عنوان مقاله :
ارائه مدلي براي پايش بلوغ امنيت اطلاعات
پديد آورندگان :
اخوان ، فاطمه دانشگاه آزاداسلامي واحد تهران , رادفر ، رضا دانشگاه آزاد اسلامي واحد علوم تحقيقات
كليدواژه :
امنيت اطلاعات , سيستم مديريت امنيت اطلاعات (ISMS) , مدل بلوغ , مدل بلوغ امنيت اطلاعات , استاندارد ISO27001
چكيده فارسي :
امروزه امنيت اطلاعات يكي از چالشهاي اصلي در عصر دانايي و اطلاعات محسوب ميشود و حفاظت از اطلاعات در برابر دسترسي غيرمجاز، تغييرات، خرابكاري و افشا، امري ضروري و اجتنابناپذير به شمار ميرود. هدف و انگيزه اين مقاله به دليل ارائه مدل بلوغ امنيت اطلاعات براي پايش اجراي امنيت در سازمانها و ارائه بهترين شيوههاي پيادهسازي امنيت است. پژوهش حاضر كه در يكي از شركتهاي زيرمجموعه صنعت نفت انجام شده است، به صورت روش آميخته كيفي ـ كمي انجام شده است. به منظور جمعآوري دادهها از روش كتابخانهاي، مطالعات ميداني، پرسشنامه و مصاحبه استفاده شده است و مقالات، اسناد، دستورالعملها و مباني مربوط به شناسايي چالشهاي امنيت فناوري اطلاعات براساس الزامات استاندارد ISO 27001 در اين مجموعه ستادي مورد بررسي قرار گرفته است. براي شناسايي موانع و كاستيهاي امنيتي يك سازمان خاص، مدلهاي مختلفي ارائه شده است. هدف، شناسايي يك فاصله بين تئوري و عمل ميباشد كه ميتواند از طريق رويكرد فرايند محور به هم نزديك شوند. مدل بلوغي كه در اين پروژهش معرفي و مورد استفاده قرار ميگيرد، يك نقطه شروع براي پيادهسازي امنيت، يك ديدگاه عمومي از امنيت و يك چارچوب براي اولويتبندي عمليات، فراهم ميسازد. اين مدل بلوغ امنيت اطلاعات داراي 5 فاز ميباشد. مدل بلوغ امنيت اطلاعات بهعنوان ابزاري جهت ارزيابي توانايي سازمانها براي مطابقت با اهداف امنيت، يعني، محرمانگي، يكپارچگي و در دسترسبودن و جلوگيري از حملات و دستيابي به مأموريت سازمان عليرغم حملات و حادثهها ميباشد. نتايج ارزيابي نشان ميدهد كه سازمانهايي كه سرمايهگذاريهاي امنيتي را در پيش رو دارند، بايد ضرورت بهكارگيري امنيت اطلاعات در سازمان توسط مديران عالي درك شده باشد، و علاوه بر اقداماتي كه در زمينه امنيت محيط فيزيكي، شبكه و كامپيوترهاي شخصي و كنترلهاي دسترسي و رمزنگاري صورت گرفته است آموزش و فرهنگسازي لازم پيادهسازي شود.
