DOI: http://dx.doi.org/10.22059/jitm.2015.52454
د ناوری اطلاعات دانشكدة مديريت دانشگاه تهران
دورة 6، شمارة 4 زمستان 1393 ص. 566- 551

رتبه بندي موانع پياده سازي سيستم مديريت امنيت اطلاعات و بررسي ميزان آمادگي مديريت اكتشاف
اميرهوشنگ تاج فر 1، محمد محمودي ميمند2، فاطمه رضاسلطاني3، پوريا رضاسلطاني4
چكيده: امروزه، اطلاعات نقش سرماية يك سـازمان را ايفـا مـي كنـد و حفاظـت از اطلاعـات سازمان يكي از اركان مهم بقاي آن است. سيستم مديريت امنيت اطلاعـات (ISMS)، حفاظـت از اطلاعات را در سه مفهوم خاص محرمانه بودن اطلاعات، صحت اطلاعات و در دسترس بودن اطلاعات تعريف مي كند. بسياري از شكست هاي پياده سازي ISMS ريشـه در مسـائل سـازماني و بي توجهي به وضعيت آمادگي سازمان قبل از پياده سازي دارد. در اين پـژوهش تـلاش شـده اسـت موانع پياده سازي ISMS برحسب ميزان اهميت، به روش تحليل سلسلهمراتبي رتبـه بنـدي شـود و ميزان آمادگي سازمان در پياده سازي ISMS بهكمك ابزار پرسشنامه مشخص شود. پژوهش بـه روش توصيفي ـ پيمايشي انجام گرفته و از نظر هدف، كاربردي است. نتايج پژوهش مهم تـرين مانع در راه پياده سازي ISMS را ناهمخواني ساختار سازماني با نيازهاي ISMS مي داند و تـرس كاركنان از سخت شدن فرايندهاي كار با اجراي ISMS را كم اهميت ترين مانع معرفي كـرده اسـت؛ ضمن آنكه ميزان آمادگي مديريت اكتشاف در پياده سازي ISMS پايين تر از حد متوسط است.

واژه هاي كليدي: تحليل سلسله مراتبي، سنجش آمادگي، سيستم مديريت امنيت اطلاعات، موانع پياده سازي.

استاديار مديريت فناوري اطلاعات، دانشگاه پيام نور، تهران، ايران
دانشيار مديريت اجرايي و MBA، دانشگاه پيام نور، تهران، ايران
كارشناس ارشد مديريت فناوري اطلاعات، دانشگاه پيام نور تهران غرب، ايران
دانشجوي دكتري سنجش و اندازه گيري، دانشگاه تهران، ايران

تاريخ دريافت مقاله: 25/12/1392 تاريخ پذيرش نهايي مقاله: 10/04/1393 نويسندة مسئول مقاله: فاطمه رضاسلطاني
E-mail: ryma_rooz@yahoo.com
مقدمه
حيات سازمان ها ارتباط نزديكي با سيستم هاي اطلاعاتي آنها دارد. سيسـتم هـاي اطلاعـاتي نيـز همواره در خطر سرقت اطلاعات، تغيير اطلاعات و ايجاد وقفه در خدمات رساني هستند. به منظـور حل مسئلة امنيت اطلاعات، سازمان نيازمند به كـارگيري طيـف گسـترده اي از دانـش ، فنـاوري و قوانين سازماني است و درعين حال بايد مطمئن شد كـه سـازمان فقـط روي راه حـل هـاي فنـي متمركز نيست، بلكه اجزاي كليدي ديگر امنيت اطلاعات، شامل فراينـدها و كاركنـان نيـز در آن لحاظ شده است (هونان، 2006 و كرمر، 2006).
در سال 2005 يكي از جامعترين استاندارهاي سيستم مديريت امنيت اطلاعات1 با نام ايزو
2005 :27001 (ISO/IEC) 2 تدوين شد. هدف از تدوين اين استاندارد ملي، مشخص كردن الزامي براي ايجاد، اجرا، بهره برداري، پايش، بازنگري، نگهداري، بهبود و ارتقاي يك سيستم مديريت امنيت اطلاعات مستند شده، با در نظر گرفتن مفهوم ريسك هاي كلان كسب وكار سازمان بود. در تاريخ 25 سپتامبر 2013، پي شنويس نسخة جديد استاندارد ايزو 27001 با نام ايزو 27001: 2013 منتشر و جايگزين استاندارد قبلي، يعني ايزو 27001: 2005 شد. در اين استاندارد بر تعداد دامنه هاي كنترلي افزوده شد و از 11 به 14 رسيد و تعداد كنترلها از 133 به 113 كاهش يافت.
از ويژگي هاي اين استاندارد وجود 113 كنترل امنيتي در قالب 35 هدف كنترلي و 14 حوزه شامل خط مشي امنيتي، سازمان، مديريت دارايي، امنيت منابع انساني، امنيت فيزيكي و محيطي، امنيت عمليات، امنيت ارتباطات، كنترل دسترسي، رمزنگاري، ارتباط با تأمين كنندگان، اكتساب، توسعه و نگهداري سيستمهاي اطلاعاتي، مديريت حوادث امنيت اطلاعات، مديريت تداوم كسب وكار و انطباق است كه جنبه هاي گوناگون مديريتي، عملياتي و فني را در يك سازمان پوشش ميدهد (سازمان استاندارد بين المللي، 2013).
با توجه به اهميت اين سيستم فني ـ مديريتي در كشور، طبق بخشنامة شمارة 13711-86/ م / 38505 مورخ 10/8/1386معاون اول محترم رئيس جمهور، كلية دستگاه هاي دولتي و غيردولتي موظف به تهية طرح سيستم مديريت امنيت اطلاعات شدند. از آنجا كه طراحي و استقرار ISMS سرمايه گذاري نسبتاً زيادي را مي طلبد، ارزيابي شرايط سازمان از حيث ميزان آمادگي، امري ضروري به نظر ميرسد (خراساني راد، حسي نآبادي و اميرزاده، 1375).
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
Information Security Management System (ISMS)
International Electrotechnical Commission/ International Standard Organization
براي سيستم مديريت امنيت اطلاعات ويژگي هاي گوناگوني بيـان شـده اسـت . بـراي مثـال ذكرشده كه بايد مديريت آن متمركز باشد و واحد و فرايندهايي مجزا از ساير بخش هاي سازماني (به ويژه بخش فناوري اطلاعات) داشته باشد؛ البته بايد هماهنگي و هم راستايي ميان قسمت هاي گوناگون نيز حفظ شود (ارنست جونز، 2006). همچنين تأكيد شده است كه رويكرد صـحيح بايـد تكرارشونده، نظام مند، كامـل ، سـازگار و آسـان بـراي درك، تجزيـه و تحليـل باشـد (كوتونيـا وسومرويل، 1998). ويژگي ديگر آنكه رويكرد مديريت امنيت، بايد تعادلي ميان حفاظت اطلاعـات و دسترسي مجاز باشد. نكتة مهم اين است كه امنيـت اطلاعـات بايـد در تمـام سـطح سـازماني (راهبردي، تاكتيكي و عملياتي) مديريت شود و كنترل هاي لازم پياده سازي شوند. همچنين بهتـر است امنيت اطلاعات به صورت فرايندي مداوم اجرا شود و شناسايي، ارزيابي و پياده سازي را براي همة اجزا دربرگيرد (ريان، 2006). همچنين چارچوب مديريت امنيت بايـد بـه گونـه اي باشـد كـه اجرايش آسان، كم هزينه و مناسب با نيازهاي تجارت الكترونيكي باشد (زوكاتو، 2007).
هدف اصلي پژوهش، رتبه بندي موانع استقرار سيسـتم مـديريت امنيـت اطلاعـات و بررسـي ميزان آمادگي پياده سازي در مديريت اكتشاف شركت ملي نفت ايران است. فرضيه هاي پـژوهشبه شرح زير تدوين شده اند:
بين مؤلفه هاي موانع پياده سازي سيستم مديريت امنيت اطلاعات رتبه بندي وجود دارد؛
ميزان آمادگي مديريت اكتشاف شركت ملي نفت ايران در پياده سازي سيستم مـديريت امنيت اطلاعات، بيشتر از حد متوسط است1؛
سطح همة مؤلفه هاي آمادگي مديريت اكتشاف شركت ملي نفت ايران در پيـادهسـازي سيستم مديريت امنيت اطلاعات، بيشتر از حد متوسط است؛
بين ميانگين مؤلفه هاي آمادگي مديريت اكتشاف شركت ملي نفت ايران در پياده سازي سيستم مديريت امنيت اطلاعات، تفاوت معنادار آماري وجود دارد.
با توجه به بررسي مباني نظري و پيشينة پژوهش، هشت مؤلف ة موانع مديريتي، محيطي، فني، آموزشي، اقتصادي، ساختاري، فردي و فرهنگي و 25 زيرمؤلفة آگـاه نبـودن مـديريت از ضـرورتامنيت، بهره نبردن از حمايت كامل و مشاركت مديريت ارشد، برخوردار نبودن از مديريت زمـاني و مالي پروژه، وجود نهادهاي موازي در تصميم گيري (فناوري اطلاعات و حراست)، بي تـوجهي بـه ISMS به منزلـة مزيـت رقـابتي، تعريـف نادرسـت قلمـرو اسـتقرار ISMS، برخـوردار نبـودن اززيرساخت مناسب فناوري اطلاعات، نداشـتن تخصـص و تجربـة كـافي شـركت هـاي پيمانكـار ، بهرهنبردن از مشاور برون سازماني، تدوين نامناسب خـط مشـي امنيـت اطلاعـات، كيفيـت پـايين
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ 1. بر اساس طيف ليكرت، عدد 3 نمايانگر حد متوسط است.
دوره هاي آموزشي، برگزار نكردن دوره هـاي آموزشـي يـا تعـداد انـدك آنهـا، هزينـه هـاي زيـاد پياده سازي، نبود بودجة مناسب در سازمان، برخوردار نبودن از كميتة راهبري شايسـته ، بـي ثبـاتي مديريت ارشد سازمان، ناهمخواني ساختار سازماني با نيازهاي ISMS، نبود بلـوغ سـازماني ، كـار زي اد و ت داخل مس ئوليت ه اي كاركن ان، ت رس كاركن ان از س خت ش دن فراين دهاي ك ار، همكاري نداشتن و ناهماهنگي كاركنان درگير پروژه، مقاومت مديران و كاركنـان در برابـر تغييـر، پايينبودن ميزان رضايت شغلي كاركنان، تقليل مفهوم ISMS به پروژة امنيت شبكه و بيتمايلي سازمان به بازمهندسي فرايندهايش، موانع پيادهسازي ISMS معرفي شدند.
با توجه به كمبود پژوهش تجربي و اهميت امنيـت اطلاعـات بـراي سـازمان هـاي امـروزي ، به ويژه شركت ملي نفت ايران، اين مطالعه در جست وجوي موانع استقرار سيستم مديريت امنيـت اطلاعات، اولويت بندي آن و بررسي ميزان آمادگي مديريت اكتشاف شركت ملـي نفـت ايـران در پياده سازي اين سيستم است؛ نتايج اين پژوهش مي تواند ياري دهندة سـازمانهـاي ديگـر بـرايسنجش ميزان آمادگي پياده سازي اين سيستم باشد.
پيشينة پژوهش پيشينة نظري
براي محافظت از اطلاعات سازمان، نمي توان به نوع خاصي از امنيت يا به يك محصـول خـاص اكتفا كرد (ميوالد، 1383). بحث مديريت امنيت اطلاعـات بـه دليـل پيچيـدگي زيـاد ، بـا مسـائل بحث انگيز زيادي مواجه مـي شـود كـه ايـن مباحـث درراسـتاي فـراهمآوردن چـارچوب ، روش و فناوري هايي براي بهبود پياده سازي امنيت اطلاعات در سازمان است (چـاو، 2005). پيـاده سـازي اثربخش امنيت اطلاعات، به رويكردي يكپارچه نياز دارد (ورمولن و ونسلمز، 2002). در وضـعيتكنوني، امنيت اطلاعات ماهيتي مديريتي پيداكرده و به آموزش و توجه مديران سازمان ها نيازمند است (كنپ، مارشال، رينر، مورا، 2004).
نبود حمايت مستمر مديريت ارشد، يكي از موانعي است كه كوك و لانگلي در سـال 1999 و بلون در سال 2008 به طور مشترك بر آن تأكيد كرده اند. همچنين بـه بـاور سـيپونن و ويلسـون (2009) چنانچه دانش و آگاهي كافي دربارة سيستم مديريت امنيت اطلاعات وجود نداشته باشـد ، سازمان هنگام پياده سازي اين استاندارد با مشكلاتي مواجه خواهد شد. عاملي كه به عقيدة بلـون نيز از اهميت بسيار بالايي برخوردار اسـت (بلـون، 2008؛ سـيپونن و ويلسـون، 2009 و كـوك و لانگلي، 1999). ترس از بروز تغييرات در فرايندهاي كسب وكار مانع ديگري است كـه ويليـام در سال 2008 به آن اشاره كرده است (ويليام، 2008).
پيشينة تجربي
با توجه به بررسي مباني نظـري و پيشـينة پـژوهش ، در ادامـه بـه مسـتندات مربـوط بـه موانـع پياده سازي سيستم مديريت امنيت پرداخته مي شود.
پژوهش هاي پيشين، موارد زير را موانع پياده سازي ISMS معرفي كرده اند:
تعيين اشتباه حوزة انجام پروژه، نگرش نامناسب سازمان بـه ايـن سيسـتم ، آگـاهي نداشـتن و آموزش كم كارمندان سازمان، مقاومت كارمنـدان سـازمان ، تجهيـزات نامناسـب فنـي ، مـديريت ريسك نامناسب، عـدم انجـام مميـزي دوره اي، مقاومـت كارمنـدان سـازمان ، بـروز تغييـرات در تشكيلات سازماني، نداشتن درك صحيح از شروط و مفاد استاندارد، سازگار نبودن بـا رويـه هـاي سازماني، هزينه هاي بالاي مالي و زماني پياده سازي، برون سپاري خدمات IT، برخوردار نبـودن از دانش كافي دربارة تهديدهاي امنيت اطلاعـات ، فهرسـت دارايـي نـاقص ، انتخـاب كنتـرل هـاي نامناسب، نبود برنامة مناسب مديريت تداوم كسب وكار، مستندسـازي نامناسـب ، شـرح وظـايف و مسئوليت هاي نامناسب امنيتي، مميزي هاي ناكافي مديريت، مديريت پروژة نامناسـب ، پشـتيباني نامناسب مديريت، مميزي نامناسب داخلي، نظرخواهي نكردن از كاركنان ديگر سازمان هنگام اخذ تصميمات مرتبط با امنيت اطلاعات، هم راستا نبودن سياسـت هـاي امنيتـي بـا فلسـفة سـازماني ، پراكندگي جغرافيايي سازماني، نظارت ناكـافي بـر رفتـار كاركنـان در حـوزة امنيـت اطلاعـات و تخصيص نادرست مسئوليت هاي كاربران در حوزة امنيت اطلاعات (الاين، 2009؛ دهيلن، 2001؛ عبدالجليل و عبدالحميد، 2005؛ فومين، ديوريسو بارلت، 2008؛ كاكـار ، پونهـاني و مـدن ، 2012؛ كريتزينگر، 2008؛ كو، چانگ و ين ، 2009).
همچنين موارد زير عوامل حياتي موفقيت پياده سازي ISMS، شناسـايي شـدند : پشـتيباني و مشاركت مديريت عالي سازمان، سياست هاي مناسب امنيتي، شرح وظايف مناسب امنيتي، انگيزة كارمندان، سازگاري روية كسب وكار سازمان با رويه هاي امنيتي و مشاور مجرب خارجي (العـودي و ريناد، 2007؛ كاظمي، خواجويي و نصرآبادي، 2012).
و موارد زير نيز عوامل مؤثر بر پياده سازي ISMS معرفي شدند:
نگهداري سيستم امنيت اطلاعات، سازگاري با قوانين دولتـي ، مـديريت تـداوم كسـب وكـار ، كنترل دسترسي، امنيت فيزيكي و محيطي، امنيت ارتباطات، مديريت دارايي، امنيت منابع انساني، ساختار امنيتي سازمان، سياست هاي امنيتي و آموزش، فرهنگ سـازماني و ملـي ، تعهـد مـديريت ، مهارت و آموزش، آگاهي از مسئوليت ها، تشكيلات امنيت اطلاعـات ، تسـهيم اطلاعـات دانـش ، فناوري امنيت اطلاعات و مديريت تغييرات، ساختار سازماني، سياست برخورد با ريسك، انجام كار تيمي، ناظر فني سازمان، مديريت سازمان، مشاور فني سازمان، پيمانكار، حمايت مـديريت عـالي ، آموزش امنيتي، فرهنگ امنيتي، مهارت امنيتي، تقويت خط مشي امنيتي، تجربـه هـا و خودبـاوري افراد، افزايش ميزان آگاهي مديريت و دانش كاربران (آلفاواز، 2011؛ چـويي ، كـيم و گـو ، 2008؛ صدر عاملي، ترك لاداني و فراهي، 1388؛ طاهري، 1388؛ محسني، 2013).
مدل مفهومي
مدل استاندارد و يكپارچه اي در زمينة موانع پياده سازي ISMS وجود ندارد و هريـك از محققـان پيشين تنها به بررسي بخشي از ابعاد مدل پرداخته اند. با توجه به بررسي مباني نظـري و پيشـينة پژوهش، مدل مفهومي در قالب شكل 1 به نمايش گذاشته شده است.

وجود نهادهاي موازي در تصميمگيري
1911731262585محيطي

موانع

فردي

موانع

آموزشي

موانع

مديريتي

موانع

فرهنگي

موانع

فني

موانع

ساختاري

موانع

اقتصادي

موانع

محيطي

موانع

فردي

موانع

آموزشي



قیمت: تومان


پاسخ دهید