پیاده سازی مدیریت امنیت اطلاعات در یک سازمان خدماتی
محورهای موضوعی : زيرساختهاي توسعه فناوري و نهادهاي پشتيبان توسعه فناوريمحمدرضا ثنایی 1 * , احمد طاعتی 2
1 - استادیار، گروه مدیریت فناوری اطلاعات، دانشکده مدیریت و حسابداری، دانشگاه آزاد اسلامی واحد قزوین، قزوین، ایران
2 - دانشجوی دکتری مدیریت فناوری اطلاعات، دانشکده مدیریت و حسابداری، دانشگاه آزاد اسلامی واحد قزوین، قزوین، ایران
کلید واژه: مدیریت امنیت اطلاعات, پیاده سازی, عوامل فناوری و تکنولوژی, عوامل سازمانی و عوامل خارجی,
چکیده مقاله :
با توجه به نقش فزاینده امنیت اطلاعات در اداره هر جامعه، سازمانها و نهادها ناگزیر به تأمین زیرساختهای لازم برای تحقق این امر مهم میباشند. برای اجرای بهینه و موفق سیستمهای مدیریت امنیت اطلاعات علاوه بر منابع مادی، تکنیکهای مدیریتی نیز تأثیر زیادی دارند. ثبت استانداردهای مدیریتی در حوزه امنیت اطلاعات میتواند به صورت برنامهریزیشده طراحی شود تا وضعیت امنیتی سازمانها متناسب با نیاز آن سازمان تغییر یابد و امنیت از منظر ادامه کسبوکار و تا اندازهای در سطوح دیگر (مدیریت بحران و جنگ نرم) تضمین شود. لذا در این پژوهش سعی شده است ضمن حفظ اطلاعات طبقهبندیشده سازمان، اطلاعات غیرمحرمانهای که میتواند موجب ارتقای سازمانهای مشابه شود در اختیار دیگران قرار گیرد. این پژوهش با مطالعات کتابخانهای و مرور پایاننامههای مرتبط آغاز شد و پس از کسب اطلاعات مهم در خصوص موضوع مطروحه، مجموعهای از "شاخصهای کلیدی" به دست آمد و در گروههای متناسب با نام "عوامل موثر کلیدی در پیادهسازی سیستم مدیریت امنیت" دستهبندی گردید و توسط ابزار پرسشنامه مورد تحلیل و ارزیابی قرار گرفت. تعداد104 پرسشنامه در سازمان مورد مطالعه شهر تهران توزیع و جمعآوری شد و سپس آزمونهای مورد نیاز آماری بر روی آنها انجام گرفت. نتایج نشان داد عوامل فناوری و تکنولوژی بیشترین تاثیر و به همین ترتیب عوامل درون سازمانی و برون سازمانی در رتبههای بعدی تاثیرگذاری قرار گرفتند. نتایج کاربردی شامل ایجاد ادبیات مشترک مدیران در پیاده سازی، اصلاح نگاه مدیران نسبت به مفهوم مدیریت امنیت اطلاعات، برنامه ریزی جهت آموزش و تشکیل کمیته امنیت اطلاعات در سازمان مورد مطالعه میباشد.
Considering the increasing role of information security in the administration of every society, organizations and institutions are bound to provide the necessary infrastructure to realize this important matter. For the optimal and successful implementation of information security management systems, in addition to material resources, management techniques also have a great impact. Registration of management standards in the field of information security can be designed in a planned manner so that the security status of organizations is changed according to the needs of that organization and security is guaranteed from the perspective of business continuity and to some extent at other levels. Therefore, in this research, while maintaining the classified information of the organization, non-confidential information that can promote similar organizations has been made available to others. This research started with library studies and review of relevant theses and after obtaining important information about the subject, a set of "key indicators" was obtained and categorized into appropriate groups named "key effective factors in the implementation of the security management system" and It was analyzed and evaluated by means of a questionnaire. 104 questionnaires were distributed and collected in the studied organization in Tehran, and then the required statistical tests were performed on them. The practical results include the creation of common literature for managers in implementation, the modification of managers' view of the concept of information security management, planning for training and the formation of an information security committee in the studied organization
اسدالهی، داود(1399)، مدیریت ریسک یکپارچه در سیستم مدیریت امنیت اطلاعات، پایان نامه کارشناسی ارشد، موسسه آموزش عالی یاسین، گروه کامپیوتر
احمدی, زکیه؛ علی ناصری و سیده ندا قرشی، (1391) ، سیستم مدیریت امنیت اطلاعات ISMS، پانزدهمین کنفرانس دانشجویی مهندسی برق ایران، کاشان، سازمان علمی دانشجویی مهندسی برق کشور.
امیری مجتبی، زمانیان مصطفی، روزبهانی خدیجه، (1394)، استخراج عوامل شکست پیادهسازی سیستم مدیریت امنیت اطلاعات ISMS) )در کشورهای در حال توسعه (با تمرکز بر سازمانهای ایرانی)، فصلنامه سیاست نامه علم و فناوری دوره 5 ، شماره2.
ایرانپوراردهایی سیدمهدی، (1394) ، بررسی چالشهای پیادهسازی سیستم مدیریت امنیت اطلاعات با استفاده از روش MEHARI و بررسی میزان آمادگی پژوهشگاه خواجه نصیر الدین طوسی در پیادهسازی این سیستم، پژوهشکده علوم انسانی و اجتماعی دانشگاه پیام نور استان تهران.
تقی زادگان, هادی، (1395)، ویژگی نقش سازمانی و پیاده سازی امنیت اطلاعات در مدیریت دانش، همایش پژوهش های مدیریت و علوم انسانی در ایران، تهران، موسسه پژوهشی مدیریت مدبر، دانشگاه تهران
جویبار, زهرا، (1390)، ضرورت پیاده سازی سیستم مدیریت امنیت اطلاعات درسازمانهای مجازی، کنفرانس فناوری اطلاعات و جهاد اقتصادی، کازرون، مجتمع آموزش عالی کازرون
حسینی، سید رضا و علیرضانژاد، مهدی و خدابنده، پوریا،(1399)،بررسی اصول و پایه های امنیت اطلاعات و پایگاه داده در سازمان ها،دهمین کنفرانس ملی علوم و مهندسی کامپیوتر و فناوری اطلاعات، بابل، https://civilica.com/doc/1041707
خداشناس، نرگس(1399). بررسی تأثیر قابلیت های فناوری اطلاعات بر عملکرد شرکت ها با نقش واسطه ای سیستم مدیریت امنیت اطلاعات، پایان نامه کارشناسی ارشد، موسسه آموزش عالی اترک - قوچان، گروه کامپیوتر
خیری سعید، (1395). شناسایی، تحلیل و رتبهبندی عوامل مؤثر کلیدی در پیادهسازی سیستم مدیریت امنیت اطلاعات در سازمانهای حاکمیتی (مطالعه موردی: سازمان بنادر و دریانوردی)، فصلنامه تخصصی بندری، دریایی و کشتیرانی، دوره2، شماره3
سواری، علی(1401)، بررسی تاثیر عوامل نگرشی بر حفظ امنیت اطلاعات با نقش میانجی انگیزه حفظ اطلاعات (مورد مطالعه: سازمان تامین اجتماعی اهواز)، پایان نامه کارشناسی ارشد، دانشگاه پیام نور استان مرکزی، مرکز پیام نور اراک
شیخعلی, داود, حسنوی, رضا, رمضان, مجید. (1395). بررسی تأثیر امنیت فن آوری اطلاعات در اجرای سامانه مدیریت دانش. بهبود مدیریت, 10(34), 25-47.
صادقی، پویا و علی پور، صادق،(1400)،اهمیت و نقش امنیت اطلاعات در شبکه های هوشمند،پنجمین کنفرانس بین المللی توسعه فناوری در مهندسی برق ایران،تهران،https://civilica.com/doc/1232077
گلستانی زاده محبوبه، سلطان آقایی کوپایی محمدرضا(1395)، ضرورت استقرار سیستم مدیریت امنیت اطلاعات در سازمانهای هزاره سوم، اولین همایش ملی فناوری اطلاعات و ارتباطات و محاسبات نرم افزار.
عزیزی محمودآباد, رویا و مهران عزیزی محمودآباد، (1394).ضرورت پیاده سازی سیستم مدیریت امنیت اطلاعات در دولت الکترونیک، کنفرانس بین المللی پژوهش های کاربردی در فناوری اطلاعات، کامپیوتر و مخابرات، تربت حیدریه، شرکت مخابرات خراسان
مهری، محدثه(1400)، بررسی تاثیر آگاهی جامع از امنیت اطلاعات و ویژگی های شناختی بر عملکرد مدیریت تهدید در حوزه سیستم اطلاعاتی. بررسی تاثیر آگاهی جامع از امنیت اطلاعات و ویژگی های شناختی بر عملکرد مدیریت تهدید در حوزه سیستم اطلاعاتی. پایان نامه کارشناسی ارشد، دانشگاه الزهرا (س)، دانشکده علوم اجتماعی و اقتصادی.
یوسفیان پور، ازهار (1401)، بررسی تأثیر رویکردهای سازمانی بر عملکرد مدیریت امنیت اطلاعات در اداره کل امور اقتصادی و دارائی استان خوزستان، پایان نامه کارشناسی ارشد، موسسه آموزش عالی فراز، گروه مدیریت
Al-Awadi, M. & Renaud, K. (2007). Success factors in information security implementation in organizations. Paper presented at the IADIS International Conference e-Society 2007, Available in: http://www.dcs.gla.ac.uk /~karen/ Papers/sucessFactors2.pdf.
Aydiner, A. S., Tatoglu, E., Bayraktar, E., & Zaim, S. (2019). Information system capabilities and firm performance: Opening the black box through decision-making performance and business-process performance.International Journal of Information Management, 47, 168-182
Kala Kamdjoug, J. R., Nguegang Tewamba, H. J., & Fosso Wamba, S. (2018). IT capabilities, firm performance and the mediating role of ISRM: A case study from a developing country.Business Process Management Journal.
Kakkar, A., Punhani, R. & Madan, S. (2012). Implementation of ISMS and its Practical Shortcomings. International Refereed Research Journal ISSN 1839-6518,Vol. 02, No. 01, www.irj.iars.info.
Karyda, M., Tsohou, A. & Kokolakis, S. (2015). Analyzing the role of cognitive and cultutal biases in the internalization of information security policies: recommendations for information security awareness programs. Computers & security, 52(3), 128-141.
Ma, X. (2022). IS professionals’ information security behaviors in Chinese IT organizations for information security protection. Information Processing & Management, 59(1), 102744. https://doi.org/10.1016/j.ipm.2021.102744
Modiri, N., Sheikhpour, R. (2012). A best practice approach for integration of ITIL and ISO/IEC 27001 services for information security management. Indian journal of science and technology, 5(2), 70.
Tomal, D. (2010). Action research for educators. Rowman & little field education, 2 (20), 200-202.