|
|
|
|
ارائه چارچوبی برای ارزیابی تطبیقی روشهای ارزیابی مخاطره امنیت اطلاعات (مورد مطالعه: پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک))
|
|
|
|
|
|
|
|
نویسنده
|
خدمتگزار حمید رضا ,حسنی حمید
|
|
منبع
|
پدافند الكترونيكي و سايبري - 1403 - دوره : 12 - شماره : 2 - صفحه:27 -39
|
|
چکیده
|
یکی از اقدامات کلیدی در مدیریت امنیت اطلاعات، مدیریت مخاطره امنیت اطلاعات است که اصلیترین مرحله آن با نام «ارزیابی مخاطره امنیت اطلاعات» شناخته میشود. تاکنون در سطح دنیا روشها، استانداردها و چارچوبهای مختلفی بدین منظور شکلگرفته است. پرسش اصلی که در این مطالعه مورد توجه قرار گرفته است آنست که باوجود این گستره از روشهای ارزیابی مخاطره امنیت اطلاعات، یک سازمان چگونه باید روش منطبق با اهداف و وضعیت خود را انتخاب و اجرا کند. بهمنظور پاسخ به این پرسش، در این پژوهش ابتدا چارچوب ارزیابی متشکل از 13 معیار ارزیابی در دودسته ماهیت روش و انطباق روش با وضعیت سازمانی طراحی شد. سپس مبتنی بر این چارچوب، 18 روش شناخته شده ارزیابی مخاطره امنیت اطلاعات در بافت سازمانی پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک) مورد ارزیابی قرار گرفتند. نتایج این ارزیابی نشان داد چارچوب پیشنهاد شده از اعتبار لازم برخوردار است. بر اساس این نتایج نیز استاندارد ایزو 27005 منطبقترین روش ارزیای مخاطره امنیت اطلاعات در بافت مورد بررسی شناخته شد. در انتها نیز مبتنی بر این نتایج و در راستای توسعه و اعتباریابی بیشتر چارچوب ارائه شده پیشنهاداتی ارائه شد.
|
|
کلیدواژه
|
ارزیابی مخاطره امنیت اطلاعات، روشهای ارزیابی، ایرانداک
|
|
آدرس
|
پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک), ایران, پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک), ایران
|
|
پست الکترونیکی
|
hassani@students.irandoc.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
proposing framework for comparative evaluation of information security risk assessment methods (case of study: iranian research institute for information science and technology (irandoc))
|
|
|
|
|
Authors
|
khedmatgozar hamid reza ,hassani hamid
|
|
Abstract
|
one of the key actions in information security management is information security risk management, the main stage of which is known as information security risk assessment. so far, various methods, standards and frameworks have been formed for this purpose. the main question that has been considered in this study is that despite this range of information security risk assessment methods, how should an organization choose and implement the appropriate method for its goals and situation. to answer this question, in this research, first, an evaluation framework consisting of 13 evaluation criteria was designed in two categories: the nature of the method and the adaptation of the method to the organizational situation. then, based on this framework, 18 well-known information security risk assessment methods were evaluated in the organizational case of iranian research institute for information science and technology (irandoc). the results of this evaluation showed that the proposed framework has the required validity. based on these results, the iso 27005 standard was recognized as the most appropriate method of information security risk assessment in the investigated case. finally, based on these results and in line with further development and validation of the presented framework, suggestions were presented
|
|
Keywords
|
information security risk assessment (isra) ,isra methods ,irandoc
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|