خلاصه نمي شود، بلكه طي فرايندي دائمي در چرخة ايمن سازي چهارمرحلهاي به ثمر مـيرسـد .
اين چهار مرحله عبارتاند از (مؤسسة امنيت اطلاعات، 2005):
برنامهريزي: برپايي شرايط اولية سامانة مديريت امنيت اطلاعات؛
اجرا: پيادهسازي و اجراي سامانة مديريت امنيت اطلاعات؛
ارزيابي و كنترل: فعاليتهاي نظارتي يا بررسي فعاليتهاي انجام گرفته؛
بهبود و اصلاح: فعاليتهاي نگهداري و بهبود مستمر در اين سامانة مديريتي.
قوانين و استانداردهاي امنيت اطلاعات
سيستمهاي متعددي در كشورهاي گوناگون بـراي ايجـاد امنيـت اطلاعـات سـازماني تـدوين وپيشنهاد شده است. در كشور آمريكا، سيستمهاي امنيت اطلاعات سـازماني از اسـتاندارد خاصـي پيروي نميكنند و دولت استاندارد خاصي را براي آن اجبار نكرده است. مؤسسه ها نيز بـا در نظـرگرفتن نوع تجارت، از يك سري كنترلها و فرايندهاي امنيتـي تبعيـت مـيكننـد . فقـط مؤ سسـة استاندارد و فناوري آمريكا (NIST)1 استانداردهايي را براي امنيت در حوزههاي گوناگون پيشنهاد كرده است (ميراسكندري، 1389). دو سندي كه در بحث امنيت اطلاعات اين پژوهش در كـانون توجه قرار دارد، دستورالعمل معمول مديريت امنيت اطلاعات يا ايـزو ، 27002 و كنتـرل اهـداففناوري اطلاعات است كه كوبيت2 ناميده مي شود و بخش 5DS آن بـه طـور خـاص بـه مبحـثامنيت اطلاعات مي پردازد (در بخشهاي بعدي اين دو استاندارد پس از معرفي، مقايسـه خواهـدشد). در واقع اين دو سند يكديگر را تكميل مي كننـد و بـه منزلـة چـارچوب هـاي مرجـع امنيـتاطلاعات، دو انتخاب بسيار خوب هستند. كاربرد اين دو با هم سبب همافزايي مـي شـود و بـرايشركتها بسيار مفيد خواهد بود (يان،كينگ و لي، 2011).
ايزو/آي. ايي. سي. 27002 3
در ماه مه سال 1987، همزمان با پايه گذاري مركز امنيت تجارت كـامپيوتري (CCSC)4 وابسـتهبه دفتر تجارت و صنعت انگلستان، استاندارد بي. اس. 7799 تنظيم شد. اين استاندارد طي سال ها تغيير يافت و سرانجام در سال 2007 با نام ايزو آي. ايي. سي. 27002 معرفي شد (ملك الكلامي، 1392).
ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
National Institute of Standards and Technology
Cobit
ISO/IEC 27002
Computer Commerce Security center (CCSC)
اهداف كنترلي و كنترلهاي اين استاندارد براي بـرآورده كـردن الزامـات شناسـايي ورودي، ازطريق ارزيابي خطر پيادهسازي ميشود. اين استاندارد كه ممكن است بهمثابة رهنمود پيادهسـازيتوسعة استاندارهاي امنيت سازماني، تجارب مديريت امنيت اثربخش و كمك به ايجاد اطمينان در فعاليتهاي درون سازماني بهكار رود، از كنترلهـاي امنيتـي بسـيار جـامعي در 11 دامنـه (بنـد ) برخوردار است كه اين 11 دامنه، مبناي ارزيابي مخاطرات امنيتي و گسترش امنيت در نظر گرفته ميشوند. دامنههاي اشاره شده عبارتاند از: 1. سياستهاي امنيتـي ؛ 2. سـاختار مـديريت امنيـتاطلاعات؛ 3. مديريت امنيت اموال سازمان؛ 4. مديريت امنيت منابع انسـاني ؛ 5. مـديريت امنيـتفيزيكي و محيطي؛ 6. مديريت عمليات و ارتباطات؛ 7. كنترل دسترسيها و اكتسـاب ؛ 8. توسـعه،حفظ و نگهداري نظامهاي اطلاعاتي؛ 9. مديريت بحران امنيت اطلاعات؛ 10. مـديريت اسـتمراركسب وكار؛ 11. تطابق با قانون. هر بند از تعدادي طبقة امنيتي عمده شكل گرفته اسـت . در كـلاين 11 بند در 39 طبقة اصلي امنيتي و 1 بند مقدماتي برآورد و برطرفسازي ريسك تدوين شده است (مؤسسة استاندارد و تحقيقات صنعتي ايران، 1387).
كوبيت، كنترل اهداف فناوري اطلاعات
كوبيت چارچوبي است كه بهمنظور كنترل عملكرد فناوري اطلاعـات طراحـي شـده اسـت . بنيـادكنترل و حسابرسي سيستم هاي اطلاعـاتي يـا مؤسسـه تحقيقـاتيِ انجمـن كنتـرل و حسابرسـيسيستم هاي اطلاعاتي، اين چارچوب را توسعه داده است. كوبيت 1/4 در سال 2007 انتشار يافت.
چارچوب كوبيت الگوي فرايندي در سطح بالاسـت كـه دامنـة وسـيعي از فعاليـتهـاي فنـاورياطلاعات را در 34 فرا يند و ساختاري واحـد بـراي اجـرا و فهـم سِـازماندهي مـي كنـد و ارزيـابيعملكرد، خطرها و قابليت هاي فناوري اطلاعات با هدف ابتدايي برآورده ساختن نيازهاي كـاري رافراهم ميكند (ميربها، 2007 و غضنفري، فتحيان و رئيس صـفري ، 1387). دامنـه هـاي كنتـرلاهداف در 5DS5) DS: اطمينان از امنيت سيستم) كوبيت عبارت اند از: 1/5DS: مـديريت امنيـتفنـاوري اطلاعـات؛ 2/5DS: طراحـي امنيـت فنـاوري اطلاعـات؛ 3/5DS: مـديريت شناسـايي؛ 4/5DS: مـديريت حسـاب كـاربري؛ 5/5DS: آزمـون امنيـت، نظـارت و مانيتورينـگ؛ 6/5DS: شناسايي حوادث امنيتي؛ 7/5DS: حفاظت از امنيت فناوري؛ 8/5DS: مديريت كليدي رمزنگاري؛ 9/5DS: تشخيص، تصحيحو پيشگيري از نرم افزارهاي مخرب (ويروسها، كـرم هـا، اسـپم و…)؛
10/5DS: امنيت شبكه؛ 11/5DS: تبادل اطلاعات حساس (مؤسسة حاكميت اطلاعات، 2007).
كوبيت چارچوبي براي حاكميت فناوري اطلاعات است، به بحـث امنيـت اطلاعـات محـدودنمي شود و در ميان بسياري از مسائل ديگر، به امنيت اطلاعات نيز اشاره مي كند. مزيـت اسـتفادهاز كوبيت به مثابة چارچوب امنيت اطلاعات، »تلفيق و يكپارچگي« امنيت با حوزة گسـترده تـر در فناوري اطلاعات است. بهره مندي از كوبيت در امنيت اطلاعـات خـالي از ايـراد نيسـت، كوبيـتجزئيات و »چگونگي« انجام امور را در نظر نميگيرد و بيشتر به اين ميپردازد كه چه كاري بايـدانجام شود. كوبيت چارچوبي است كه اغلب حسابرسان آن را به كار ميبرند و در مواقـع بسـياريمديران ريسك IT آن را چارچوب انتخاب شده و ترجيحي سازمان در نظر گرفته اند. استاندارد ايزو فقط به امنيت اطلاعات محدود مي شود و فقط به اين حوزه ميپردازد. ايزو بيشـتر از كوبيـت بـهجزئيات و چگونگي انجام امور پرداخته است و بيشتر رويكرد »فني و تكنيكي« دارد، در حاليكـهكوبيت رويكرد كلان و مديريتي را در پيش مي گيرد (يان و همكاران، 2011). كوبيت با گسترش نقش خود بهعنوان ابزار حاكميت IT و نه فقط ابـزاري بـراي حسابرسـي، مـيتوانـد در سـطحي استراتژيك به بيان »چيستي« امنيت اطلاعات بپردازد، اما ايزو ميتواند در سطح پايينتر و بـرايمشخص كردن »چگونگي« امنيت اطلاعات به كار رود. اغلب براي استفادة بهتـر از ايـن دو سـند (كوبيت 5DS و ايزو) و بهمنظور انطباق اهداف كنترل 5DS و مقياسهاي اندازهگيري مبتني بـر ايزو، به هماهنگسازي ميان اين دو نياز است.
روش دلفي و دلفي فازي
نخستينبار دالكي و هولمر (1963) روش سنتي دلفي را در شـركت ي توسـعه دادنـد و پـس از آنبه شكل گستردهاي در بسياري از حوزههاي مديريت بهكار گرفته شد. دلفي روش بررسي نظرهاي كارشناسان با سه مشخصة پاسخ بينام، تكرار و بازخورد كنترلشده و در نهايـت پاسـخ گروهـيآماري است. روش دلفي، روش نظاممند جمع آوري و هماهنگي قضاوتهاي آگاهانـ ة گروهـي ازمتخصصان دربارة سؤال يا موضوعي خاص است. دلفي هـم روش پـژوهش و هـم نـوعي روش جمعآوري اطلاعات بهشمار مي رود. همة دلفي ها از ويژگي هاي مشترك زير برخوردارند:
از پانل متخصصان براي جمعآوري دادهها استفاده مي كنند؛
به صورت نوشتاري انجام ميشوند؛
ميكوشند تا دربارة هر ايده به اجماع و توافق نظر برسند؛
گمنام ماندن متخصصان را تضمين ميكنند؛
از بازگويي و بازخورد كنترلشده براي رسيدن به همگرايي يا مشخصسـازي واگرايـيدر نظرها استفاده مي كنند؛
به مشاركتكنندگان اجازه مي دهند كه پس از خواندن نظرهاي همكاران، نظرهاي خود را بازنگري كنند.
به هر حال، روش دلفي همچنان در مرحلة تكامل اسـت. يكـي از مزيـت هـاي روش دلفـي،سادگي آن است؛ زيرا به مهارتهاي پيشرفتة رياضي، اجرا و تحليل نياز ندارد، بلكه نيازمند فردي آگاه از مسائل و تكنولوژي دلفـي و خلاقيـت در طراحـي پـروژه اسـت (صـنايعي، قاضـيفـرد وسبحان منش،1390). اين روش، هميشه از نظرهاي كارشناسي با همگرايي پايين و هزينة اجرايي بالا زياد ديده است. همچنين احتمال دارد سازماندهندگان ايده، نظرهاي كارشناسانة ويـژه اي را حذف كنند. از اين رو مري، پيپينو و گيگچ (1985) مفهوم تلفيق روش سنتي دلفي و نظرية فازي را به منظور رفع ابهام و ناهمخواني روش دلفي ارائه كردند. روش دلفـي فـازي بـه منظـور غربـالعوامل نامناسب و اجتناب از تأثير مقادير انتهايي، ميانگين هندسي را مبناي گروه تصـميم گيرنـده قرار ميدهد. همچنين علاوه بر كاهش هزينه و زمـان، ايـن روش بـه تصـميم گيرنـدگان امكـان ارزيابي فازي بودن فرايند تصميمگيري و دستيابي به نتيجة بهتـر در انتخـاب عامـل را مـيدهـد(صنايعي و همكاران، 1390). در روش دلفي فازي، اطلاعات در قالب زبان نوشـتاري از خبرگـاندريافت شده و به صورت فازي تحليل مي شـود (يـان و چـن، 2012 ). در پـژوهش حاضـر بـرايانتخاب خبرگان و متخصصان معيارهاي زير در نظر گرفته شده است:
دانش و تجربه در موضوع (مدرك تحصيلي حداقل كارشناسي و دو سال تجربة كار در زمينة مد نظر)؛
تمايل و زمان كافي براي همكاري در پژوهش؛
مهارتهاي ارتباطي مؤثر.
الگوريتم اجراي روش دلفي فازي در شكل 1 نمايش داده شده است.

آنها

براي

مسئله

تشريح

و

خبرگان

انتخاب

خبرگان

به

آن

ارسال

و

پرسشنامه

تهية

تجزيه

و

خبرگان

نظر

دريافت
آنها

تحليل
و
)
فازي

محاسبات
(

طبقه
پاسخ

بندي
ها
توافق

اعلام

و

است؟

گرفته

صورت

خوبي

به

اجماع

يا
آ
خير

بله

خبرگان

به

نتايج

ارسال

و

دلفي

فرايند

از

گزارش

تهية

آنها

براي

در این سایت فقط تکه هایی از این مطلب با شماره بندی انتهای صفحه درج می شود که ممکن است هنگام انتقال از فایل ورد به داخل سایت کلمات به هم بریزد یا شکل ها درج نشود

شما می توانید تکه های دیگری از این مطلب را با جستجو در همین سایت بخوانید

ولی برای دانلود فایل اصلی با فرمت ورد حاوی تمامی قسمت ها با منابع کامل

اینجا کلیک کنید

مسئله

تشريح


پاسخ دهید