ارائه چهارچوبی مفهومی جهت ایمن‌سازی سیستم‌های اطلاعاتی در سازمان‌های مبتنی بر رویکرد فراترکیب

  • سال انتشار: 1399
  • محل انتشار: فصلنامه امنیت ملی، دوره: 10، شماره: 36
  • کد COI اختصاصی: JR_NSJ-10-36_005
  • زبان مقاله: فارسی
  • تعداد مشاهده: 548
دانلود فایل این مقاله

نویسندگان

سیما صدیقی گاریز

دانشجوی دکترای مدیریت سیستمها، پردیس فارابی دانشگاه تهران

حمید زارع

دانشیار و عضو هیئتعلمی دانشکده مدیریت و حسابداری پردیس فارابی دانشگاه تهران

ابوذر عرب‎سرخی

استادیار و عضو هیئت علمی پژوهشگاه ارتباطات و فناوری اطلاعات (نویسنده مسئول)

سید محمد محمودی

دانشیار و عضو هیئت علمی دانشکده مدیریت و حسابداری پردیس فارابی دانشگاه تهران

چکیده

امنیت سیستم‌های اطلاعاتی معرف یک مسئله حیاتی است که امروزه بسیاری از سازمان‌ها با آن روبه‎رو هستند. این مقوله دربرگیرنده سه بعد انسانی، فنی و فرآیندی است. البته در اکثر تحقیقات صورت‎گرفته در این زمینه نوعی نگرش و رویکرد فنی وجود دارد. هدف پژوهش حاضر ارائه الگوی جدیدی است که الزامات امنیتی مناسب جهت مواجهه با تهدیدها و رفع آسیب‌پذیری‌های سیستم‌های اطلاعاتی را در هر سه بعد مذکور آدرس‌دهی می‌نماید. ازاین‌رو با استفاده از رویکرد فراترکیب 255 مقاله بررسی گردید که پس از ارزیابی، 76 مقاله جهت بررسی نهایی و استخراج کُدها تأیید گردیدند. از این مقالات تعداد 47 تهدید (در هشت طبقه)؛ 31 آسیب‌پذیری (در هشت طبقه)؛ 15 الزام انسانی؛ 34 الزام فنی (در هفت طبقه کلی) و 17 الزام فرآیندی استخراج شده است. در پایان نیز الزامات امنیتی مناسب جهت مواجهه با هر تهدید و رفع آسیب‌پذیری‌های مربوطه - بر اساس استناد به بهترین تجربه‌های منتشرشده- انتخاب و در قالب یک چهارچوب جامع (سه‌بعدی) ارائه شده است. بیشترین فراوانی در بین تهدیدات مربوط به فعالیت‌های مجرمانه/ سوء‌استفاده و کمترین فراوانی مربوط به چالش‌های انسانی است. در بین آسیب‌پذیری‌ها نیز بیشترین فراوانی مربوط به بروز فعالیت مجرمانه/ سوء‌استفاده و کمترین فراوانی مربوط به ضعف در کنترل شکست/ خرابی است. بیشترین الزام انسانی مربوط به تدوین و اجرای برنامه‌های آموزشی در زمینه امنیت اطلاعات است و بیشترین الزام فنی مربوط به سازوکارهای امنیت اطلاعات و سامانه‌ها می‌باشد. این در حالی است که بیشترین الزام فرآیندی مربوط به تدوین قوانین، خط‌مشی‌ها، دستورالعمل‌ها و الزامات امنیت سیستم‌های اطلاعاتی در سازمان است.

کلیدواژه ها

تهدید, آسیب‌پذیری, الزام امنیتی, ‌ امنیت سیستم اطلاعاتی, فراترکیب

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.