ارائه مدلی برای پایش بلوغ امنیت اطلاعات

امروزه امنیت اطلاعات یکی از چالش‌های اصلی در عصر دانایی و اطلاعات محسوب می‌شود و حفاظت از اطلاعات در برابر دسترسی غیرمجاز، تغییرات، خرابکاری و افشا، امری ضروری و اجتناب‌ناپذیر به شمار می‌رود. هدف و انگیزه این مقاله به دلیل ارائه مدل بلوغ امنیت اطلاعات برای پایش اجرای امنیت در سازمان‌ها و ارائه بهترین شیوه‌های پیاده‌سازی امنیت است. پژوهش حاضر که در یکی از شرکت‌های زیرمجموعه صنعت نفت انجام شده است، به صورت روش آمیخته کیفی کمی انجام شده است. به منظور جمع‌آوری داده‌ها از روش کتابخانه‌ای، مطالعات میدانی، پرسشنامه و مصاحبه استفاده شده است و مقالات، اسناد، دستورالعمل‌ها و مبانی مربوط به شناسایی چالش‌های امنیت فناوری اطلاعات براساس الزامات استاندارد iso 27001 در این مجموعه ستادی مورد بررسی قرار گرفته است. برای شناسایی موانع و کاستی‌های امنیتی یک سازمان خاص، مدل‌های مختلفی ارائه شده است. هدف، شناسایی یک فاصله بین تئوری و عمل می‌باشد که می‌تواند از طریق رویکرد فرایند محور به هم نزدیک شوند. مدل بلوغی که در این پروژهش معرفی و مورد استفاده قرار می‌‌گیرد، یک نقطه شروع برای پیاده‌سازی امنیت، یک دیدگاه عمومی از امنیت و یک چارچوب برای اولویت‌بندی عملیات، فراهم می‌سازد. این مدل بلوغ امنیت اطلاعات دارای 5 فاز می‌باشد. مدل بلوغ امنیت اطلاعات به‌عنوان ابزاری جهت ارزیابی توانایی سازمان‌ها برای مطابقت با اهداف امنیت، یعنی، محرمانگی، یکپارچگی و در دسترس‌بودن و جلوگیری از حملات و دستیابی به ماموریت سازمان علی‌رغم حملات و حادثه‌ها می‌باشد. نتایج ارزیابی نشان می‌دهد که سازمان‌هایی که سرمایه‌گذاری‌های امنیتی را در پیش رو دارند، باید ضرورت به‌کارگیری امنیت اطلاعات در سازمان توسط مدیران عالی درک شده باشد، و علاوه بر اقداماتی که در زمینه امنیت محیط فیزیکی، شبکه و کامپیوتر‌های شخصی و کنترل‌های دسترسی و رمزنگاری صورت گرفته است آموزش و فرهنگ‌سازی لازم پیاده‌سازی شود.

Information Security Maturity Assessment Model in the IT Departments of the Oil Industry Subsidiaries in Iran

The business approach and risk management framework of the company through the establishment and maintenance of the information security management system (ISMS) is a framework for identifying, assessing, controlling and managing the risks associated with information security in the company. It is based on privacy standards, integrity and availability of information assets. In the present report, not only a model for evaluating the information security maturity in the headquarters of one of the oil industry companies is developed, but also the defect analysis and implementation of the existing organization are initially carried out in accordance with the requirements of ISO 27000. By defining the indicators of evaluation and measurement of these indicators in the organization, its maturity is estimated in this security standard. Different models are presented to identify the weaknesses and security powers of a particular organization. The goal is to identify a gap between theory and practice that can be approximated by the processoriented approach. The puberty model introduced and used in this project, provides a starting point for implementing security, a public view of security, and a framework for prioritizing operations. This model of information security maturity has 5 phases. (The maturity model is information security as a tool for assessing the ability of organizations to meet security goals, that is, confidentiality, integrity and availability, and prevent attacks and access to the mission of the organization in spite of attacks and accidents)??. This model defines a process that has all aspects of security management, measurement, and control. The results of the evaluation show that the organizations which have security investments ahead of time have to understand the needs for highlevel management of information security in the organization, and in addition to the actions taken in the field of physical environment, network and personal computers, controls access and encryption have been made to identify the necessary training and culture.