عنوان مقاله :
ارائه چهارچوبي مفهومي جهت ايمنسازي سيستمهاي اطلاعاتي در سازمانهاي مبتني بر رويكرد فراتركيب
پديد آورندگان :
صديقي گاريز ، سيما دانشگاه تهران، پرديس فارابي , زارع ، حميد دانشگاه تهران، پرديس فارابي - دانشكده مديريت , عربسرخي ، ابوذر پژوهشگاه ارتباطات و فناوري اطلاعات , محمودي ، محمد دانشگاه تهران، پرديس فارابي - دانشكده مديريت
كليدواژه :
تهديد , آسيبپذيري , الزام امنيتي , امنيت سيستم اطلاعاتي , فراتركيب
چكيده فارسي :
امنيت سيستمهاي اطلاعاتي معرف يك مسئله حياتي است كه امروزه بسياري از سازمانها با آن روبهرو هستند. اين مقوله دربرگيرنده سه بعد انساني، فني و فرآيندي است. البته در اكثر تحقيقات صورتگرفته در اين زمينه نوعي نگرش و رويكرد فني وجود دارد. هدف پژوهش حاضر ارائه الگوي جديدي است كه الزامات امنيتي مناسب جهت مواجهه با تهديدها و رفع آسيبپذيريهاي سيستمهاي اطلاعاتي را در هر سه بعد مذكور آدرسدهي مينمايد. ازاينرو با استفاده از رويكرد فراتركيب 255 مقاله بررسي گرديد كه پس از ارزيابي، 76 مقاله جهت بررسي نهايي و استخراج كُدها تأييد گرديدند. از اين مقالات تعداد 47 تهديد (در هشت طبقه)؛ 31 آسيبپذيري (در هشت طبقه)؛ 15 الزام انساني؛ 34 الزام فني (در هفت طبقه كلي) و 17 الزام فرآيندي استخراج شده است. در پايان نيز الزامات امنيتي مناسب جهت مواجهه با هر تهديد و رفع آسيبپذيريهاي مربوطه بر اساس استناد به بهترين تجربههاي منتشرشده انتخاب و در قالب يك چهارچوب جامع (سهبعدي) ارائه شده است. بيشترين فراواني در بين تهديدات مربوط به فعاليتهاي مجرمانه/ سوءاستفاده و كمترين فراواني مربوط به چالشهاي انساني است. در بين آسيبپذيريها نيز بيشترين فراواني مربوط به بروز فعاليت مجرمانه/ سوءاستفاده و كمترين فراواني مربوط به ضعف در كنترل شكست/ خرابي است. بيشترين الزام انساني مربوط به تدوين و اجراي برنامههاي آموزشي در زمينه امنيت اطلاعات است و بيشترين الزام فني مربوط به سازوكارهاي امنيت اطلاعات و سامانهها ميباشد. اين در حالي است كه بيشترين الزام فرآيندي مربوط به تدوين قوانين، خطمشيها، دستورالعملها و الزامات امنيت سيستمهاي اطلاعاتي در سازمان است.
