مرکز منطقه ای اطلاع رسانی علوم و فناوری فصلنامه رشد فناوری 1735-5486 16 64 2020 12 16 Information Security Maturity Assessment Model in the IT Departments of the Oil Industry Subsidiaries in Iran ارائه مدلی برای پایش بلوغ امنیت اطلاعات 41 51 10.52547/jstpi.20788.16.64.41 fa رضا رادفر فاطمه اخوان 2019 4 17 The business approach and risk management framework of the company through the establishment and maintenance of the information security management system (ISMS) is a framework for identifying, assessing, controlling and managing the risks associated with information security in the company. It is based on privacy standards, integrity and availability of information assets. In the present report, not only a model for evaluating the information security maturity in the headquarters of one of the oil industry companies is developed, but also the defect analysis and implementation of the existing organization are initially carried out in accordance with the requirements of ISO 27000. By defining the indicators of evaluation and measurement of these indicators in the organization, its maturity is estimated in this security standard. Different models are presented to identify the weaknesses and security powers of a particular organization. The goal is to identify a gap between theory and practice that can be approximated by the process-oriented approach. The puberty model introduced and used in this project, provides a starting point for implementing security, a public view of security, and a framework for prioritizing operations. This model of information security maturity has 5 phases. (The maturity model is information security as a tool for assessing the ability of organizations to meet security goals, that is, confidentiality, integrity and availability, and prevent attacks and access to the mission of the organization in spite of attacks and accidents)??. This model defines a process that has all aspects of security management, measurement, and control. The results of the evaluation show that the organizations which have security investments ahead of time have to understand the needs for high-level management of information security in the organization, and in addition to the actions taken in the field of physical environment, network and personal computers, controls access and encryption have been made to identify the necessary training and culture. امروزه امنیت اطلاعات یکی از چالش‌های اصلی در عصر دانایی و اطلاعات محسوب می‌شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب‌ناپذیر به شمار می‌رود. هدف و انگیزه این مقاله به دلیل ارائه مدل بلوغ امنیت اطلاعات برای پایش اجرای امنیت در سازمان‌ها و ارائه بهترین شیوه‌های پیاده‌سازی امنیت است. پژوهش حاضر که در یکی از شرکت‌های زیرمجموعه صنعت نفت انجام شده است، به صورت روش آميخته كيفي ـ كمي انجام شده است. به منظور جمع‌آوری داده‌ها از روش کتابخانه‌ای، مطالعات میدانی، پرسشنامه و مصاحبه استفاده شده است و مقالات، اسناد، دستورالعمل‌ها و مبانی مربوط به شناسایی چالش‌های امنیت فناوری اطلاعات براساس الزامات استاندارد ISO 27001 در این مجموعه ستادی مورد بررسی قرار گرفته است. براي شناسايي موانع و کاستی‌های امنيتي يك سازمان خاص، مدل‌هاي مختلفي ارائه شده است. هدف، شناسايي يك فاصله بين تئوري و عمل مي‌باشد كه مي‌تواند از طريق رويكرد فرايند محور به هم نزديك شوند. مدل بلوغي كه در اين پروژهش معرفي و مورد استفاده قرار مي‌‌گيرد، يك نقطه شروع براي پياده‌سازي امنيت، يك ديدگاه عمومي از امنيت و يك چارچوب براي اولويت‌بندي عمليات، فراهم مي‌سازد. اين مدل بلوغ امنيت اطلاعات داراي 5 فاز مي‌باشد. مدل بلوغ امنيت اطلاعات به‌عنوان ابزاري جهت ارزيابي توانايي سازمان‌ها براي مطابقت با اهداف امنيت، يعني، محرمانگي، يكپارچگي و در دسترس‌بودن و جلوگيري از حملات و دستيابي به مأموريت سازمان علي‌رغم حملات و حادثه‌ها مي‌باشد. نتایج ارزیابی نشان می‌دهد که سازمان‌هایی که سرمایه‌گذاری‌های امنیتی را در پیش رو دارند، باید ضرورت به‌كارگيري امنيت اطلاعات در سازمان توسط مديران عالي درك شده باشد، و علاوه بر اقداماتي که در زمينه امنيت محيط فيزيكي، شبكه و كامپيوتر‌هاي شخصي و كنترل‌هاي دسترسي و رمزنگاري صورت گرفته است آموزش و فرهنگ‌سازی لازم پیاده‌سازی شود. http://roshdefanavari.ir/fa/Article/Download/20788