل موثر بر سیستم مدیریت امنیت اطلاعات پس از مشخص شدن اولویت عوامل اصلی و فرعی موثر بر سیستم مدیریت امنیت اطلاعات، نوبت تعیین اولویت شاخصهای شناسایی شده هریک از عوامل مدیریتی، فرهنگی- اجتماعی ، مالی و فنی در این سازمان است. نتایج حاصل از پاسخ خبرگان به پرسشنامه مقایسات زوجی، با در نظر گرفتن نرخ سازگاری ابتدا با روش باکلی ترکیب، سپس با روش تحلیل توسعهای نسبت به اولویتبندی آن اقدام شد. نتایج حاصل از آن در جداول 7 تا 15 آورده شده که بیانگر لزوم اولویت بندی این عوامل در اخذ تصمیمات راهبردی در تامین امنیت فضای تولید و تبادل اطلاعات سازمانی است. در این راستا بعنوان یک مثال، برای اندازهگيري روابط بين شاخصهاي مديريتي بر اساس نظر خبرگان، مقايسات زوجي بعمل آمد و اين نظريات به ارزشهاي زباني فازي متناظر تبديل گرديد. قبل از اينکه وزن شاخصهاي مديريتي با استفاده از تحليل سلسله مراتبي فازي حساب شود، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان ميدهد.
|
ارزشهاي زباني فازي متناظر تبديل گرديد. قبل از اينکه وزن شاخصهاي مديريتي با استفاده از تحليل سلسله مراتبي فازي حساب شود، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان ميدهد.
|
پس از اينکه اطمينان حاصل شد نرخ سازگاري همه دادهها قابل قبول است، سپس وزن شاخصهاي مديريتي محاسبه گردید. جدول8 ماتريس شاخصهاي مديريتي را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شدهاند، نشان ميدهد.
|
براي محاسبه وزن شاخصهاي مديريتي، از روش تحليل توسعهاي استفاده ميگردد. همانگونه كه بيان گرديد اعداد مورد استفاده در اين روش اعداد فازي مثلثي هستند. مراحل تحليل سلسله مراتبي فازي طبق روش تحليل توسعهاي چانگ به صورت زير است: گام اول: محاسبه Sk براي هر يك از سطرهاي ماتريس مقايسههاي زوجي به صورت زير تعريف ميشود. در اينجا k بيانگر شماره سطر و i و j به ترتيب نشان دهنده گزينهها و شاخصها هستند. جدول9 ماتريسي Sk براي شاخصهاي مديريتي را نشان ميدهد. گام دوم: مرحله دوم در روش تحليل توسعهاي پس از محاسبه Sk مربوط به هر سطر، اين است كه درجه بزرگي آنها نسبت به هم به دست آيد. جدول10، درجه بزرگي Skرا نسبت به هم نشان ميدهد.
|
سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان ميدهد.
|
شاخصهاي مديريتي را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شدهاند، نشان ميدهد.
|
جدول7- نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان)
|
جدول8- ماتریس شاخصهاي مديريتي (نظر نهايي خبرگان- بر مبنا روش باکلي)
|
|
|
ترتيب نشان دهنده گزينهها و شاخصها هستند. جدول9 ماتريسي Sk براي شاخصهاي مديريتي را نشان ميدهد. گام دوم: مرحله دوم در روش تحليل توسعهاي پس از محاسبه Sk مربوط به هر سطر، اين است كه درجه بزرگي آنها نسبت به هم به دست آيد. جدول10، درجه بزرگي Skرا نسبت به هم نشان ميدهد.
|
گام سوم: محاسبه ميزان بزرگي يک عدد فازي مثلثي از k عدد فازي مثلثي ديگر و در نهايت محاسبه وزن شاخصهاي مديريتي ميباشد. جدول11 وزن شاخصهاي مديريتي (غيرنرمال، وزن نسبي و وزن نهايي) را نشان ميدهد.
|
جدول9- مقدار Sk براي شاخصهاي مديريتي |
|
جدول10- درجه بزرگي Sk براي شاخصهاي مديريتي |
|
جدول11 وزن شاخصهاي مديريتي (غيرنرمال، وزن نسبي و وزن نهايي) را نشان ميدهد.
|
جدول 11- وزن شاخصهاي عامل فرعی مـديريتي از عامل اصلی نرم |
|
همانگونه كه در جدول 11 مشاهده ميگردد، شاخص حمايت مديريت ارشد(وزن نسبي 203/0 و وزن نهايي 0780/0) داراي بيشترين اهميت و شاخص تعيين قلمرو امنيت سازمان(وزن نسبي 006/0 و وزن نهايي 0022/0) داري كمترين اهميت را در بين شاخصهاي مدیریتی در این سازمان است. سایر شاخصها نیز به همین سبک محاسبه و مورد ارزیابی قرارمیگیرند که جداول زیر بیانگر نتایج نهایی بدست آمده است. مطابق جدول 12 شاخص فرهنگ سازماني(وزن نسبي 233/0 و وزن نهايي 0730/0) داراي بيشترين اهميت و شاخص آموزش مداوم استفاده كنندگان در زمينه فناوري و امنيت اطلاعات (وزن نسبي 098/0 و وزن نهايي 0306/0) داري كمترين اهميت، در بين شاخصهاي فرهنگي- اجتماعي است.
|
وزن شاخصهاي فني و فناورانه نیز در جدول13 نشان داده شده است. که بر اساس این جدول شاخص شناسايي و ارزيابي مخاطرات امنيت اطلاعات (وزن نسبي 302/0 و وزن نهايي 0646/0) داراي بيشترين اهميت و شاخص نظارت، ارزيابي، كنترل و مميزي داخلي (وزن نسبي 055/0 و وزن نهايي 0118/0) داري كمترين اهميت، در بين شاخصهاي فني و فناورانه است.
|
مطابق جدول 14 شاخص شناخت داراييها و تعيين ارزش آنها (وزن نسبي 570/0 و وزن نهايي 0498/0) داراي بيشترين اهميت و شاخص تامين هزينههاي آموزش در زمينه فناوری اطلاعات و امنيت اطلاعات (وزن نسبي 213/0 و وزن نهايي 0186/0) داري كمترين اهميت، در بين شاخصهاي مالي هستند.
|
آمده است. مطابق جدول 12 شاخص فرهنگ سازماني(وزن نسبي 233/0 و وزن نهايي 0730/0) داراي بيشترين اهميت و شاخص آموزش مداوم استفاده كنندگان در زمينه فناوري و امنيت اطلاعات (وزن نسبي 098/0 و وزن نهايي 0306/0) داري كمترين اهميت، در بين شاخصهاي فرهنگي- اجتماعي است.
|
جدول 12- وزن شاخصهاي عامل فرعی فرهنگي- اجتماعي از عامل اصلی نرم |
|
اهميت و شاخص نظارت، ارزيابي، كنترل و مميزي داخلي (وزن نسبي 055/0 و وزن نهايي 0118/0) داري كمترين اهميت، در بين شاخصهاي فني و فناورانه است.
|
جدول 13- وزن شاخصهاي عامل فرعی فني و فناورانه از عامل اصلی سخت |
|
هزينههاي آموزش در زمينه فناوری اطلاعات و امنيت اطلاعات (وزن نسبي 213/0 و وزن نهايي 0186/0) داري كمترين اهميت، در بين شاخصهاي مالي هستند.
|
درجدول 15 وزن هاي (نسبي و نهايي) عوامل و شاخصهاي مؤثر بر سيستم مديريت امنيت اطلاعات، به تفكيك نشان داده میشود.
|
جدول 14- وزن شاخصهاي عامل فرعی مالي از عامل اصلی سخت |
|