پديد آورندگان :
شيخ ابومسعودي، روح اله نويسنده عضو هيات علمي دانشكده مديريت و اطلاع رساني پزشكي دانشگاه علوم پزشكي اصفهان Sheikh Abumasoudi , Rohollah , كوهي حبيبي، سحر نويسنده كارشناس، فناوري اطلاعات سلامت، دانشگاه علوم پزشكي اصفهان، اصفهان، ايران , , عطايي، مريم نويسنده كارشناس، فناوري اطلاعات سلامت، دانشگاه علوم پزشكي اصفهان، اصفهان، ايران , , اسماعيلي، نازيلا اسماعيلي نويسنده كارشناس، فناوري اطلاعات سلامت، دانشگاه علوم پزشكي اصفهان، اصفهان، ايران ,
چكيده فارسي :
مقدمه: با توجه به خطرات تهديدكننده اطلاعات و ني از مبرم به رو ي هها ي ايجاد و تقوي ت امني ت و محرمانگ ي، سازمان ب ين الملل ي استاندارد
ISO/IEC اقدام به تدوين استانداردي در زمينه امني ت اطلاعات تحت عنوان (ISO: International Organization for Standardization)
27001 نموده است. كسب تاييده مميزي اين استاندارد داراي منافع بسيار زيادي براي سازمان بوده و علاوه بر شناسايي عيوب موجود در بخش ها و
فرآيندهاي اطلاعاتي، باعث افزايش اعتبار سازمان در محيط رقابتي و ايجاد مزيت رقابتي ميگردد. هدف از اين پژوهش ارزيابي سيستمهاي مديريت
در سال 1390 خورشيدي بوده است. ISO/IEC اطلاعات دانشگاه علوم پزشكي اصفهان با استفاده از استاندارد 27001
روش بررسي: اين پژوهش كاربردي و از دسته مطالعات توصيفي-كيفي است. جامعه پژوهش كلي ه بخش ها ي فناور ي اطلاعات دانشگاه علوم
پزشكي اصفهان، شامل مراكز كامپيوتر دانشكدهها ( 9 مركز)، بيمارستانها ( 13 مركز) و مركز آمار و اطلاع رسا ني (جمعا 23 مركز) در سال 1390
ميباشد كه در قالب چك ليست ب ين الملل ي ISO/IEC 27001: خورشيدي، ميباشد. ابزار گردآوري اطلاعات در اين پژوهش استاندارد 2005
ارايه شده است. چك ليست مورد استفاده داراي 11 بخش اصلي است كه هر كدام در برگيرنده چند ين بخش فرع ي و سوال م يباشد. داده ها از
تجزيه و تحليل گرديد. Excel طريق مصاحبه و همچنين مشاهده و مستندات پژوهشگران، گردآوري و به كمك نرمافزار 2010
يافتهها: نتايج مميزي مركز آمار و اطلاع رساني دانشگاه علوم پزشكي اصفهان نشان ميدهد كه ا ي ن سازمان در ح يطه ها ي اصل ي استاندارد كه
عبارتند از سياست امنيتي، تشكيلات امنيت اطلاعات، مديريت سرمايه، امنيت منابع انساني، امنيت محيطي و فيزيكي، مديريت عملياتها و ارتباطات،
كنترل دسترسي، بكارگيري، توسعه و نگهداري از سيستمهاي اطلاعاتي، مديريت رويداد امنيت اطلاعات، مد يريت استمرار كسب و كار و تطا بق
38 و 54 درصد از موارد مورد نظر را اجرايي نمايد. ،58 ،44 ،54 ،54 ،73 ،65 ،28 ،40 ، توانسته است به ترتيب 31
در استقرار فرآ يندها ي مبتن ي بر امن ي ت اطلاعات و حفظ محرمانگ ي، ISO/IEC نتيجهگيري: با توجه به اهم ي ت استاندارد جهان ي 27001
يكپارچگي و دسترسپذيري، سازمان ميبايستي تلاش بيشتري را نسبت به بكارگيري آن در فرآيندهاي خود معطوف دارد. نتايج نشان دهنده ي اي ن
موضوع هستند كه جز در حيطه هاي امنيت منابع انساني و همچنين امنيت محيطي و فيزيكي، سازمان عملكرد خوبي در قبال مديريت امنيت اطلاعات
در فرآيندهاي داخلي خود نداشته است.
واژههاي كليدي: ارزيابي؛ سيستم مديريت اطلاعات؛ استانداردها.
چكيده لاتين :
Introduction: considering the information threats and the need to procedures for develop and
improve security and confidentiality, international standard organization (ISO) established
information security standard ISO/IEC 27001. Getting ISO/IEC 27001 standard certificate helps
the organization to identify the problems and defeats in its departments and processes, in addition
to promoting organization’s competitive position and giving the organization the competitive
advantage that it needs. The goal of this study is to evaluate information management systems in
Isfahan University of Medical Science using ISO/IEC 27001 standard.
Methods: This applied research is a descriptive study. Research community is all departments of
information technology at Isfahan University of Medical Science, computer centers of faculties
and hospitals, in 2011. In this research we used ISO/IEC 27001:2005 international checklist as a
tool for collecting the information. The checklist includes 11 primary parts and each part includes
several additional parts and questions. The information was gathered through interviewing,
observation and documents of researchers and was analyzed by Excel 2010.
Results: the assessment results indicates that in standard main parts including security policy,
organization of information security, asset management, human resources security, physical and
environmental security, communications and operations management, access control, information
system acquisitions, development and maintenance, information security incident management,
business continuity management and compliance, the organizations implemented 31, 40, 28, 65,
73, 54, 54, 44, 58, 38 and 54 percent of the requirements.
Conclusion: considering the importance of developing information security management in
organizations that deliver information technology services and also the importance of
international standard ISO/IEC 27001 in establishing the organization’s processes based on
information security and confidentiality protection, integrity and accessibility, the organization
should put more effort into implementing this standard in its processes. The results indicate that
except for the human resources security and physical and environmental security areas, the
organization didn’t develop information security management requirements properly in its
internal processes.
Keywords: Evaluation; Management Information Systems; Standards.
