پیادهسازی مدیریت امنیت اطلاعات در یک سازمان خدماتی
محورهای موضوعی : زيرساختهاي توسعه فناوري و نهادهاي پشتيبان توسعه فناوريمحمدرضا ثنایی 1 * , احمد طاعتی 2
1 - استادیار، گروه مدیریت فناوری اطلاعات، دانشکده مدیریت و حسابداری، دانشگاه آزاد اسلامی واحد قزوین، قزوین، ایران
2 - دانشجوی دکتری مدیریت فناوری اطلاعات، دانشکده مدیریت و حسابداری، دانشگاه آزاد اسلامی واحد قزوین، قزوین، ایران
کلید واژه: مدیریت امنیت اطلاعات, پیادهسازی, فناوری و تکنولوژی, عوامل سازمانی و عوامل خارجی.,
چکیده مقاله :
با توجه به نقش فزاینده امنیت اطلاعات در اداره هر جامعه، سازمانها و نهادهای دولتی و خصوصی ناگزیر به تأمین زیرساختهای لازم برای تحقق این امر مهم میباشند. برای اجرای بهینه و موفق سیستمهای مدیریت امنیت اطلاعات علاوه بر منابع مادی، تکنیکهای مدیریتی نیز تأثیر زیادی دارند. ثبت استانداردهای مدیریتی در حوزه امنیت اطلاعات فاوا میتواند به صورت برنامهریزیشده طراحی شود تا وضعیت امنیتی سازمانها متناسب با نیاز آن سازمان تغییر یابد و امنیت از منظر ادامه کسبوکار و تا اندازهای در سطوح دیگر (مدیریت بحران و جنگ نرم) تضمین شود. لذا در این پژوهش سعی شده است ضمن حفظ اطلاعات طبقهبندیشده سازمان، اطلاعات غیرمحرمانهای که میتواند موجب ارتقای سازمانهای مشابه شود در اختیار دیگران قرار گیرد. این پژوهش با مطالعات کتابخانهای و مرور پایاننامههای مرتبط آغاز شد و پس از کسب اطلاعات مهم و پایه درخصوص موضوع مطروحه، مجموعهای از "شاخصهای کلیدی" بهدست آمد و در گروههای متناسب با نام "عوامل مؤثر کلیدی در پیادهسازی سیستم مدیریت امنیت" دستهبندی گردید و توسط ابزار پرسشنامه مورد تحلیل و ارزیابی قرار گرفت. این پژوهش از نوع توصیفی- پیمایشی بوده و دادهها با استفاده از پرسشنامه جمعآوری شده است و تعداد 104 پرسشنامه در سازمان مورد مطالعه شهر تهران توزیع و جمعآوری شد و سپس آزمونهای مورد نیاز آماری بر روی آنها انجام گرفت. هدف این پژوهش شناسایی عوامل کلیدی در پیادهسازی مدیریت امنیت اطلاعات در سازمانهای خدماتی است. نتایج نشان داد فناوری بیشترین تأثیر و به همین ترتیب عوامل درون سازمانی و برون سازمانی در رتبههای بعدی تأثیرگذاری قرار گرفتند. نتایج کاربردی شامل ایجاد ادبیات مشترک مدیران در پیادهسازی، اصلاح نگاه مدیران نسبت به مفهوم مدیریت امنیت اطلاعات، برنامهریزی جهت آموزش و تشکیل کمیته امنیت اطلاعات در سازمان مورد مطالعه میباشد. همچنین نتایج میتواند برای مدیران و سیاستگذاران در طراحی و اجرای سیاستهای امنیت اطلاعات مفید باشد.
Considering the increasing role of information security in the administration of modern societies, organizations and institutions are required to provide the necessary infrastructure to address this critical issue. For the optimal and successful implementation of information security management systems, in addition to material resources, managerial practices and techniques play a significant role. The adoption of management standards in the field of information security can be planned in such a way that the security status of organizations is aligned with their specific needs, thereby ensuring security from the perspective of business continuity and, to some extent, at other organizational levels. Therefore, in this study, while preserving the classified information of the organization, non-confidential information that could contribute to the improvement of similar organizations was made available. This research began with a review of library resources and relevant theses. After extracting key insights related to the subject, a set of “key indicators” was identified and categorized into appropriate groups referred to as the “key effective factors in the implementation of the information security management system.” These factors were then analyzed and evaluated using a questionnaire. A total of 104 questionnaires were distributed and collected within the studied organization in Tehran, after which the required statistical analyses were conducted. The practical outcomes of this research include the development of a common conceptual framework for managers during implementation, the modification of managerial perspectives on the concept of information security management, planning for targeted training programs, and the establishment of an information security committee within the studied organization.
1- احمدی، زکیه، ناصری، علی و قرشی، سیده ندا، "سیستم مدیریت امنیت اطلاعات ISMS"، پانزدهمین کنفرانس دانشجویی مهندسی برق ایران، کاشان، سازمان علمی دانشجویی مهندسی برق کشور، 1391.
2- امیری، مجتبی، زمانیان، مصطفی و روزبهانی، خدیجه، "استخراج عوامل شکست پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) در کشورهای در حال توسعه (با تمرکز بر سازمانهای ایرانی)"، فصلنامه سیاستنامه علم و فناوری، دوره 5، شماره 2، 1394.
3- ایرانپور اردهایی، سیدمهدی، "بررسی چالشهای پیادهسازی سیستم مدیریت امنیت اطلاعات با استفاده از روش MEHARI و بررسی میزان آمادگی پژوهشگاه خواجه نصیرالدین طوسی در پیادهسازی این سیستم"، پژوهشکده علوم انسانی و اجتماعی، دانشگاه پیامنور استان تهران، 1394.
4- حسینی، سیدرضا، علیرضانژاد، مهدی و خدابنده، پوریا، "بررسی اصول و پایههای امنیت اطلاعات و پایگاه داده در سازمانها"، دهمین کنفرانس ملی علوم و مهندسی کامپیوتر و فناوری اطلاعات، بابل، 1399.
5- تقیزادگان، هادی، "ویژگی نقش سازمانی و پیادهسازی امنیت اطلاعات در مدیریت دانش"، همایش پژوهشهای مدیریت و علوم انسانی در ایران، تهران، مؤسسه پژوهشی مدیریت مدبر، دانشگاه تهران، 1395.
6- جویبار، زهرا، "ضرورت پیادهسازی سیستم مدیریت امنیت اطلاعات در سازمانهای مجازی"، کنفرانس فناوری اطلاعات و جهاد اقتصادی، کازرون، مجتمع آموزش عالی کازرون، 1390.
7- صادقی، پویا و علیپور، صادق، "اهمیت و نقش امنیت اطلاعات در شبکههای هوشمند"، پنجمین کنفرانس بینالمللی توسعه فناوری در مهندسی برق ایران، تهران، 1400.
8- عزیزی محمودآباد، رویا و عزیزی محمودآباد، مهران، "ضرورت پیادهسازی سیستم مدیریت امنیت اطلاعات در دولت الکترونیک"، کنفرانس بینالمللی پژوهشهای کاربردی در فناوری اطلاعات، کامپیوتر و مخابرات، تربتحیدریه، شرکت مخابرات خراسان، 1394.
9- یوسفیانپور، ازهار، "بررسی تأثیر رویکردهای سازمانی بر عملکرد مدیریت امنیت اطلاعات در اداره کل امور اقتصادی و دارائی استان خوزستان"، پایاننامه کارشناسیارشد، مؤسسه آموزش عالی فراز، گروه مدیریت، 1401.
10- سواری، علی، "بررسی تأثیر عوامل نگرشی بر حفظ امنیت اطلاعات با نقش میانجی انگیزه حفظ اطلاعات (مورد مطالعه: سازمان تأمین اجتماعی اهواز)"، پایاننامه کارشناسیارشد، دانشگاه پیامنور استان مرکزی، مرکز پیامنور اراک، 1401.
11- مهری، محدثه، "بررسی تأثیر آگاهی جامع از امنیت اطلاعات و ویژگیهای شناختی بر عملکرد مدیریت تهدید در حوزه سیستم اطلاعاتی. بررسی تأثیر آگاهی جامع از امنیت اطلاعات و ویژگیهای شناختی بر عملکرد مدیریت تهدید در حوزه سیستم اطلاعاتی"، پایاننامه کارشناسیارشد، دانشگاهالزهرا (س)، دانشکده علوم اجتماعی و اقتصادی، 1400.
12- اسدالهی، داود، "مدیریت ریسک یکپارچه در سیستم مدیریت امنیت اطلاعات"، پایاننامه کارشناسیارشد، مؤسسه آموزش عالی یاسین، گروه کامپیوتر، 1399.
13- خداشناس، نرگس، "بررسی تأثیر قابلیتهای فناوری اطلاعات بر عملکرد شرکتها با نقش واسطهای سیستم مدیریت امنیت اطلاعات"، پایاننامه کارشناسیارشد، مؤسسه آموزش عالی اترک - قوچان، گروه کامپیوتر، 1399.
14- خیری، سعید، "شناسایی، تحلیل و رتبهبندی عوامل مؤثر کلیدی در پیادهسازی سیستم مدیریت امنیت اطلاعات در سازمانهای حاکمیتی (مطالعه موردی: سازمان بنادر و دریانوردی)"، فصلنامه تخصصی بندری، دریایی و کشتیرانی، دوره 2، شماره 3، 1395.
15- شیخعلی، داود، حسنوی، رضا و رمضان، مجید، "بررسی تأثیر امنیت فناوری اطلاعات در اجرای سامانه مدیریت دانش"، بهبود مدیریت، دوره 10، شماره 34، صفحات 25-47، 1395.
16- گلستانیزاده، محبوبه و سلطان آقایی کوپایی، محمدرضا، "ضرورت استقرار سیستم مدیریت امنیت اطلاعات در سازمانهای هزاره سوم"، اولین همایش ملی فناوری اطلاعات و ارتباطات و محاسبات نرمافزار، 1395.
17- غلامنژاد، پژمان و مظلوم، جلیل, "بررسی، تحلیل و انتخاب چارچوب استاندارد امنیتی برای زیرساختهای حیاتی وابسته به فاوا," 2021.
18- قاسمینژاد، یاسر، محمودی، محمدعلی و قربانی، سپهر، "بررسی تأثیرات امنیت فناوری اطلاعات برعملکرد سیستم مرزبانی فراجا," پژوهشهای پیشرفت سیستمها و راهبردها, 2023.
19- M. Al-Awadi, and K. Renaud, "Success factors in information security implementation in organizations," Paper presented at the IADIS International Conference e-Society 2007, Available in: http://www.dcs.gla.ac.uk /~karen/ Papers/sucessFactors2.pdf, 2007.
20- M. Karyda, A. Tsohou, and S. Kokolakis, "Analyzing the role of cognitive and cultutal biases in the internalization of information security policies: recommendations for information security awareness programs," Computers & security, vol. 52, no. 03, pp. 128-141, 2015.
21- R. Sheikhpour, and N. Modiri, "A best practice approach for integration of ITIL and ISO/IEC 27001 services for information security management," Indian journal of science and technology, vol. 5, no. 02, 70, 2012.
22- D. Tomal, "Action research for educators," Rowman & little field education, vol. 2, no. 20, pp. 200-202, 2010.
23- X. Ma, "IS professionals’ information security behaviors in Chinese IT organizations for information security protection," Information Processing & Management, vol. 59, no. 01, 102744, 2022. https://doi.org/10.1016/j.ipm.2021.102744.
24- A. S. Aydiner, E. Tatoglu, E. Bayraktar, and S. Zaim, "Information system capabilities and firm performance: Opening the black box through decision-making performance and business-process performance," International Journal of Information Management, vol. 47, pp. 168-182, 2019.
25- J. R. Kala Kamdjoug, H. J. Nguegang Tewamba, and S. Fosso Wamba, "IT capabilities, firm performance and the mediating role of ISRM: A case study from a developing country," Business Process Management Journal, 2018.
26- A. Kakkar, R. Punhani, and S. Madan, "Implementation of ISMS and its Practical Shortcomings," International Refereed Research Journal ISSN 1839-6518, Vol. 02, No. 01, www.irj.iars.info, 2012.