امروزه امنیت اطلاعات یکی از چالش‌های اصلی در عصر دانایی و اطلاعات محسوب می‌شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب‌ناپذیر به شمار می‌رود. هدف و انگیزه این مقاله به دلیل ارائه مدل بلوغ امنیت اطلاعات برای پایش اجرای امنیت در سازمان‌ها و ارائه بهترین شیوه‌های پیاده‌سازی امنیت است. پژوهش حاضر که در یکی از شرکت‌های زیرمجموعه صنعت نفت انجام شده است، به صورت روش آميخته كيفي ـ كمي انجام شده است. به منظور جمع‌آوری داده‌ها از روش کتابخانه‌ای، مطالعات میدانی، پرسشنامه و مصاحبه استفاده شده است و مقالات، اسناد، دستورالعمل‌ها و مبانی مربوط به شناسایی چالش‌های امنیت فناوری اطلاعات براساس الزامات استاندارد ISO 27001 در این مجموعه ستادی مورد بررسی قرار گرفته است. براي شناسايي موانع و کاستی‌های امنيتي يك سازمان خاص، مدل‌هاي مختلفي ارائه شده است. هدف، شناسايي يك فاصله بين تئوري و عمل مي‌باشد كه مي‌تواند از طريق رويكرد فرايند محور به هم نزديك شوند. مدل بلوغي كه در اين پروژهش معرفي و مورد استفاده قرار مي‌‌گيرد، يك نقطه شروع براي پياده‌سازي امنيت، يك ديدگاه عمومي از امنيت و يك چارچوب براي اولويت‌بندي عمليات، فراهم مي‌سازد. اين مدل بلوغ امنيت اطلاعات داراي 5 فاز مي‌باشد. مدل بلوغ امنيت اطلاعات به‌عنوان ابزاري جهت ارزيابي توانايي سازمان‌ها براي مطابقت با اهداف امنيت، يعني، محرمانگي، يكپارچگي و در دسترس‌بودن و جلوگيري از حملات و دستيابي به مأموريت سازمان علي‌رغم حملات و حادثه‌ها مي‌باشد. نتایج ارزیابی نشان می‌دهد که سازمان‌هایی که سرمایه‌گذاری‌های امنیتی را در پیش رو دارند، باید ضرورت به‌كارگيري امنيت اطلاعات در سازمان توسط مديران عالي درك شده باشد، و علاوه بر اقداماتي که در زمينه امنيت محيط فيزيكي، شبكه و كامپيوتر‌هاي شخصي و كنترل‌هاي دسترسي و رمزنگاري صورت گرفته است آموزش و فرهنگ‌سازی لازم پیاده‌سازی شود. تفاصيل المقالة