مقاله شناسایی و اولویت بندی عوامل کلیدی موفقیت پیاده سازی سیستم های مدیریت امنیت اطلاعات در دانشگاههای ایران

بخشی از مقاله

چکیده

یکی از مسائل مهم در پیاده سازی سیستم های مدیریت امنیت اطلاعات، بررسی و شناسایی عوامل بحرانی موفقیت در پیاده سازی مدیریت امنیت اطلاعات در سازمان ها است. اخیرا پیاده سازی سیستم های مدیریت امنیت اطلاعات در سطح دانشگاه ها نیز مورد توجه قرار گرفته و این مقاله کوشیده است عوامل کلیدی موفقیت پیاده سازی سیستم های مدیریت امنیت اطلاعات در دانشگاه ها را شناسایی و ضمن اولویت بندی آنها، با استفاده از روش های تاپسیس و روش فریدمن و بکار گیری ابزار و نرم افزارهای مرتبط، یک مدل مفهومی از عوامل مرتبط ارائه دهد.

سپس بر اساس تجزیه و تحلیل های انجام گرفته، نتایج اولویت بندی دو روش بصورت جدول مقایسه ای عرضه و مدل مفهومی در نهایت ارائه گردیده است رتبه بندی و مدل ارائه شده در این مقاله میتواند در پیاده سازی سیستم مدیریت امنیت اطلاعات در سطح دانشگاهها و سایر سازمانهای مشابه که با محدودیت های زمانی و منابع روبرو هستند سودمند و با ارزش خواهد بود.

-1  مقدمه

با رشد و گسترش اطلاعات و سیستم های اطلاعاتی در زندگی بشر و وابستگی هر چه بیشتر زندگی و کسب و کار به فناوری های جدید از یک سو و گسترش مسائل، مشکلات و ناامنی ها در سیستم ها و فناوری های مربوطه از سوی دیگر، نقش امنیت اطلاعات بیش از پیش پر رنگ و مهم جلوه می نماید. ضرورت امنیت اطلاعات از آنجا احساس می شود که در عصر حاضر سازمانها با ارزش ترین دارایی خود را جهت پردازش و ذخیره سازی در اختیار تجهیزات فناوری اطلاعات قرار داد ه اند.

وابستگی به این فناوری باعث شده است تا اگر در ارایه خدمات خللی پیش آید سازمانها نتوانند به کار خود ادامه دهند. بدین ترتیب حیات سازمانها ارتباط نزدیکی با سیستمهای اطلاعاتی آنها دارد. سیستمهای اطلاعاتی نیز همواره در خطر سرقت اطلاعات، تغییر اطلاعات و ایجاد وقفه در ارایه خدمات می باشند. از این رو سازمانها برای ایمن ماندن از این آسیبها باید به فکرامنیت اطلاعات باشند.

.1-1 مدیریت امنیت اطلاعات

مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه روزآمد نگه دارد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ دارایی های - نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی - سازمان در مقابل هر گونه تهدید - اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران - است.

لذا سازمانها سعی دارند با بهره گیری از سیستم های مدیریت امنیت اطلاعات و ارتقای آمادگی خود برای پیاده سازی چنین سیستم هایی، در حفظ و حراست از دارایی های اطلاعاتی خود اقدام نمایند.

در مورد ضرورت و اهمیت پیاده سازی سیستم مدیریت امنیت اطلاعات مهمترین نکته این است که در سند راهبردی امنیت فضای تبادل اطلاعات کشور، پیاده سازی سیستم مدیریت امنیت اطلاعات بعنوان یکی از اقدامات اساسی برای راهبردهای امن سازی زیرساختهای حیاتی کشور در قبال حملات الکترونیکی و ایجاد و توسعه نظامهای فنی فرابخشی افتا در نظر گرفته شده است که اجرای آن باید توسط تمام سازمانهای دولتی مد نظر قرار گیرد

ایجاد اعتماد در مشتریان و ارباب رجوع، ایجاد شفافیت، قابلیت پیگیری و حسابرسی، کاهش ریسک های فنی، مالی، حقوقی و قضایی امنیت فضای تبادل اطلاعات، جلوگیری از حملات و دسترسی های غیر مجاز ناشی از عدم رعایت مسائل امنیتی، مهار خسارت های ناشی از ناامنی، تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات، اطلاعات، نرم افزارها و سخت افزارها همگی از مزایای پیاده سازی این سیستم به شمار می روند و سازمان ها را بر آن می دارند تا اقدام به اجرای این سیستم نمایند

نکته ای که باید بدان توجه نمود آن است که دستیابی به این مزایا در صورتی محقق می گردد که سیستم با موفقیت اجرا گردد9]،.[6 برای اطمینان از اجرای موفق سیستم مدیریت امنیت اطلاعات عواملی وجود دارد که پیروی از آنها باعث بهبود فرایند می شود. این عوامل شامل عوامل کلیدی موفقیت - 2 - CSF، کامل نمودن چرخه 3 - PDCA - طبق استاندارد، مراجعه به استاندارد در طول اجرای سیستم و دوری از نواقصات و کمبودها در طی اجرای سیستم می باشد.

از مهمترین این موارد عوامل مهم موفقیت می باشد که دسترسی به آنها موجب پیاده سازی موفق سیستم مدیریت امنیت اطلاعات خواهد شد.

نظر به اینکه تنها تعداد خیلی کمی از سازمانها در ایران موفق به کسب استاندارد - سیستم مدیریت امنیت اطلاعات - شده اند و با توجه به بخشنامه الزام آور معاون رئیس جمهور در خصوص اجرای سیستم مدیریت امنیت اطلاعات در کلیه استانها و توجه ای که سازمان های دولتی و خصوصی علی الخصوص دانشگاهها به امنیت اطلاعات داشته اند، اهمیت شناخت و ارزیابی عوامل کلیدی موفقیت در اجرای سیستم مدیریت امنیت اطلاعات افزایش می یابد.

با توجه به اهمیت این موضوع در اجرای موفق سیستم، در این مقاله تلاش می شود تا عوامل کلیدی موفقیت در اجرای سیستم مدیریت امنیت اطلاعات که در مقالات و استانداردهای متفاوت مطرح گردیده اند را به صورتی مدون و یکجا گرداوری نموده، این عوامل را در دانشگاههای ایرانی شناسایی و دسته بندی کرده و آنها را بر حسب اهمیت، اولویت بندی نماید.

-2پیشینه پژوهش

در بیشتر پژوهش های انجام شده در زمینه بررسی و شناسایی عوامل کلیدی و مهم موفقیت پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمانها و یا شرکت ها در طرح های [5, 6, 7, 8, 9, 10, 11 , 12, 13, 14, 15, 16, 17, 18, 19, 20, 22] همگی به یک سری از نتایج متفاوتی رسیده اند و هر کدام عواملی را معرفی نموده اند که بطور مثال به چند نمونه اشاره می کنیم:

در طرح [5] فردریک بجور، فاکتورهای مهم موفقیت در پیاده سازی را بدین ترتیب معرفی می کند: تعهد مدیریت بالا، پروژه ساختاریافته، روش کل گرا، درک سازمان برای نیاز به امنیت، کارمندان با انگیزه، دسترسی به افراد خبره خارج سازمان .

در طرح [6] خانم الوادی و همکارانش موارد زیر را برای موفقیت سیستم مدیریت امنیت اطلاعات بیان نموده اند: آگاهی و آموزش، پشتیبانی مدیریت، بودجه، اعمال و انطباق سیاست امنیت اطلاعات، ماموریت سازمان.

در طرح [7] آقای وود فاکتورهای مهم در موفقیت سیستم مدیریت امنیت اطلاعات را ساختار سازمانی مناسب، مسئولیت پذیری برای امنیت سیستم ها، گروه های درگیر و نقشهای آنها، گروه های اصلی مسئول، گزارش ارتباطات، راه های دیگر برای سازمان های کوچکتر، مدیریتی، اختصاص مسئولیت های امنیتی سیستم ها، منبع و سطح پشتیبانی مالی، مسئولیت مدیریت در قبال افراد، افزایش سطح آگاهی مدیریت، اختصاص مسئولیت، فراهم نمودن صحیح بازخوردها، مشخص کردن موارد ناکامل و یا در معرض خطر، تحلیل عددی ریسکها، آموزش کارکنان، معرفی می کند.

در طرح[13] دلون و مک لین، شش بعد کیفیت سیستم، کیفیت اطلاعات، میزان استفاده، رضایت کاربر، اثر فردی، اثر سازمانی را در موفقیت سیستم های مدیریت امنیت اطلاعات دخیل می دانند.

در طرح [19] عارف نژاد و همکارانش موارد زیر برای عوامل موفقیت سیستم مدیریت امنیت اطلاعات بیان شدهاند: عوامل سازمانی، حمایت مدیریت ارشد، همترازی هدف، دانش فناوری اطلاعات مدیریتی، سبک مدیریت، اختصاص منابع، یادگیری سازمانی. سایر مقالات نیز به یک سری نتایجی دست یافته اند که پس از مطالعه این تحقیقات و جمع بندی کلیه عوامل استخراج شده را به 4 دسته عوامل اصلی و 29 زیر عامل دسته بندی نمودیم که بشرح جدول - 2 - می باشد.

جهت بررسی اهمیت این عوامل پرسشنامه ای که شامل 29 پرسش میباشد تهیه گردید که قابلیت اعتماد این پرسشامه به روش آلفای کرونباخ بررسی گردید. برای محاسبه ضریب آلفای کرونباخ ابتدا باید واریانس نمره های هر زیر مجموعه سوال های پرسشنامه و واریانس کل را محاسبه کرد. سپس با استفاده از فرمول - 1 - مقدار ضریب آلفا حاصل می شود.

نتایج بررسی قابلیت اعتماد پرسنامه طبق جدول - 1 - می باشد.

جدول - 1 - قابلیت اعتماد پرسشنامه

عوامل فنی                    

از آنجایی که مقدار ضریب آلفای کرونباخ در کل سوالات و تمامی عوامل بزرگتر از 0.6 می باشد، بنابراین عوامل پرسشنامه از نظر پایایی در سطح کاملا مناسبی قرار دارد، بنابراین قابلیت اعتماد این سوالات و عوامل پرسشنامه مورد تایید می باشد.