امنيت اطلاعات سامانه‌هاي تحت وب نهاد كتابخانه‌هاي عمومي كشور

Information Security of Web-based Systems in Iran’s Institution of Public Libraries

هدف: پژوهش حاضر با هدف بررسي وضعيت امنيت اطلاعات در سامانه‌هاي تحت وب نهاد كتابخانه‌هاي عمومي كشور انجام شده است. روش: روش پژوهش پيمايشي- تحليلي و ابزار گردآوري داده‎ها، سياهه وارسي است كه بر مبناي استاندارد ISO/IEC 27002 تهيه شده و با 11 شاخص و 79 زيرشاخص، امنيت اطلاعات را مورد سنجش قرار مي‎دهد. شاخص‌هاي ارزيابي شامل خط مشي امنيت اطلاعات؛ سازماندهي امنيت اطلاعات؛ مديريت دارايي‎ها؛ امنيت منابع انساني؛ امنيت فيزيكي و محيطي؛ مديريت ارتباطات و عمليات؛ كنترل دسترسي؛ تهيه، توسعه و نگهداري سيستم‎هاي اطلاعاتي؛ مديريت حوادث؛ امنيت اطلاعات؛ مديريت تداوم كسب‌وكار؛ و انطباق است. چهار سامانه تحت وب شامل «سامانه شبكه كتابخوانان حرفه‌اي»، «سامانه طرح كتاب من»، «سامانه پيام مشرق» و «سامانه آماري فرزين» نهاد كتابخانه هاي عمومي كشور جامعه پژوهش را تشكيل دادند. يافته‌ها: بر اساس ديدگاه مديران سامانه ها، از نظر امنيت، دو «سامانه شبكه كتابخوانان حرفه‌اي» و «سامانه طرح كتاب من» با ميانگين 68/. در حد خوب و دو «سامانه پيام مشرق» و «سامانه آماري فرزين» با ميانگين هاي 60/. و 53/. در حد متوسطي قرار دارند. از ديدگاه كارشناسان فن‌آوري اطلاعات ادارات كل كتابخانه هاي عمومي كشور، هر چهار سامانه از لحاظ شاخص‌هاي امنيت اطلاعات در حد متوسطي قرار دارند و تفاوت معني داري بين اين چهار سامانه وجود ندارد. همچنين دو شاخص «مديريت تداوم كسب‌وكار» و «تهيه، توسعه و نگهداري سيستم هاي اطلاعاتي» قوي‌ترين نقاط و«خط مشي امنيت اطلاعات» و «سازماندهي امنيت اطلاعات» آسيب پذيرترين نقاط امنيت اطلاعات سامانه هاي نهاد كتابخانه هاي عمومي به‌شمار مي روند و تفاوت معني داري بين 11 شاخص اصلي امنيت اطلاعات در اين چهار سامانه وجود دارد. اصالت/ارزش: با عرضه اولين استاندارد مديريت امنيت اطلاعات، نگرش سيستماتيك به مقوله ايمن‌سازي فضاي تبادل اطلاعات شكل گرفت. اين مقاله بر اساس يكي از استانداردهاي پذيرفته شده امنيت اطلاعات، سامانه هاي تحت وب نهاد كتابخانه هاي عمومي كشور را ارزيابي و نقاط قوت و آسيب پذير اين سامانه ها را مشخص كرده است و پيشنهادهايي براي بهبود وضعيت امنيت اين سامانه ها ارايه داده است.

Purpose: This paper aims to evaluate the security of web-based information systems of Iran Public Libraries Foundation (IPLF). Methodology: Survey method was used as a method for implementation. The tool for data collection was a questionnaire, based on the standard ISO/IEC 27002, that has the eleven indicators and 79 sub-criteria, which examines security of web-based information systems of IPLF. Four web-based systems of IPLF evaluated. Evaluation criteria includes: Security Policy; Organization of information security; Asset management; human resources security; physical and environmental security; communications and operations management; access control; Information systems acquisition, development and maintenance; Information security incident management; business continuity management, and compliance. Findings: Results show that security level of "Reading grid system" and "my book system" with an average of 0/68 was high. Security level of “Payam Mashregh system” and “Farzin statistical system” with an average of 0/60 and 0/53 was middle. Indicators such as "business continuity management", “prepare, develop and maintain information systemsʹ strongest points”, “information security policy” and “information security organization” are among the most vulnerable areas of information security systems of IPLF And there were significant differences between viewpoints of experts about indicators of Information Security systems of IPLF. Originality/value: We designed a systematic approach for the immunization of data exchange environment by evaluating web-based systems of IPLF by some criteria derived from accepted information security management standards. This article identified the strengths and vulnerabilities of the mentioned systems.