کد مقاله : 20200419000000 بازدید : 14857 صفحه: 57 - 74

نوع مقاله: پژوهشی

شناسایی و اولويت¬بندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات (مطالعه موردی: شعب تامین¬اجتماعی استان گیلان)

محورهای موضوعی : عمومى

اسدالله شاه بهرامی ¹ , رامین رفیع زاده کاسانی ² , حسین پوریوسفی درگاه ³

1 - عضو هیات علمی
2 - دانشگاه جامع علمی و کاربردی گیلان
3 - گروه مدیریت فناوری اطلاعات، دانشگاه آزاد واحد الکترونیکی تهران

تاریخ دریافت : 1399/01/31 تاریخ پذیرش : 1399/07/12 تاریخ انتشار : 1399/07/12

کلید واژه: امنيت اطلاعات, سيستم مديريت امنيت اطلاعات, تحليل سلسله مراتبي فازي, عوامل نرم, عوامل سخت,

چکیده مقاله :

اطلاعات و حفاظت از آن يكي از اركان مهم بقاي سازمان های امروزی است از اینرو دستاوردهای مطالعاتی سيستم مديريت امنيت اطلاعات ( ISMS )، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت وجامعیت اطلاعات و در دسترس بودن اطلاعات تعريف مي كند و بسياري از شكست هاي پياده سازي ISMS را ريشه در مسائل سازماني و بي توجهي به وضعيت آمادگي سازمان قبل از پياده سازي آن می داند. لذا ارزیابی وضعيت و اولویت بندی مخاطرات امنيت اطلاعات و ایجاد ديد کلي و سلسله مراتبي از آن، در استقرار موفق سيستم امنيت اطلاعات حائز اهمیت است. اما به لحاظ ابعاد و آثار و علل متعدد مخاطرات امنیت و با توجه به تعدد شاخص ها و پارامترهای تاثیرگذار پیاده سازی ISMS، لزوم استفاده از مدل های تصمیم گیری چند شاخصه را در ارزیابی و رتبه بندی آنها مطرح می نماید. در اين پژوهش تلاش شده است عوامل موثر بر سيستم مديريت امنيت اطلاعات را به دو گروه عوامل نرم و سخت طبقه‌بندي نموده و به منظور رتبه بندی دقیق و تمرکز بيشتر علی الخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، به روش تحليل سلسله مراتبي فازی(FAHP) اقدام گردید. بر این اساس و به کمک پرسشنامه به جهت کمی نمودن نتایج از نظرات خبرگان فن شامل خبرگان دانشگاهي، مديران و کارکنان بخش فناوري اطلاعات شعب تامين اجتماعي استان گيلان به عنوان مطالعه موردي اين پژوهش استفاده شده است. نتايج حاصل نشان مي دهد، عوامل نرم شامل عوامل مديريتي و فرهنگي/ اجتماعي نسبت به عوامل سخت شامل عوامل مالي و فني/ فناورانه درسيستم مديريت امنيت اطلاعات از اهميت بيشتري برخوردار بوده و عوامل مديريتي نسبت به ساير عوامل نرم و همچنین عوامل فني/ فناورانه نسبت به سایر عوامل سخت داراي بيشترين اهميت هستند.

چکیده انگلیسی:

Information and its protection is one of the most important pillars of survival of today's organizations. Defines and considers many ISMS implementation failures to be rooted in organizational issues and disregard for the organization's readiness prior to implementation. Therefore, assessing the situation and prioritizing information security risks and creating an overview and hierarchy of it, is important in the successful establishment of the information security system. However, in terms of dimensions, effects and various causes of security risks and considering the multiplicity of indicators and effective parameters of ISMS implementation, it is necessary to use multi-criteria decision-making models in their evaluation and ranking. . In this study, an attempt has been made to classify the factors affecting the information security management system into two groups of soft and hard factors and in order to accurately rank and focus more, especially in conditions of uncertainty that is inherent in human decision making, Fuzzy hierarchical analysis (FAHP) was performed. Based on this and with the help of a questionnaire to quantify the results, the opinions of technical experts including academic experts, managers and employees of the information technology department of social security branches in Guilan province have been used as a case study of this research. The results show that soft factors including managerial and cultural / social factors are more important than hard factors including financial and technical / technological factors in information security management system and management factors are more important than other soft factors as well as technical / technological factors. They are more important than other difficult factors.

منابع و مأخذ:

1. تاج¬فر، امیرهوشنگ، محمد محمودي ميمند، فاطمه رضاسلطاني و پوريا رضاسلطاني. (1393). رتبه¬بندي موانع پياده¬سازي سيستم مديريت امنيت اطلاعات و بررسي ميزان آمادگي مديريت اكتشاف. مدیریت فناوری اطلاعات. 6 (4): 551-566.
2. قرایی، حسین و مهسا آقا محی الدین. (1393). بهبود رتبه¬بندی مخاطرات امنیت اطلاعات با استفاده از مدل¬های تصمیم¬گیری چندشاخه. پردازش علائم و داده¬ها. 2 (22): 3-14.
3. آرام، محمدرضا. (1388). بررسي و سنجش مؤلفه‎هاي مؤثر بر مديريت امنيت اطلاعات در فناوري اطلاعات شركت گاز پارس جنوبي. پايان‎نامه كارشناسي ارشد، دانشگاه شهيد بهشتي.
4. بهرامی، مجتبی. (1390). ارائه روشی مناسب برای بهبود و توسعه شاخص های مدیریت امنیت اطلاعات جهت طراحی و پیاده سازی در سازمان ها. هشتمین کنفرانس بین المللی انجمن رمز ایران.
5. صالحیان، مهران. (1388). بررسی استقرار سیستم مدیریت امنیت اطلاعات (ISMS) در دستگاه¬های دولتی. پایان¬نامه کارشناسی ارشد. دانشگاه شیراز.
6. طاهري، مهدي. (1386). ارائه چارچوبي براي نقش عوامل انساني در امنيت سيستم¬هاي اطلاعاتي. پایان¬نامه کارشناسی ارشد. دانشگاه تربيت مدرس. تهران.
7. زنده دل نوبري، بابك. (1389). ارائه مدلي جهت رتبه‎بندي سازمان‎ها بر مبناي اندازه‎گيري و شناسايي ميزان بلوغ امنيت اطلاعات در آنها. پايان‎نامه كارشناسي ارشد. دانشگاه آزاد اسلامي واحد علوم تحقيقات. تهران.
8. شاه بهرامی، اسدا.. رفیع زاده کاسانی، رامین. (1394). امنیت منابع فناوری اطلاعات، انتشارات جهاد دانشگاهی-تهران.
9. مومني، منصور (1385)، مباحث نوين تحقيق در عمليات، انتشارات دانشکده مديريت، دانشگاه تهران.
10. Buckley, J. (1985). Fuzzy Hierarchial Analysis. Fuzzy Sets and Systems. 17. 233-247.
11. Chang, E., Lin, C. (2007). Exploring organizational culture for information security Management. Industrial Management & Data Systems. 107. 1-10.
12. Choi, N. Dan, K and Jahyun G. (2008). Knowing is doing: An empirical validation of the relationship between managerial information security awareness and action, Information Management & Computer Security. 16. 484-485.
13. Deng, H.(1999). Multicriteria analysis with fuzzy pairwise comparisons. International Journal of Approximate Reasoning. 21. 231–215.
14. Hua, B. (2008). A Fuzzy AHP Based Evaluation Method for Vendor-Selection. Shenzhen Tourism College. Jinan University. Shenzhen. 518053. China.
15. ISO/IEC 27001. (2005). Information technology-Security techniques-Information security management systems–Requirements (First edition).
16. ISO/IEC 27005. (2008). Information technology - Security techniques-Information security risk management (First edition).
17. Hubacek, K. Dabo G. and Anamika B. (2007). Changing Lifestyles and Consumption Patterns in Developing Countries: A Scenario Analysis for China and India. Sustainability Research Institute (SRI). 45-62.
18. Kritzinge, E and Elme S. (2008). Information security management: An information security retrieval and awareness model for industry. Computer & security. 27. 224-231.
19. Kruger, H and Kearney, W. D. (2006). A prototype for assessing information security awareness, Computer & security, 25, 289-296.
20. Lau, H. C. and Mohd Awang, I. (2001). The Soft Foundation of The Critical SuccessFactors on TQM Implementation in Malaysia, The TQM magazine , Vol.13 , No. 1, PP. 51-62.
21. Lewis W. Pun, K. Fai. L. (2006). Exploring Soft versus Hard Factors for TQM Implementation in Small and Medium-Sized Enterprises, International Journal of Productivity and Performance Management, Vol. 55, No. 7, PP. 539-554.
22. Nikrerk, J. and Solms, V. (2009). Information security culture: a management perspective, Computer & security, 5, 142-144.
23. Saaty, T.L., (1980). The Analytic Hierarchy Process, New York, Mc GrawHill.
24. Saaty, T.L.(1994).How to Make a
Decision:The Analytic Hierarchy Process, Interfaces 24(6):19-43.
25. Chang, D. (1996). Applications of the Extent Analysis Method on Fuzzy AHP. European Journal of Operational Research. 95(3). 649-655.
26. Sungho, K. Jang, S. Lee, J and Kim,S.(2007).Common defects in information security management system of Korean companies. The Journal of Systems and Software. 80(10). 1631–1638.
27. Broderick, J. S. (2006). ISMS, security standards and security regulations, information security technical report. 11: 26 –31.
28. Meer, J. van der (Jeroen). (2012). Multi-criteria decision model inference and application in information security risk classification

متن کامل:

فصلنامه علمي- پژوهشي

فناوري اطلاعات و ارتباطات ایران

سال دهم، شماره‌هاي 35 و 36، بهار و تابستان 1397

صص: 53- 70

$E:\E Drive\logo\iicta Logo0.JPG$

شناسایی و اولويتبندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات

(مطالعه موردی: شعب تامیناجتماعی استان گیلان)

* اسدالله شاهبهرامی ** رامین رفیعزادهکاسانی ***حسين پوريوسفيدرگاه

* گروه مهندسی کامپیوتر، دانشکده فنی دانشگاه گیلان

** مدرس دانشگاه جامع علمی و کاربردی گیلان

*** گروه مدیریت فناوری اطلاعات، دانشگاه آزاد واحد الکترونیکی تهران

تاریخ دریافت: 26/04/1396 تاریخ پذیرش: 18/01/1397

چکیده

اطلاعات و حفاظت از آن يكي از اركان مهم بقاي سازمانهای امروزی است از اینرو دستاوردهای مطالعاتیسيستم مديريت امنيت اطلاعات ( ISMS )، حفاظت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت وجامعیت اطلاعات و در دسترس بودن اطلاعات تعريف ميكند و بسياري از شكستهاي پياده سازي ISMS را ريشه در مسائل سازماني و بيتوجهي به وضعيت آمادگي سازمان قبل از پيادهسازي آن میداند. لذا ارزیابی وضعيت و اولویتبندی مخاطرات امنيت اطلاعات و ایجاد ديد کلي و سلسله مراتبي از آن، در استقرار موفق سيستم امنيت اطلاعات حائز اهمیت است. اما به لحاظ ابعاد و آثار و علل متعدد مخاطرات امنیت و با توجه به تعدد شاخصها و پارامترهای تاثیرگذار پیادهسازی ISMS، لزوم استفاده از مدلهای تصمیمگیری چند شاخصه را در ارزیابی و رتبهبندی آنها مطرح مینماید. در اين پژوهش تلاش شده است عوامل موثر بر سيستم مديريت امنيت اطلاعات را به دو گروه عوامل نرم و سخت طبقه‌بندي نموده و به منظور رتبهبندی دقیق و تمرکز بيشتر علیالخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، به روش تحليل سلسله مراتبي فازی(FAHP) اقدام گردید. بر این اساس و به کمک پرسشنامه به جهت کمی نمودن نتایج از نظرات خبرگان فن شامل خبرگان دانشگاهي، مديران و کارکنان بخش فناوري اطلاعات شعب تامين اجتماعي استان گيلان بهعنوان مطالعه موردي اين پژوهش استفاده شدهاست. نتايج حاصل نشان ميدهد، عوامل نرم شامل عوامل مديريتي و فرهنگي/ اجتماعي نسبت به عوامل سخت شامل عوامل مالي و فني/ فناورانه درسيستم مديريت امنيت اطلاعات از اهميت بيشتري برخوردار بوده و عوامل مديريتي نسبت به ساير عوامل نرم و همچنین عوامل فني/ فناورانه نسبت به سایر عوامل سخت داراي بيشترين اهميت هستند.

واژههای کلیدی : امنيت اطلاعات، سيستم مديريت امنيت اطلاعات، تحليل سلسله مراتبي فازي، عوامل نرم، عوامل سخت

نویسنده عهدهدار مکاتبات: اسدالله شاهبهرامی shahbahrami@guilan.ac.ir

1- مقدمه

ارائه سرويس مداوم و داشتن توانايي پاسخگويي به انتظارها، يکي از نيازمندي‌هاي کسب‌وکار مطمئن سازمانها در شرایط پر از تحول و مخاطرات امروزی است، به همین دلیل داشتن ساختار شبکه‌اي قوي، مؤثر و ایمن در سازمانها بسيار مهم است. گسترش روزافزون استفاده از اينترنت، تبادلات اطلاعات درون سازماني و برون سازماني و هزينه‌هاي صرف شده براي يکپارچگي اطلاعات، کسب آمادگي کافي جهت مقابله يا اتخاذ تصميمات مناسب در مقابل حوادث فيزيکي، جرائم سايبري و غيره در هر دو لايه زيرساخت و کاربرد فناوري اطلاعات، رهيافتي اجتناب‌ناپذير براي تضمين پايايي کسب‌وکاراست [26].

براي حل مسئله امنيت اطلاعات، سازمان نيازمند بكارگيري مجموعه گستردهاي از فناوري، دانش و قوانين سازماني است و باید توجه داشت فناوري به تنهايي، قادر به حفاظت از سازمان نيست، چرا که امنيت اطلاعات يک مشکل صرفاً فني نيست و اجزاي كليدي ديگر امنيت اطلاعات، شامل فرآيندها و كاركنان است که خود يک مسئله مديريتي و کسب‌وکار است. به همین دلیل با تدوين اولين استاندارد مديريت امنيت اطلاعات درسال1995، نگرش سيستماتيك به مقوله ايمن‌سازي فضاي تبادل اطلاعات جايگزين نگرش فني گرديد [27].

بر اساس اين نگرش، هر سازمان برای تأمين امنيت فضاي تبادل اطلاعات درون مجموعه خود براساس يك روش مشخص و برنامه‌ريزي شده به کنترل و نظارت بر پيدايش، جابجايي و تبادلات اطلاعات می پردازد وبدلیل نیاز به صرف زمان و هزینه زیاد و عدم امکان پیادهسازی یکباره سیستم مدیریت امنیت اطلاعات(ISMS)، لازم است امنيت در يك چرخه مداوم ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح تامين گردد [15].

از طرفی مطالعات متعدد نشان داده است که شناسایی کلیه پارامترهای تاثیرگذار درپیاده سازی ISMS شامل مولفه های مديريتي، محيطي، فني، آموزشي، اقتصادي، ساختاري، فردي و فرهنگي و زيرمؤلفة آن و نیز داشتن ديد کلي و سلسله مراتبي از وضعيت موجود امنيت اطلاعات، در استقرار موفق سيستم امنيت اطلاعات موثر است. از اینرو براي بهبود و توسعه شاخص‌هاي مديريت امنيت اطلاعات، رتبه‌بندي میزان تاثیرات عوامل یا موانع پياده‌سازي سيستم مديريت امنيت اطلاعات، در سازمان‌ها نقش بسزایی دارد [1].

از اینرو هدف از اين پژوهش، ایجاد سلسله مراتب و اولويتبندي عوامل موثر بر پیاده سازی سيستم مديريت امنيت در سازمان موصوف به جهت کسب نتایج بهتر و مطلوبتر درتحقق رسالت امنیت اطلاعات است. در این راستا نظر به اینکه تعدادی از عوامل اساسی موفقيت پياده سازيISMS ، عواملی نظیر حمايت مديريت ارشد، خط مشي امنيتي سازمان، ايجاد مديريت مركزي با نفوذ (مديرامنيت)، آگاهي ودانش كاركنان از امنيت اطلاعات، آگاهي وپايبندي به سياست ها، رويه‌ها و عمليات سازمان، گزارش‌دهي وقايع امنيتي سازمان، سياست ها و استراتژي‌هاي فناوري اطلاعات و امنيت سازمان، تعيين قلمرو امنيت سازمان، فرهنگ سازماني، فرهنگ امنيت اطلاعات در سازمان، نهادينه شدن رفتار سازماني و رفتارهاي امنيتي در كاركنان، آگاهي ذينفعان و مشتريان از مزاياي امنيت اطلاعات، آموزش مداوم استفاده كنندگان در زمينه فناوري‌ و امنيت اطلاعات، تجهيزات و زيرساخت‌هاي امنيت اطلاعات (سخت افزار، نرم‌افزار و شبكه)، شناسايي و ارزيابي مخاطرات امنيت اطلاعات، مديريت مخاطرات (ريسك‌ها) سازمان ، تدوين و نگهداري مستندات امنيت اطلاعات، نظارت، ارزيابي، كنترل و مميزي داخلي، شناخت دارايي‌ها و تعيين ارزش آنها، تخصيص بودجه مناسب در زمينه فناوري اطلاعات و امنيت اطلاعات، تامين هزينه‌هاي آموزش در زمينه فناوري اطلاعات و ارتباطات و امنيت اطلاعات وغیره لحاظ شده است نسبت به سنجش و طبقه بندی پارامترهایی مانند عوامل مدیریتی و عوامل فرهنگی در طبقه عوامل نرم و پارامترهایی مانند عوامل مالی و عوامل فنی/ فناورانه در طبقه عوامل سخت اقدام گردید [8] و ادامه مطالب درقالب مباحث کمی وکاربردی، نتایج حاصل این تحقیق را به روش فرایند تحلیل سلسله مراتبی فازی نشان
میدهد.

2- مبانی نظری پژوهش

در این بخش تعاریفی که دراین مقاله در زمینه سیستمهای مدیریت امنیت اطلاعات مطرح هستند تعریف شده و بهطور مختصر شرح داده میشوند.

2-1- امنيت اطلاعات: طبق تعريف استاندارد، امنيت اطلاعات به منظور تضمين سه اصل مورد نياز است:
1- محرمانگي: اطمينان از اينكه منابع فقط براي افراد مجاز سازمان در دسترس هستند. 2- يكپارچگي: تامين دقت لازم و كامل بودن منابع و داده‌ها و روشهای پردازش آنها. 3- دسترس‌پذيري: اطمينان از اين كه افراد مجاز در تمامي زمان‌هاي تعيين شده، به منابع و داده‌ها و سرمايه‌هاي موجود دس ترسي داشته باشند [15].

2-2- سيستم مديريت امنيت اطلاعات: سيستم مديريت امنيت اطلاعات بخشي از سيستم كلي مديريت
بهشمار ميرود و مبتني بر رويكرد ريسك تجاري بوده و هدف از آن ايجاد، پيادهسازي، بهرهبرداري، پايش، بازنگري، نگهداري و بهبود امنيت اطلاعات است [16].

سيستم مديريت امنيت اطلاعات يک مفهوم مستقل نيست، بلكه مشتقاتي از استاندارهاي مختلف از جمله ISO/IEC17799 (سری استانداردهای BS7799 در امنيتIT ) و ايزو 9000 در مديريت کيفيت جامع است. بررسي و مرور مفاهيم و ادبيات موجود در زمينه مديريت کيفيت جامع و مديريت امنيت اطلاعات، نشان مي‌دهد، عوامل مؤثر بر سيستم مديريت امنيت اطلاعات در دو طبقه كلي عوامل نرم و عوامل سخت قابل طبقه‌بندي است [20].

2-3- عوامل نرم: عوامل نرم آنهايي هستند كه اندازه‌گيري و ارزيابي آنها نسبتاً دشوار بوده و بر بلندمدت تأكيد دارند. فرهنگ، آگاهي، روابط‌كاري و انساني، اعتماد، مقاومت، تغييرپذيري، آموزش، هماهنگي، امنيت، تصميم‌گيري، سازماندهي و موضوعاتي از اين دست، از جمله عوامل نرم به شمار مي‌آيند [21].

2-4- عوامل سخت : عوامل سخت، بيشتر سيستم‌گرا بوده و نقش حمايتي براي اعمال عوامل نرم دارند. زيرساخت‌هاي فني و اقتصادي، تأمين هزينه‌هاي توسعه شبكه، سرمايه‌گذاري‌ها، تهيه نرمافزارها و سختافزارهاي مربوطه و مسائلي از اين دست، از جمله عوامل سخت بهشمار مي‌آيند [17].

2-5- مدلهای تصمیم گیری چند شاخصه: مدلهای تصمیم‌گیری چند شاخصه مجموعه‌ای از تکنیک‌ها هستند که اجازه می‌دهد طیفی از شاخصهای وابسته به یک مبحث، امتیازدهی و وزن‌دهی شده و سپس رتبهبندی شوند و پتانسیل زیادی را به منظور کاهش دادن هزینه و زمان و بالابردن دقت در تصمیم‌گیریها دارا میباشد و می‌تواند چارچوب مناسبی را برای بهبود مدیریت مخاطرات امنیت اطلاعات فراهم آورد[28] مانند روش ویکور، روش الکتر، روش لین مپ، روش مجموع وزین وغیره.

اما یکی از پرکاربردترین و در عین حال مناسبترین
روشهای تصمیمگیری چند شاخصه، روش فرایند تحلیل سلسله مراتبی است. به زبان ساده اگر ساختار مساله شامل سطوح مختلفی از شاخصهای ارزیابی و به شکل سلسله مراتبی باشد و بخواهیم اهمیت تجمیعی و نهایی گزینهها را با توجه به هر شاخص یا زیر شاخص بسنجیم و به اولویت آنها بپردازیم، روش فرایند سلسله مراتبی مناسبترین روش تحلیل مساله است [2]. و نیز به منظور رتبهبندی دقیق و تمرکز بيشتر بر مباحث امنیت اطلاعات علیالخصوص در شرایط عدم قطعیت که در ذات اخذ تصمیمات انسانی است، از تکنیکهای تحلیل فازی کمک گرفته می‌شود که مدلی بنام تحلیل سلسله مراتبی فازی (FAHP) شکل میگیرد که نتیجه آن حصول نتایج مطلوبتر و دقیق‌تر و در نهایت بهبود رتبهبندی عوامل مخاطرات امنیت اطلاعات خواهد بود که سبب پیادهسازی موفق ISMS و اعمال کنترلهای لازم در تمام سطوح سازمانی (راهبردی، تاکتیکی و عملیاتی)
میگردد.

3- پیشینه پژوهش (پیشینه تجربی)

با توجه به هدف تحقیق در خصوص بررسی عوامل تاثیرگذار بر سیستم مدیریت امنیت، به جهت ارتباط موضوع در ادامه برخی از تحقیقات انجام شده در این خصوص آورده شده است که همگی به این مطلب تاکید دارند که پیادهسازی اثربخش امنیت اطلاعات در
سازمانها، نیازمند رویکردی مدیریتی و یکپارچه براساس مدلهای ارزیابی و رتبه بندی شاخصها و عوامل مطرح در امنیت اطلاعات است.

تاج‌فر و دیگران(1393) در مطالعه ایی تلاش کردهاند موانع پياده‌سازي سيستم مديريت امنيت اطلاعات برحسب ميزان اهميت، رتبه‌بندي و ميزان آمادگي سازمان در پياده‌سازي سيستم مديريت امنيت اطلاعات مشخص نمایند. نتايج پژوهش مهمترين مانع در راه پياده‌سازي سيستم مديريت امنيت اطلاعات را ناهمخواني ساختار سازماني با نيازهاي سيستم مديريت امنيت اطلاعات دانسته و ترس كاركنان از سخت شدن فرآيندهاي كار با اجراي سيستم مديريت امنيت اطلاعات را كماهميت‌ترين مانع معرفي كرده است؛ ضمن آنكه ميزان آمادگي مديريت اكتشاف در پياده‌سازي سيستم مديريت امنيت اطلاعات پايين‌تراز حد متوسط است[1].

قرايي و آقا محي‌الدين(1393) در پژوهشي به معرفی امکان بهبود رتبه‌بندي مخاطرات امنيت اطلاعات با استفاده از مدل تصميم‌گيري چند شاخصه پرداختند و این مدل را روشی کاربردی جهت ارزیابی و بهبود اقدامات مخاطرات امنیت دانستهاند [2].

بهرامي (1390) در پژوهشي ضمن معرفي برخي از استانداردهاي معتبر در زمينه مديريت امنيت اطلاعات و ارتباطات، با ارائه يک چرخه مديريت امنيت مناسب، شاخص‌هاي مديريت امنيت را جهت طراحي و پياده‌سازي در يک سازمان بزرگ، معرفی نمودند [4].

زنده‌دل نوبري (1389) مدلي براي رتبه‎بندي سازمان‌ها بر مبناي اندازه‎گيري و شناسايي ميزان بلوغ امنيت اطلاعات در آنها ارائه نمود. بدين منظور، پس از تعيين شاخص‌هاي امنيت اطلاعات در قالب دو دستهی كلي فني و مديريتي و با توجه به معيارهاي سه‎گانهی «امنيت»، «ايمني» و «پايداري»، نظرهاي خبرگان فناوري اطلاعات بخش‌هاي انفورماتيك در سه سازمان مطالعه شد [7].

آرام (1388) شاخص‌هاي مؤثر بر مديريت امنيت اطلاعات در فناوري اطلاعات شركت گاز پارس جنوبي را مورد سنجش قرار داد. نتايج پژوهش حاكي از تأثيرگذاري بيشتر عوامل انساني از ديدگاه كارشناسان فناوري اطلاعات بود و پس از آن شاخصهاي مربوط به عوامل مديريتي، فني و مالي قرار داشت [3].

صالحيان (1388) در پژوهشي به بررسي استقرار نظام مديريت امنيت اطلاعات در دستگاه‌هاي دولتي پرداخت. نتايج پژوهش بيان مي‌دارد، استقرار نظام مديريت امنيت اطلاعات در سازمان‌هاي دولتي براساس استاندارد خانواده بي.اس.7799 نشاندهنده اهميت پياده‌سازي سياست كنترلي مشخص براي افراد سازمان و حفاظت از اطلاعات سازمان است [5].

طاهري (1386) در پژوهشي به مطالعه نقش عوامل انساني در امنيت نظام اطلاعاتي پرداخت. نتايج نشان مي‌دهد، داشتن چارچوبی مناسب برای ایفای درست نقش عوامل انساني در امنيت نظام اطلاعاتي، به عنوان يكي از مولفه‌هاي مهم ايجاد امنيت، متغيرهايي مانند آموزش، فرهنگ و مهارت امنيتي و خودباوري‌هاي افراد بهعنوان عوامل اثرگذار معرفي شده‌اند [6].

تحقيقي ديگر توسط نيكرك و سُلمز (2009) شكل‌گيري فرهنگ امنيت اطلاعات در سازمان و تفاوت آن با فرهنگ سازماني ارائه شد، و به اين نتيجه رسيد كه در ايجاد فرهنگ امنيت اطلاعات علاوه بر مصنوعات و ارزش‌هاي پذيرفته شده و احساسات و اعتقادات كارمندان، دانش و آگاهي كارمندان از امنيت اطلاعات تأثير بسزايي دارد [22].

در تحقيقي كه توسط چوی و دیگران (2008) در زمينه امنيت اطلاعات انجام شد، يافته‌ها حاكي از آن بود كه افزايش ميزان مديريت آگاهي و دانش كاربران از امنيت اطلاعات تأثيري مستقيم بر نحوه مديريت عمل و رفتار امنيتي كاركنان خواهد گذاشت و در نتيجه، عملكرد سازمان بهبود خواهد يافت [12].

در تحقيق ديگري كه توسط كريتزينگ و المی (2008) انجام شد، نماي كلي براي مديريت امنيت اطلاعات (مستخرج از اسناد امنيت اطلاعات همچون استانداردها، گزارش‌ها و غیره) به دو قسمت موضوعات فني و غيرفني تقسيم شد، كه از جمله موضوعات غيرفني تأثيرگذار براي مديريت امنيت اطلاعات، موضوع عوامل انساني بود [18].

در پژوهش ديگري توسط چانگ (2007) نيز نتيجه گرفته شد كه فرهنگ سازماني، تأثير مستقيم بر ايجاد فرهنگ امنيت اطلاعات دارد. از جمله مؤلفه‌هاي سازماني شامل همكاري، نوآوري، سازگاري، كارايي و تأثيربخشي بر روي اصول امنيت اطلاعات يعني محرمانگي، در دسترس بودن، صحت و پاسخگويي بررسي شد و يافته‌ها نشان داد كه تمام عوامل فرهنگ سازماني برمؤلفه‌هاي امنيت اطلاعات تأثير مثبتي دارد [11].

كراگر و كرني (2006) در تحقيقي در زمينه ارزيابي ميزان آگاهي كاركنان از امنيت اطلاعات در شركت‌هاي
بينالمللي معادن، نتايج مهمي در موارد مختلف امنيتي به دست آوردند. آنها سطوح آگاهي از امنيت اطلاعات را درسه سطح دانش، نگرش و رفتار تقسيم كردند و نواحي مورد ارزيابي در اين سه سطح، شامل پايبندي به سياست‌ها، ايجاد و نگهداري رمزهاي مطمئن، اصول اينترنت و ايميل، ايمني تجهيزات سيار در انتقال اطلاعات، گزارشدهي وقايع امنيتي و اقدامات عملیاتی مناسب بود. اين پژوهشگران پس از ارزيابي‌هاي خود به اين نتيجه رسيدند كه در كل، سطح آگاهي كارمندان از امنيت اطلاعات در حد متوسطي قرار دارد و به آموزش و توجه بيشتري نياز است و براي بالا بردن سطح آگاهي از امنيت اطلاعات لازم است در هركدام از حيطه‌هاي دانش، نگرش تلاش بيشتري انجام دهند [19].

4- مدل مفهومی

در اين پژوهش با توجه به مبانی نظری و پیشینه مطالعات صورت گرفته و مصاحبه با متولیان امر و محدودیتهای محقق در سازمان مورد نظر، عوامل نرم موثر برسیستم مدیریت امنیت اطلاعات در قالب دو دسته کلی عوامل فرهنگي/ اجتماعي و عوامل مديريتي و عوامل سخت نیز در دو دسته، عوامل فنی/ فناورانه و عوامل مالی طبقه‌بندي شده‌اند. شکل 1 مدل مفهومی این پژوهش را نشان میدهد.

شکل 1 – مدل مفهومی پژوهش، عواملهای نرم و سخت موثر بر سیستم مدیریت امنیت

4-1- روششناسی پژوهش

پس از جمعآوري مهمترین عوامل و شاخصهاي تاثیر گذار بر سیستم مدیریت امنیت اطلاعات از طريق مرور پيشينه تحقيق، کتب، مقالات و پايان‌نامه‌ها، و منابع اينترنتي معتبر داخلي و خارجي و انطباق آن با مدل مفهومی پژوهش، پرسشنامههای مقایسات زوجی تنظیم شده سپس با استفاده از رويكرد فرآيند تحليل سلسله مراتبي فازي اين عوامل و ميزان اهميت آن مشخص شد. براي سنجش روايي پرسشنامه از نظر خبرگان دانشگاهی استفاده گرديد، بدین ترتیب روایی پرسشنامهها مورد تایید قرار گرفت و در تعیین پایایی ابزار جمعآوری دادهها از نرخ سازگاری استفاده شده است. شکل2 فرایند اجرایی تحقیق را نشان میدهد.

شکل2 – فرایند اجرایی تحقیق

بايد توجه داشت در اين فرآيند عامل مهم‌تر، کيفيت نظر خبرگان است. در اين پژوهش براي برقراري روش فرآيند تحليل سلسله مراتبي فازي (FAHP) از نظرات بیست خبره از خبرگان دانشگاهي و مديران و کارکنان در حوزه مديريت فناوري اطلاعات و مديریت امنيت اطلاعات استفاده شده است. انتخاب نمونه‌هاي پژوهش‌، بر مبناي معيارهايي همچون سابقه آنها در حوزه فناوری اطلاعات و مديريت امنيت اطلاعات با حداقل پنج سال به بالا و شناخت عوامل مورد استفاده در اين پژوهش بوده است.

4-2- فرایند تحليل سلسله مراتبي فازي

يکي از روش‌هايي که در تصميم‌گيري مورد استفاده قرار میگیرد، فرآيند تحليل سلسله مراتبي فازی است. تمامي مقايسه‌ها در فرآيند تحليل سلسله مراتبي، بهصورت مقایسات زوجي انجام مي‌شود [13]. اعداد فازی استفاده شده در این فرایند معمولاً اعداد فازی مثلثی یا ذوزنقهای است که بهدلیل راحتی محاسبات از اعداد فازی مثلثی (T.F.N) استفاده میگردد. عدد فازی مثلثي بهوسيله سه نقطه (l,m,u) نشان داده مي‌شود. تابع عضويت يک عدد فازي مثلثي را مي‌توان بهوسيله معادله زيرنشان داد [9].

(1)

پاسخ خبرگان به مقايسه‌هاي زوجي، بر مبنا اصطلاحات (متغیر) زباني و معيار نه نقطه‌اي صورت ميگيرد. جدول 1 اعداد فازي متناظر با اصطلاحات زباني استفاده شده را نشان میدهد.

جدول1- مقايسه‌هاي زباني براي بيان درجه اهميت

معکوس عدد فازی	مقیاس عددی فازی مثلثی	اصطلاحات(متغیر) زبانی	عدد
(9/1 ، 9/1، 9/1)	(9،9،9)	شدیدا قوی	9
(7/1، 8/1، 9/1)	(7،8،9)	متوسط	8
(6/1، 7/1، 8/1)	(6،7،8)	بسیار قوی	7
(5/1، 6/1، 7/1)	(5،6،7)	متوسط	6
(4/1، 5/1، 6/1)	(4،5،6)	قوی	5
(3/1، 4/1، 5/1)	(3،4،5)	متوسط	4
(2/1، 3/1، 4/1)	(2،3،4)	نسبتا قوی	3
(1، 2/1، 3/1)	(1،2،3)	متوسط	2
(1،1،1)	(1،1،1)	دارای اهمیت	1

پس از تبديل جواب‌هاي خبرگان به اعداد فازي، براي يکپارچه‌سازي جواب‌هاي خبرگان از روشي که باکلي [10] پیشنهاد داده، استفاده شدهاست. بنا به گفته باکلي براي تلفيق نظرات خبرگان از فرمول‌هاي زير استفاده مي‌شود. در اينجا Uij يک عدد فازي مثلثي است [11].

(2)

قبل محاسبه وزن معيارها با استفاده از تحليل سلسله مراتبي فازي ابتدا بايد نرخ سازگاري پاسخهاي خبرگان حساب شود [23]. شاخص سازگاري (CI) و نرخ سازگاري (CR) را بهمنظور تأييد ماتريس مقايسات زوجي مطرح کرد.

(3)

ساعتي (1994) ذكر كردهاست که بيشترين مقدار قابل قبول نرخ سازگاري بايد مطابق جدول 2 باشد.

جدول 2-حداکثر مقدار قابل پذيرش نرخ ناسازگاري در ارتباط با شمار معيارها(n) [24]

4n>	4×4	3×3	n
1/0	08/0	05/0	RI

مطابق مباحث فوق به منظور اندازه‌گيري روابط بين عوامل و شاخص‌هاي مؤثّر بر سيستم مديريت امنيت اطلاعات، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول3 نرخ سازگاري عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر يكي از خبرگان) را نشان مي‌دهد.

پس از اينکه اطمينان حاصل شد نرخ سازگاري همه داده‌ها قابل قبول است، اکنون زمان آن فرا رسيده که وزن عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات محاسبه شود. جدول4 ماتريس عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شده‌اند، را نشان مي‌دهد.

پس از اطمينان از سازگاري همه داده‌ها در جدول مقايسات زوجي، براي محاسبه وزن معيارها و زيرمعيارها، از روش تحليل توسعه‌اي كه توسط چانگ [25] ارائه شده، استفاده شدهاست. اعداد فازي مورد استفاده در اين روش اعداد فازي مثلثي هستند. مراحل تحليل سلسله مراتبي فازي طبق روش تحليل توسعه‌اي چانگ بهصورت زير مي‌باشد [14]:

*گام اول: محاسبه ارزش هر يک از معيارها Sk است که براي هر يك از سطرهاي ماتريس مقايسه‌هاي زوجي بهصورت زير تعريف مي‌شود. k بيانگر شماره سطر و i و j بهترتيب نشاندهنده گزينه‌ها و شاخص‌ها هستند.

*گام دوم: در روش تحليل توسعه‌اي پس از محاسبه Sk هر سطر، درجه بزرگي ارزش هر معيار نسبت به هم بهدست آيد. بهطور کلي اگر M1=(l1,m1,u1) و M2=(l2,m2,u2)دو عدد فازي مثلثي باشند، درجه بزرگي M1 نسبت به M2 كه با (M2 M1≥)V نشان داده مي‌شود، بهصورت زير تعريف مي‌شود:

(4)

جدول3 - نرخ سازگاري عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر يكي از خبرگان)

جدول4- عوامل مؤثّر بر سيستم مديريت امنيت اطلاعات (نظر نهايي خبرگان- بر مبنا روش باکلي)

درجه بزرگي M1 نسبت به M2 كه با (M2 M1≥)V نشان داده مي‌شود، بهصورت زير تعريف مي‌شود:

*گام سوم: محاسبه ميزان بزرگي يک عدد فازي مثلثي از k عدد فازي مثلثي ديگر است كه از روابط زير بهدست مي‌آيد:

(5)

(6)

محاسبه وزن شاخص‌ها در ماتريس مقايسه‌ها زوجي
بهصورت زير عمل مي‌شود:

(7)

بر اين اساس بردار وزن شاخص‌ها بهصورت زير خواهد بود که همان بردار ضرايب غيرنرمال تحليل سلسله مراتبي فازي است:

(8)

*گام چهارم: اينک بر اساس رابطه زير، مقدار اوزان نرمال شده شاخص‌ها بهدست مي‌آيد.

(9)

در این مقاله پیشنهاد انجام اهداف تحقیق به روش فوق توجه به این نکته بوده است که مخاطرات دارای ابعاد و اثرات مختلفی، با قابلیت رخداد در سطوح مختلف هستند و اقدامات پیشگیرانه خاص خود را در هر سطح میطلبند که روش فوق رتبهبندی مخاطرات امنیت اطلاعات در سازمان مورد نظر را با در نظرگرفتن علل بروز هر مخاطره و وزن و آثار آن مخاطره بنا به طبقهبندی انجام شده مطابق مدل مفهومی، رتبهبندی میکند که نتایج یافتههای آماری آن بشرح ذیل میباشد:

5- تجزیه و تحلیل یافتهها

با توجه به اینکه سازمان تامیناجتماعی یک سازمان بیمه‌گر

و با خدمات متنوع رفاهی برای آحاد جامعه برشمرده
میشود و تقریباً نیمی از جمعیت کشور را تحت پوشش خود دارد، استفاده هرچه بهتر و ایمنتر از تکنولوژی و سرویسها و خدمات جدید میتواند تاثیر بسزایی در افزایش خدمت رسانی و در نتیجه افزایش رفاه اجتماعی و ایجاد
رضایتمندی بیشتر در مخاطبان سازمان داشته باشد. نگاهی به پیشینه فعالیتهای سازمان و مصاحبه با خبرگان امر شاهد این مدعاست که در هر دورهای به فناوری اطلاعات و امنیت آن اهمیت داده شده و فضای رشد و توسعه مناسب فراهم شده باشد، خدمات ارائه شده به مخاطبان اعم از بیمهای و درمانی جهشهای چشمگیری را نشان داده و در هر دورهای که به آن اهمیت جدی داده نشده است ارائه خدمات وسرویسهای الکترونیکی با نقصان مواجه شده است. در این راستا نتایج حاصل ازیافتههای آماری سئوالات محقق از خبرگان سازمانی در مطالعه موردی شعب تامین اجتماعی استان گیلان در سه بعد قابل ذکر است:

الف) شناسایی عوامل موثر بر امنیت اطلاعات بر اساس مدل مفهومی

با توجه به ادبيات پژوهش و نظر خبرگان، عوامل مؤثر بر سيستم مديريت امنيت اطلاعات شناسایی و براساس مدل مفهومی تحقیق طبقهبندی گرديد. جدول 5 نظر نهايي حاصل از بازخورد خبرگان در مورد عوامل مؤثر، نرم و سخت بر سيستم مديريت امنيت اطلاعات در شعب تاميناجتماعي استان گيلان را نشان مي‌دهد.

ب) اولويت‌بندي عوامل اصلی و فرعی سيستم مديريت امنيت اطلاعات:

همانگونه كه در جدول6 مشاهده مي‌گردد، مطابق نظر خبرگان و بر اساس تحليل سلسله مراتبي فازي، عوامل مديريتي (وزن 3851/0) داراي بيشترين اهميت و عوامل مالي (وزن 0873/0) داري كمترين اهميت را در بين عوامل موثر بر سيستم مديريت امنيت اطلاعات دارند.

جدول 6- وزن عوامل فرعی مؤثر بر سيستم مديريت امنيت اطلاعات شعب تامین اجتماعی استان گیلان

عوامل اصلی	وزن نهایی	غیرنرمال	V(S1,S2,S3,S4)
1- مدیریتی	3851/0	1	V(S1S2,S3,S4)
2- فرهنگی- اجتماعی	3137/0	8146/0	V(S2≥S1,S3,S4)
3- فنی و فناورانه	2138/0	5551/0	V(S3≥S1,S2,S4)
4- مالی	0873/0	2267/0	V(S4≥S1,S2,S3)
		5965/2	SUM

جدول 5- نظر نهايي حاصل از بازخورد خبرگان شعب تامین اجتماعی استان گیلان در مورد عوامل موثر نرم و سخت بر سیستم امنیت اطلاعات

عوامل اصلي	عوامل فرعي	شـاخـص‌ها
عوامل نرم	1-مديريتي	1-حمايت مديريت ارشد 2- خطمشي امنيتي سازمان 3-ايجاد مديريت مركزي با نفوذ(مدير امنيت) 4-آگاهي و دانش كاركنان از امنيت اطلاعات	5- آگاهي و پايبندي به سياست‌ها، رويه‌ها و عمليات سازمان 6- گزارش‌دهي وقايع امنيتي سازمان 7-سياستها و استراتژيهاي فناوری اطلاعات و امنيت سازمان 8-تعيين قلمرو امنيت سازمان
عوامل نرم	2-فرهنگي و اجتماعي	1-فرهنگ سازماني 2-فرهنگ امنيت اطلاعات در سازمان 3- نهادينه شدن رفتار سازماني و رفتارهاي امنيتي در كاركنان	4- آگاهي ذينفعان و مشتريان از مزاياي امنيت اطلاعات 5- آموزش مداوم استفادهكنندگان در زمينه فناوري‌ و امنيت اطلاعات
عوامل سخت	1-فني و فناورانه	1-تجهيزات و زيرساخت‌هاي امنيت اطلاعات (سختافزار، نرم‌افزار و شبكه) 2-شناسايي و ارزيابي مخاطرات امنيت اطلاعات	3-مديريت مخاطرات (ريسك‌ها) سازمان 4- تدوين و نگهداري مستندات امنيت اطلاعات 5- نظارت، ارزيابي، كنترل و مميزي داخلي
عوامل سخت	2-مالي	1- شناخت دارايي‌ها و تعيين ارزش آن‌ها 2-تخصيص بودجه مناسب در زمينه فناوری اطلاعات و امنيت اطلاعات 3- تامين هزينه‌هاي آموزش در زمينه فناوری اطلاعات و امنيت اطلاعات

ج) اولويتبندي شـاخصـهاي عـوامل موثر بر سیستم مدیریت امنیت اطلاعات

پس از مشخص شدن اولویت عوامل اصلی و فرعی موثر بر سیستم مدیریت امنیت اطلاعات، نوبت تعیین اولویت شاخصهای شناسایی شده هریک از عوامل مدیریتی، فرهنگی- اجتماعی ، مالی و فنی در این سازمان است. نتایج حاصل از پاسخ خبرگان به پرسشنامه مقایسات زوجی، با در نظر گرفتن نرخ سازگاری ابتدا با روش باکلی ترکیب، سپس با روش تحلیل توسعهای نسبت به اولویتبندی آن اقدام شد. نتایج حاصل از آن در جداول 7 تا 15 آورده شده که بیانگر لزوم اولویت بندی این عوامل در اخذ تصمیمات راهبردی در تامین امنیت فضای تولید و تبادل اطلاعات سازمانی است.

در این راستا بعنوان یک مثال، برای اندازه‌گيري روابط بين شاخص‌هاي مديريتي بر اساس نظر خبرگان، مقايسات زوجي بعمل آمد و اين نظريات به ارزش‌هاي زباني فازي متناظر تبديل گرديد. قبل از اينکه وزن شاخص‌هاي مديريتي با استفاده از تحليل سلسله مراتبي فازي حساب شود، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان مي‌دهد.

ارزش‌هاي زباني فازي متناظر تبديل گرديد. قبل از اينکه وزن شاخص‌هاي مديريتي با استفاده از تحليل سلسله مراتبي فازي حساب شود، ابتدا بايد نرخ سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان مي‌دهد.

پس از اينکه اطمينان حاصل شد نرخ سازگاري همه داده‌ها قابل قبول است، سپس وزن شاخصهاي مديريتي محاسبه گردید. جدول8 ماتريس شاخص‌هاي مديريتي را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شده‌اند، نشان مي‌دهد.

براي محاسبه وزن شاخص‌هاي مديريتي، از روش تحليل توسعه‌اي استفاده مي‌گردد. همانگونه كه بيان گرديد اعداد مورد استفاده در اين روش اعداد فازي مثلثي هستند. مراحل تحليل سلسله مراتبي فازي طبق روش تحليل توسعه‌اي چانگ به صورت زير است:

گام اول: محاسبه Sk براي هر يك از سطرهاي ماتريس مقايسه‌هاي زوجي به صورت زير تعريف مي‌شود. در اينجا k بيانگر شماره سطر و i و j به ترتيب نشان دهنده گزينه‌ها و شاخص‌ها هستند. جدول9 ماتريسي Sk براي شاخص‌هاي مديريتي را نشان مي‌دهد.

گام دوم: مرحله دوم در روش تحليل توسعه‌اي پس از محاسبه Sk مربوط به هر سطر، اين است كه درجه بزرگي آنها نسبت به هم به دست آيد. جدول10، درجه بزرگي Skرا نسبت به هم نشان مي‌دهد.

سازگاري پاسخ خبرگان حساب گردد. جدول7 نرخ سازگاري شاخصهاي مديريتي (نظر يكي از خبرگان) را نشان مي‌دهد.

شاخص‌هاي مديريتي را که در نتيجه ترکيب پاسخهاي بیست خبره بر مبنای روش باکلي حاصل شده‌اند، نشان مي‌دهد.

جدول7- نرخ سازگاري شاخص‌هاي مديريتي (نظر يكي از خبرگان)

جدول8- ماتریس شاخص‌هاي مديريتي (نظر نهايي خبرگان- بر مبنا روش باکلي)

ترتيب نشان دهنده گزينه‌ها و شاخص‌ها هستند. جدول9 ماتريسي Sk براي شاخص‌هاي مديريتي را نشان مي‌دهد.

گام سوم: محاسبه ميزان بزرگي يک عدد فازي مثلثي از k عدد فازي مثلثي ديگر و در نهايت محاسبه وزن شاخص‌هاي مديريتي مي‌باشد. جدول11 وزن شاخص‌هاي مديريتي (غيرنرمال، وزن نسبي و وزن نهايي) را نشان مي‌دهد.

جدول9- مقدار Sk براي شاخص‌هاي مديريتي

جدول10- درجه بزرگي Sk براي شاخص‌هاي مديريتي

جدول11 وزن شاخص‌هاي مديريتي (غيرنرمال، وزن نسبي و وزن نهايي) را نشان مي‌دهد.

جدول 11- وزن شاخص‌هاي عامل فرعی مـديريتي از عامل اصلی نرم

شاخصهای مدیریتی	وزن نهایی	وزن نسبی	غیرنرمال	V(S1,S2,S3,S4,S5,S6,S7,S8)
1-حمایت مدیریت ارشد	0780/0	203/0	000/1	V(S1≥S2,S3,S4,S5,S6,S7,S8)
2-خطمشی امنیتی سازمان	0625/0	162/0	801/0	V(S2≥S1,S3,S4,S5,S6,S7,S8)
3-ایجاد مدیریت مرکزی با نفوذ (مدیر امنیت)	0602/0	156/0	771/0	V(S3≥S1,S2,S4,S5,S6,S7,S8)
4-آگاهی و دانش کارکنان از امنیت اطلاعات	0544/0	141/0	697/0	V(S4≥S1,S2,S3,S5,S6,S7,S8)
5-آگاهی و پایبندی به سیاستها، رویهها و عملیات سازمانها	0441/0	130/0	643/0	V(S5≥S1,S2,S3,S4,S6,S7,S8)
6-گزارشدهی وقایع امنیتی سازمان	0454/0	118/0	582/0	V(S6≥S1,S2,S3,S4,S5,S7,S8)
7-سیاستها و استراتژیهای فناوری اطلاعات و امنیت سازمان	0322/0	084/0	413/0	V(S7≥S1,S2,S3,S4,S5,S6,S8)
8-تعیین قلمرو امنیت سازمان	0022/0	006/0	029/0	V(S8≥S1,S2,S3,S4,S5,S6,S7)
			935/4	SUM

همانگونه كه در جدول 11 مشاهده مي‌گردد، شاخص حمايت مديريت ارشد(وزن نسبي 203/0 و وزن نهايي 0780/0) داراي بيشترين اهميت و شاخص تعيين قلمرو امنيت سازمان(وزن نسبي 006/0 و وزن نهايي 0022/0) داري كمترين اهميت را در بين شاخص‌هاي مدیریتی در این سازمان است. سایر شاخصها نیز به همین سبک محاسبه و مورد ارزیابی قرارمی‌گیرند که جداول زیر بیانگر نتایج نهایی بدست آمده است.

مطابق جدول 12 شاخص فرهنگ سازماني(وزن نسبي 233/0 و وزن نهايي 0730/0) داراي بيشترين اهميت و شاخص آموزش مداوم استفاده كنندگان در زمينه فناوري‌ و امنيت اطلاعات (وزن نسبي 098/0 و وزن نهايي 0306/0) داري كمترين اهميت، در بين شاخص‌هاي فرهنگي- اجتماعي است.

وزن شاخصهاي فني و فناورانه نیز در جدول13 نشان داده شده است. که بر اساس این جدول شاخص شناسايي و ارزيابي مخاطرات امنيت اطلاعات (وزن نسبي 302/0 و وزن نهايي 0646/0) داراي بيشترين اهميت و شاخص نظارت، ارزيابي، كنترل و مميزي داخلي (وزن نسبي 055/0 و وزن نهايي 0118/0) داري كمترين اهميت، در بين شاخص‌هاي فني و فناورانه است.

مطابق جدول 14 شاخص شناخت دارايي‌ها و تعيين ارزش آن‌ها (وزن نسبي 570/0 و وزن نهايي 0498/0) داراي بيشترين اهميت و شاخص تامين هزينه‌هاي آموزش در زمينه فناوری اطلاعات و امنيت اطلاعات (وزن نسبي 213/0 و وزن نهايي 0186/0) داري كمترين اهميت، در بين شاخص‌هاي مالي هستند.

آمده است.

جدول 12- وزن شاخص‌هاي عامل فرعی فرهنگي- اجتماعي از عامل اصلی نرم

شاخصهای فرهنگی و اجتماعی	وزن نهایی	وزن نسبی	غیرنرمال	V(S1,S2,S3,S4,S5)
1-فرهنگ سازمانی	0730/0	233/0	912/0	V(S1≥S2,S3,S4,S5)
2-فرهنگ امنیت اطلاعات در سازمان	0800/0	255/0	000/1	V(S2≥S1,S3,S4,S5)
3-نهادینه شدن رفتار سازمانی و رفتارهای امنیتی در کارکنان	0707/0	225/0	883/0	V(S3≥S1,S2,S4,S5)
4-آگاهی ذینفعان و مشتریان از مزایای امنیت اطلاعات	0594/0	189/0	742/0	V(S4≥S1,S2,S3,S5)
5-آموزش مداوم استفادهکنندگان در زمینه فناوری و امنیت اطلاعات	0306/0	098/0	383/0	V(S5≥S1,S2,S3,S4)
			920/3	SUM

اهميت و شاخص نظارت، ارزيابي، كنترل و مميزي داخلي (وزن نسبي 055/0 و وزن نهايي 0118/0) داري كمترين اهميت، در بين شاخص‌هاي فني و فناورانه است.

جدول 13- وزن شاخص‌هاي عامل فرعی فني و فناورانه از عامل اصلی سخت

شاخصهای فنی و فناورانه	وزن نهایی	وزن نسبی	غیرنرمال	V(S1,S2,S3,S4,S5)
1-تجهیزات و زیرساختهای امنیت اطلاعات (سختافزار، نرمافزار و شبکه)	0508/0	237/0	786/0	V(S1≥S2,S3,S4,S5)
2-شناسایی و ارزیابی مخاطرات امنیت اطلاعات	0646/0	302/0	000/1	V(S2≥S1,S3,S4,S5)
3-مدیریت مخاطرات (ریسکها) سازمان	0501/0	234/0	775/0	V(S3≥S1,S2,S4,S5)
4-تدوین و نگهداری مستندات امنیت اطلاعات	0365/0	17/0	565/0	V(S4≥S1,S2,S3,S5)
5-نظارت، ارزیابی، کنترل و ممیزی داخلی	0118/0	055/0	182/0	V(S5≥S1,S2,S3,S4)
			308/3	SUM

هزينه‌هاي آموزش در زمينه فناوری اطلاعات و امنيت اطلاعات (وزن نسبي 213/0 و وزن نهايي 0186/0) داري كمترين اهميت، در بين شاخص‌هاي مالي هستند.

درجدول 15 وزن هاي (نسبي و نهايي) عوامل و شاخصهاي مؤثر بر سيستم مديريت امنيت اطلاعات، به تفكيك نشان داده میشود.

جدول 14- وزن شاخص‌هاي عامل فرعی مالي از عامل اصلی سخت

شاخصهای مــالی	وزن نهایی	وزن نسبی	غیرنرمال	V(S1,S2,S3)
1-شناخت داراییها و تعیین ارزش آنها	0498/0	570/0	1	V(S1≥S2,S3)
2-تخصیص بودجه مناسب در زمینه فنآوری اطلاعات و امنیت اطلاعات	0189/0	216/0	3795/0	V(S2≥S1,S3)
3-تامین هزینههای آموزش در زمینه فنآوری اطلاعات و امنیت اطلاعات	0186/0	213/0	3743/0	V(S3≥S1,S2)
			7539/1	SUM

اشتراک گذاری

آدرس مقاله

شناسایی و اولويت¬بندی پارامترهای تاثیرگذار بر سيستم مديريت امنيت اطلاعات (مطالعه موردی: شعب تامین¬اجتماعی استان گیلان)