نام پژوهشگر: بی تا احسنت

ارائه چارچوبی برای سنجش اثربخشی سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد iso/iec 27001:2005(مطالعه موردی: شرکت سیمان داراب)
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه پیام نور - دانشگاه پیام نور استان تهران - دانشکده فناوری اطلاعات 1392
  بی تا احسنت   احمد فراهی

بحث اندازه گیری، طی دهه گذشته به طور فزاینده ای در حوزه امنیت اطلاعات اهمیت یافته است. نیاز بیرونی سازمان ها به شفافیت و پاسخگویی و نیاز درونی آنها به ترازبندی و اولویت دهی سرمایه گذاری های امنیتی، کسب اطمینان از هم راستا بودن اهداف امنیتی با ماموریت و اهداف سازمان و کنترل اثربخشی و کارایی برنامه های امنیتی، استفاده از متریک های امنیتی را بیش از پیش اجتناب ناپذیر کرده است. اگرچه استانداردهایی چون iso/iec 27004،nist 800-55 و غیره، راهنمایی برای اندازه گیری امنیت با هدف ارزیابی اثربخشی یک سیستم مدیریت امنیت اطلاعات ارائه کرده اند، با این حال به علت گسترده بودن مفاهیم و سایر ایراداتی که به این گونه راهنماها وارد است از جمله کلی گویی یا جزئی نگری و کاربردی نبودن در تمامی شرایط، محققان این حوزه را بر آن داشته تا اقدام به ارائه چارچوب های مختلفی برای اندازه گیری امنیت اطلاعات و بالتبع اثربخشی سیستم نمایند. بررسی چارچوب های مختلف ارائه شده توسط سایرین و ارائه یک چارچوب کاربردی و حتی الامکان جامع برای سنجش اثربخشی سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد iso/iec 27001 و با در نظر گرفتن استانداردهای رایج اندازه گیری ، هدف اصلی تحقیق حاضر بوده است. این مهم از طریق تدوین چارچوبی که ابعادی چون سطح بلوغ، فرآیندها، کنترل ها و اهداف امنیتی سازمان را در سطوح زمانی مختلف و در دپارتمان های مختلف سازمان در نظر گرفته، انجام پذیرفته است. به منظور حصول اطمینان از کاربردی بودن و سهولت اجرا، این چارچوب در شرکت سیمان داراب که دومین شرکت ایرانی پیاده سازی کننده استاندارد iso/iec 27001 و اولین شرکت ایرانی دارنده این گواهینامه به صورت تمام محدوده است، پیاده سازی شده و متریک های تدوین شده بر این اساس اندازه گیری شده اند. نتایج حاصل، نشان دهنده کاربردی بودن چارچوب پیشنهادی بوده و اعداد اثربخشی به دست آمده نیز بر اساس نظر ممیزان خارجی سیستم به واقعیت نزدیک می باشد.