نوع مقاله : مقاله پژوهشی
نویسنده
کارشناس ارشد مدیریت فناوری اطلاعات
چکیده
با توجه به نقش فزاینده امنیت اطلاعات در اداره هر جامعه، سازمانها و نهادهای دولتی و خصوصی ناگزیر به تأمین زیرساختهای لازم برای تحقق این امر مهم میباشند. برای اجرای بهینه و موفق سیستمهای مدیریت امنیت اطلاعات علاوه بر منابع مادی، تکنیکهای مدیریتی نیز تأثیر زیادی دارند. ثبت استانداردهای مدیریتی در حوزه امنیت اطلاعات فاوا میتواند به صورت برنامهریزیشده طراحی شود تا وضعیت امنیتی سازمانها متناسب با نیاز آن سازمان تغییر یابد و امنیت از منظر ادامه کسبوکار و تا اندازهای در سطوح دیگر (مدیریت بحران و جنگ نرم) تضمین شود.
علیرغم تحقیقات گسترده در این خصوص متأسفانه به دلایل مختلف از جمله سطوح امنیتی موضوع برای نهادهای دولتی و غیردولتی و یا رابطه مستقیم حوزه مربوطه با منافع ایشان، اطلاعات شفاف و مفیدی در خصوص نحوه پیادهسازی و اولویتبندی لازم از منظر پیادهسازی و استقرار یک سیستم طی سالهای گذشته تا امروز صورت نگرفته است. لذا در این تحقیق سعی شده است ضمن حفظ اطلاعات طبقهبندیشده سازمان، اطلاعات غیرمحرمانهای که میتواند موجب ارتقای سازمانهای مشابه شود در اختیار دیگران قرار گیرد. این پژوهش با مطالعات کتابخانهای و مرور پایاننامههای مرتبط آغاز شد و پس از کسب اطلاعات مهم و پایه در خصوص موضوع مطروحه، با خبرگان و متولیان موضوع پژوهش مصاحبه شد و مجموعهای از "شاخصهای کلیدی" به دست آمد و در گروههای متناسب با نام "عوامل موثر کلیدی در پیادهسازی سیستم مدیریت امنیت" دستهبندی گردید و توسط ابزار پرسشنامه مورد تحلیل و ارزیابی قرار گرفت. تعداد 126 پرسشنامه در کلیه بنادر توزیع و جمعآوری شد و سپس آزمونهای مورد نیاز آماری بر روی آنها انجام گرفت. نتایج بهدست آمده انجام سازمان مرکزی را متقاعد نمود تا نسبت به برگزاری دورههای آموزشی مرتبط و بازآموزی موضوع سیستم امنیت اطلاعات و برنامهریزی و تخصیص رسانه و نرمافزار اقدام نماید.
کلیدواژهها
مقادیر کمی و عدد پی تعبیر شدند و در محاسبهها ملاک عمل قرار گرفتند. از مقیاس لیکرت برای تعیین اهمیت هر عنوان از متغیرها استفاده شد. لازم به ذکر است که در این بخش از تحقیق برای انجام تست اولیه مجموعاً تعداد 44 پرسشنامه بین خبرگان و متخصصین توزیع شد که 31 پرسشنامه عودت داده شد.
میزان عامل اندازهگیری |
نظر کارشناسان و متخصصین |
5 |
خیلی زیاد |
4 |
زیاد |
3 |
متوسط |
2 |
کم |
1 |
خیلی کم |
جدول (1): مقیاس لیکرت پرسشنامه
بدین منظور نمونههای اولیه شامل نمونههای 25 نفره و 30 نفره دو بار پرسشنامه پیشآزمون را تکمیل کردند و سپس با استفاده از دادههای بهدست آمده از این پرسشنامهها و به کمک نرمافزار آماری SPSS 21 میزان ضریب اعتماد با روش آلفای کرونباخ به شرح جدول (2) محاسبه شد.
متغیرهای تحقیق |
تعدادسئوالات |
آلفای کرونباخ نمونه 25 نفره |
آلفای کرونباخ نمونه 30 نفره |
عوامل فناوری و تکنولوژی |
15 |
0.916 |
0.914 |
عوامل سازمانی یا درونی |
13 |
0.936 |
0.927 |
عوامل خارجی یا بیرونی |
5 |
0.773 |
0.720 |
اثربخشی و موفقیت پیادهسازی ISMS |
3 |
0.847 |
0.858 |
متغیر مستقل |
33 |
0.957 |
0.952 |
متغیر مستقل و وابسته |
36 |
0.961 |
0.958 |
جدول (2): میزان آلفای کرونباخ متغیرهای تحقیق
از آنجا که مقدار به دست آمده آلفای کرونباخ برای همه متغیرهای تحقیق بالای 7/0 میباشد میتوان گفت پرسشنامه از پایایی قابل قبولی برخوردار است.
2-2- سئوالات و فرضیات تحقیق
سؤالات این تحقیق را میتوان در دو زیرگروه اصلی و فرعی به شرح زیر طبقهبندی نمود.
سئوال اصلی
عوامل کلیدی موثر در اجرا و پیادهسازی موفق سیستم مدیریت امنیت اطلاعات (ISMS) کداماند؟
سئوالات فرعی
رتبهبندی شاخصهای پیادهسازی سیستم مدیریت امنیت اطلاعات چگونه است؟
اولویت عوامل کلیدی موثر در اجرا و پیادهسازی سیستم مدیرت امنیت اطلاعات در سازمان بنادر و دریانوردی چگونه است؟
فرضیات تحقیق
برخی از فرضیات اساسی این تحقیق به شرح زیر است:
عوامل کلیدی، در پیادهسازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات (ISMS) تأثیر میگذارد.
تأثیر عوامل کلیدی موفقیت در اجرا و پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) متفاوتاند.
3- تجزیه و تحلیل دادهها
3-1- جایگاه چرخه مدیریتی دیمینگ در پیادهسازی
ایجاد امنیت یک فرایند پیچیده است. متد و مدل PDCA ساختاری است برای پیادهسازی سیستم ISMS. در پیادهسازی سیستم مذکور با پذیرش یک چرخه طرحریزی (برنامهریزی) مستمر که طرح را بهروز نگه میدارد، میتوان شانس خود را افزایش داد و این کار باید شامل جلسات منظم طرحریزی که دربرگیرنده افراد کلیدی کسبوکار به منظور پیشرفت و شناسایی روشهای بهبوددهنده طرح و عملیات است، باشد. بهبود مستمر و جستجو برای بهتر ساختن عملیات و انجام سریعتر و آسانتر و ارزانتر کارها، باعث تغییر و بهبود آن میشود. کسبوکارهایی که مصمم به بهبود مستمر و بازبینی طرحشان هستند از تجربیات گذشته برای بهبود آینده استفاده میکنند. تأمل در مورد رخدادهای گذشته، به مدیریت بهتر رخدادهای آینده کمک میکند. به این منظور میتوان یکی از مدلهای بهبود مستمر را که در دسترس میباشد بهکار برد که معروفترین آنها مدل PDCA میباشد .
3-2- شاخصهای کلیدی موثر (CSFs) در پیادهسازی ISMS
شاخصهای کلیدی موثر آن دسته از عواملی هستند که سازمان برای رقابت موفقیتآمیز و یا جهت مدیریت زمان و هزینههای خود نیازمند تمرکز و توجه به آنهاست. در مدیریت امنیت اطلاعات CSFs شرایطی است که به منظور اجرای موفق باید برآورده شوند. شناسایی شاخصهای کلیدی منجر به اطمینان از اعمال توجه لازم به زمینههایی است که موجب موفقیت میشوند. هدف این بخش فراهمسازی دانش لازم درباره شاخص موثر در پیادهسازی موفق سیستم مدیریت امنیت میباشد.
اگر مشکلات اجرای سیستم مدیریت امنیت اطلاعات در یک سازمان را تلفیقی از اجرای یک سیستم مدیریتی و یک سیستم نرمافزاری در نظر بگیریم میتوانیم به نتیجه قابلدرکی در خصوص شناسایی شاخصهای کلیدی مؤثر دست پیدا کنیم. با توجه به تحقیقات کتابخانهای، شاخصهای کلیدی پیادهسازی موفق سیستم مدیریت امنیت اطلاعت به این شرح بهدست آمد: (1) اراده، تعهد، مشارکت و پشتیبانی مدیریت ارشد، (2) تعیین دامنه، نقشه راه، قلمرو و اهداف امنیتی از اجرا سیستم، (3) ارتباطات و آگاهی کارکنان، (4) آموزش و ارتقای سطح تخصص کارکنان، (5) ایجاد فرهنگ امنیتی در سازمان و توسعه کار تیمی، (6) مدیریت تغییر، (7) تدارک منابع کافی ( مالی و نیروی انسانی)، (8) شناسایی دارایی و ریسک موجود، تحلیل، ارزیابی دقیق و بهکارگیری کنترل مناسب، (9) مدیریت پروژه قوی، (10) ممیزی داخلی، (11) بهکارگیری مدیریت تداوم سرویسهای ICT قبل از ISMS و (12) الگوبرداری مناسب.
عوامل کلیدی موفقیت به دو دسته تقسیم شدند: (1) عوامل کلیدی موفقیت در پیادهسازی سیستمهای جامع سازمانی و (2) عوامل کلیدی موفقیت در پیادهسازی سیستمهای اطلاعاتی
با جمعآوری و جمعبندی نظرات خبرگان، شاخصهای کلیدی در پیادهسازی سیستمهای اطلاعاتی به این شرح استخراج شد: (1) کسب حمایت مدیر ارشد سازمان، (2) آموزش و اطلاعرسانی مستمر به کارکنان، (3) تأمین منابع مالی، (4) بهکارگیری تجربیان قبلی سازمان در خصوص پیادهسازی سایر استانداردهای مدیریتی معتبر، (5) سیاستهای امنیتی متناسب با داراییها، (6) مشارکت و همکاری کارکنان، (7) تدوین خطمشی و دستورالعملها بر اساس واقعیت سازمان، (8) ممیزی مستمر داخلی و ارائه گزارش به مدیریت ارشد، (9) مدیریت و پایش پروژه منطبق بر استاندارد مدیریت پروژه، (10) بهکارگیری نظام ارزیابی و پاداش عملکرد کارکنان حین پیادهسازی سیستم (11) تعیین دقیق شاخصهای اثربخشی سیستم و اندازهگیری و تحلیل مستمر آنها، (12) انتخاب و بهکارگیری مشاور توانمند در پیادهسازی، (13) انطباق و همسویی کامل با سایر پروژهها و طرحهای فاوا، (14) توان و کیفیت نظارتی کارفرما، (15) تحلیل شکاف مناسب قبل از پیادهسازی استاندارد، (16) تعیین دقیق دامنه و محدوده پروژه، (17) انجام ارزیابی ریسک داراییها بر اساس تهدیدات و آسیب پذیرهای واقعی، (18) نظام پذیرش سیستم، (19) شرایط سیاسی و (20) تحریمها.
در ادامه نسبت به شناسایی و تحلیل تهدیدات موجود حول محور امنیتی در سازمانهای حاکمیتی اقدام شد. علیرغم ارتباط تنگاتنگ بین سه مقوله استمرار کسبوکار، مدیریت بحران و پدافند غیرعامل، باید توجه داشت که از اهیت متفاوتی برخوردار هستند. اولین چیزی که برای سازمانها مهم است استمرار کسبوکار است که میتواند بر اساس عوامل طبیعی و غیرطبیعی اتفاق بیفتد، سپس مسئله مدیریت بحران اهمیت دارد. مدیریت بحران همیشه بعد از وقوع اتفاق است و منظور از اتفاقات در آن، اتفاقات تهاجمی نیست بلکه منظور اتفاقات طبیعی است. در مدیریت بحران برای فاجعههای طبیعی باید برنامه داشته باشیم تا در صورت وقوع، چگونگی بازیابی مشخص باشد. بحرانها موضوعاتی هستند ک اتفاق میافتند و نمیتوان مانع از وقوع آنها شد و ساخته دست بشر نیستند. رتبة آخر متعلق به پدافند غیرعامل است، که انواع اقدامات در رابطه با پیشگیری از تهدید دشمن را در بر میگیرد. پدافند غیرعامل مجموعهای از برنامهریزیها، طراحیها و اقداماتی است که باعث کاهش آسیبپذیری در مقابل تهدیدات دشمن میشود و از آن تحت عنوان بازدارندگی نیز یاد میشود. در پدافند سعی میشود از وقوع اتفاق جلوگیری شود. هر یک از این سه فرآیند چرخههای حیات، مدیریتهای ریسک، کنترلها، راهکارها و طریقههای بازبینی مختص به خود را دارند و برای هر کدام باید مدیریت وساختار تشکیلاتی متفاوتی وجود داشته باشد.
در زمینه شناخت تهدیدات موجود علاوه بر بررسی میدانی و اکتشاف مواردی که تأثیر در ایجاد امنیت دارد از خبرگان و صاحب نظرات امنیتی کمک گرفته شد و 116 عامل در سه گروه کلی "عوامل بیرونی یا محیطی"، عوامل سازمانی یا درونی" و "عوامل فناوری و تکنولوژی" در جداول مربوطه دستهبندی شد. در هر گروه با بررسیهای به عملآمده نوع عمل تأثیرگذار در تحقیق کشف و از طریق آنها مجموعه عوامل که موجب تهدیدات میشوند گردآوری شد و کنترل هر یک به این صورت دستهبندی شد: (1) مجموعه تهدیداتی که قابلکنترل میباشند، (2) مجموعه تهدیداتی که کنترلپذیری دشوار و سختی دارند و (3) مجموعه تهدیدات غیرقابلکنترل که در این تحقیق به عنوان پیشفرض در نظر گرفته شد.
بر ای پیادهسازی سیستم ISMS در سازمانها، شناخت تهدیدات در کنار داراییها کیفیت و عمق نگرش ما را ارتقا میبخشد. هرچند ممکن است نسبت به وجود این تهدیدات در دور اول یا بالاتر انجام چرخه دیمینگ کنترل خاصی اعمال نشود و براساس استراتژی برخورد با ریسک به عنوان پذیرش ریسک نام برده شود، اما در ذهن مدیر امنیت، تیم امنیت، تیم CERT و کارکنان درگیر پروژه وجود این تهدیدات مورد سئوال قرار گرفته و در تصمیمات به عنوان یک تهدید دائمی آورده میشود. مطالب و موارد یادشده در قالب نمودارهای مختلف تهیه و به صورت زیر ارائه شد.
نمودار (1):نوع عوامل در گروه محیطی
نمودار (2):نوع عوامل در گروه سازمانی
نمودار (3): نوع عوامل در گروه فناوری و تکنولوژی
نمودار (4): فراوانی عوامل کنترل شونده در گروه
نمودار (5): فراوانی عوامل با کنترل دشوار در گروه
نمودار (6): فراوانی عوامل بدون کنترل در گروه
نمودار (7): فراوانی عوامل در گروهها در یک نگاه
نمودار (8): گروهها ـ نوع عوامل ـ عوامل
3-3- عوامل کلیدی موثر در پیادهسازی سیستم مدیریت امنیت اطلاعات در سازمانهای حاکمیتی بر اساس تهدیدات موجود
با توجه به مطالعات صورت گرفته و تحقیقات میدانی انجام شده شاخصهای شناسایی شده در هر سطح پالایش شد و با توجه به نوع تهدیدات موجود طبقهبندی و به صورت جدول (3)، (4) و (5) ارائه شد.
وضعیت سیستمهای موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستمهای موجود و امکانات شبکه) |
تیم های امنیتی و فنی پاسخگو (CERT) |
نظام پذیرش سیستم (استاندارد فاوا) |
بهکارگیری مدیریت تداوم سرویس های ICT قبل ازISMS |
انطباق و همسویی کامل با سایر پروژهها و طرحهای فاوا |
خط مشی، سیاستهای امنیتی و اجرایی |
ممیزی و تحلیل اندازهگیری |
توان و کیفیت نظارتی کارفرما |
ارتقاء سطح آموزش، تخصص و مهارت کارکنان |
بکار گیری تجربیان قبلی |
تعیین دامنه و قلمرو پیادهسازی سیستم |
تحلیل شکاف مناسب قبل از پیادهسازی استاندارد |
برآورد و ارزیابی ریسک داراییها |
بهکارگیری سیستم های نرمافزاری و سختافزاری مرتبط با ISMS |
مدیریت دادهها و اطلاعات موجود |
جدول (3) عوامل فناوری تکنولوژی
فرهنگسازمانی |
باورهای مشترک |
مدیریت تغییر |
مدیریت منابع مالی و انسانی |
نظام ایجاد انگیزش |
اهداف شفاف |
ارتباطات و آگاهی |
مشارکت سازنده کارکنان |
مدیریت پروژه |
رسمیت |
نقش مدیریت ارشد در پیادهسازی سیستم |
تمرکزگرایی |
مدیریت دانش |
جدول (4): عوامل درونسازمانی
الگوبرداری |
تحریمها |
شرایط سیاسی |
مشاور، مجری و پیمانکاران |
جدول (5): عوامل برونسازمانی
3-4- تعیین نمونه آماری
اگر بخواهیم حجم نمونه شکاف جمعیتی 5/0 یعنی نیمی از جمعیت حائز صفتی معین باشند. نیمی دیگر فاقد آن خواهد بود. معمولاً p و q را 5/0 در نظر میگیریم. مقدار z معمولاً 96/1 است. d میتواند 01/0 یا 05/0 باشد. در برخی از تحقیقات برای تصحیح حجم نمونه از فرمول تصحیح کوکران استفاده میشود. سادهشده فرمول به صورت فرمول (1) میباشد.
فرمول (1) |
|
وقتیکه واریانس جامعه و احتمال موفقیت یا عدم موفقیت متغیر امشخص و روشن نباشد و نتوان از فرمولهای آماری برای برآورد حجم نمونه استفاده کرد از جدول مورگان استفاده میشود. این جدول حداکثر تعداد نمونه را میدهد. (S: حجم نمونه، N: حجم جامعه است). با توجه به این توضیحات برای تعیین تعداد نمونه آماری در این تحقیق از روش کوکران با جامعه آماری محدود (187عدد) استفاده شد که حجم نمونه برابر با عدد 125.996071278 گردید که این عدد به عدد 126 گرد شد و این تعداد پرسشنامه پس از جمعآوری در تجزیه و تحلیلهای آماری مورد استفاده قرار گرفت. با توجه به توضیحات فوق برای تعیین تعداد نمونه آماری در این تحقیق از روش کوکران با جامعه آماری محدود (187عدد) استفاده گردید که حجم نمونه برابر شد با عدد 125.996071278 که این عدد را به عدد 126 گرد کرده و این تعداد پرسشنامه را پس از جمعآوری در تجزیه و تحلیلهای آماری مورد استفاده قرار گرفت .
3-5- متغیرهایمستقلووابستهتحقیق
با توجه به موضوع تحقیق، بررسی تأثیر تمامی عوامل کلیدی در پیادهسازی سیستم مدیریت امنیت اطلاعات، کاری بس دشوار و زمانبر میباشد. زیرا از یکسو، مستلزم تعیین معیارها و شاخصهای متعددی است که باید مورد تأیید خبرگان و متخصصین قرار گیرد و از سوی دیگر بررسی پاسخهای اعضای جامعه آماری به سؤالات پرسشنامه، تحلیل آماری پیچیده و چندگانهای خواهد داشت.
3-5-1- متغیرهایمستقلتحقیق
در بررسیها و نتایج بهدست آمده تعداد 32 عامل موثر در پیادهسازی سیستمها از جمله سیستم مدیریت امنیت اطلاعات به عنوان متغیرهای مستقل در نظر گرفته شد. جدول (6) متغیرهای مستقل پژوهش را نشان میدهد.
ردیف |
متغیرهای مستقل |
منابع |
پرسشنامه |
1 |
وضعیت سیستمهای موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستمهای موجود و امکانات شبکه) |
[26] ، کورنگی، سجادیه |
Q1 |
2 |
تیمهای امنیتی و فنی پاسخگو (CERT) |
[14],[21],[43],[38],[37],[22],[35],[64].[26] |
Q2 |
3 |
نظام پذیرش سیستم (استاندارد فاوا) |
کورنگی (شرکت علمی غرب آسیا) |
Q3 |
4 |
بهکارگیری مدیریت تداوم سرویسهای ICT قبل از ISMS |
[12][21] |
Q4 |
5 |
انطباق و همسویی کامل با سایر پروژهها و طرحهای فاوا |
کورنگی (شرکت علمی غرب آسیا)، سجادیه (شرکت پردازشگران داده آرا سپاهان ) |
Q5 |
6 |
خط مشی، سیاستهای امنیتی و اجرایی |
[26],[23] منافی – خراسانی - ایزدی |
Q6 |
7 |
ممیزی و تحلیل اندازهگیری |
Zwass 1988[23],[26],[27][14] |
Q7 |
8 |
توان و کیفیت نظارتی کارفرما |
کورنگی - سجادیه |
Q8 |
9 |
ارتقاء سطح آموزش، تخصص و مهارت کارکنان |
[23],steers1977,shanks et al.2000,Zwass1988,[14],[22],[26][27] |
Q9 |
10 |
بکار گیری تجربیان قبلی |
سجادیه ، شاهینی، کورنگی، ایزدی |
Q10 |
11 |
تعیین دامنه و قلمرو پیادهسازی سیستم |
[40],[22],[25],[27],[21],[14] |
Q11 |
12 |
تحلیل شکاف مناسب قبل از پیادهسازی استاندارد |
کورنگی – سجادیه - ایزدی |
Q12 |
13 |
برآورد و ارزیابی رسیک داراییها |
کورنگی – سجادیه – ایزدی [14], |
Q13 |
14 |
بهکارگیری سیستم های نرمافزاری و سختافزاری مرتبط با ISMS |
کورنگی ، ایزدی، منافی |
Q14 |
15 |
مدیریت دادهها و اطلاعات موجود |
[26],[9],[10],[11] |
Q15 |
16 |
فرهنگسازمانی |
[35],[26],[22] |
Q16 |
17 |
باورهای مشترک |
[26],[60] |
Q17 |
18 |
مدیریت تغییر |
[33],[34],[21],[26],[23] جوران و گاردفری 2000 و بالزاووا 2004 |
Q18 |
19 |
مدیریت منابع مالی و انسانی |
[26],[21][25] اینتر ولاکر – منافی – کورنگی - شاهینی |
Q19 |
20 |
نظام ایجاد انگیزش |
[23],[25],[22] |
Q20 |
21 |
اهداف شفاف |
[26],[23],[14],[21] |
Q21 |
22 |
ارتباطات و آگاهی |
[22],[26],[21] |
Q22 |
23 |
مشارکت سازنده کارکنان |
[23] گورنگی ، ایزدی ، سجادیه |
Q23 |
24 |
مدیریت پروژه |
[21],[26],[23],[37] |
Q24 |
25 |
رسمیت |
[23]steers1988 |
Q25 |
26 |
نقش مدیریت ارشد در پیادهسازی سیستم |
[23],[40],[26],[15],[14],[21] |
Q26 |
27 |
تمرکز گرایی |
[26],[63] |
Q27 |
28 |
مدیریت دانش |
[26],[22],[27] |
Q28 |
29 |
الگوبرداری |
[65],[64],[40][39],[21] |
Q29 |
30 |
تحریم ها |
کورنگی ، ایزدی، سجادیه، خراسانی |
Q30 |
31 |
شرایط سیاسی |
کورنگی ، منافی |
Q31,Q33 |
32 |
مشاور، مجری و پیمانکاران |
سجادیه ، کورنگی ، ایزدی ، [22] |
Q32 |
جدول (6): متغیر های مستقل
3-5-2- متغیر وابسته تحقیق
متغیر وابسته این تحقیق "پیادهسازی و اجرای موفق سیستم مدیریت امنیت اطلاعات" میباشد که در اثر اجرای موفقیت سیستم، سطح امنیت اطلاعات با بهکارگیری کنترلهای حوزه ISMS افزایش مییابد. امنیت، حاصل افزاش مؤلفههای محرمانگی ، یکپارچگی و دسترسپذیری اطلاعات میباشد.
3- 6- روشهای آماری
تجزیه و تحلیل اطلاعات آماری این تحقیق با استفاده از نرمافزار SPSS 21, SPSS16, LISREL8.5 انجام میشود. آزمونهای آماری صورت گرفته در انجام این تحقیق شامل: (1) آزمون کولموگروف – اسمیرنوف برای نرمال بودن دادههای جمعآوری شده، (2) آزمون تحلیل عاملی تأییدی به منظور بررسی روایی سازه، (3) آزمون T تک جملهای به منظور پاسخ به سئوالات اصلی تحقیق و رتبهبندی شاخصهای کلیدی، (4) آزمون فریدمن به منظور پاسخ به سئوالات اصلی تحقیق و رتبهبندی عوامل کلیدی، (5) آزمون T تک نمونهای به منظور اثبات فرضیه اول و (6) آزمون رگرسیون جهت اثبات فرضیه دوم و ارائه مدل میباشد.
3-7- بحث و تحلیل
در پژوهش حاضر شناسایی شاخصهای کلیدی موفقیت طی مراحل مختلف تحلیل شد. (1) از بین 64 شاخص شناساییشده 32 شاخص از طریق مطالعه، مصاحبه با خبرگان و تحلیل پژوهشگر، به عنوان شاخصهای کلیدی تحقیق تعیین شد، (2) سئوالات به گونهای طراحی شدند که اثربخشی شاخصهای موجود را مورد سنجش قرار دهند و با انجام تستهای اولیه و تأیید پایایی سازه پرسشنامه، اعتبار شاخصهای مذکور تأیید شد، (3) با انجام آزمون بارتلت و شاخص KMO میزان همبستگی هر شاخص با عامل مرتبط و اثربخشی ایجادشده (متغیر وابسته ) تاحدودی مشخص شد. از آنجا که مقدار شاخص KMO برابر است با 739/0، بیشتر از 6/0 است تعداد نمونه (در اینجا همان تعداد پاسخدهندگان) برای تحلیل عاملی کافی تشخیص داده شد. همچنین مقدار معناداری (Sig) آزمون بارتلت برابر 000/0، یعنی کوچکتر از 5 درصد شد که نشان میدهد تحلیل عاملی برای شناسایی ساختار مدل عاملی، مناسب است، (4) انجام آزمونهای فوق این نتیجه را در پی داشت که مقدار بهدست آمده برای هر کدام از سؤالات نشاندهنده ضریب همبستگی میباشد که هر ستونی که مقدار بیشتری داشته باشد نشاندهنده این است که شاخص با متغیر مذکور ارتباط دارد، برای مثال شاخص اول در ستون اول با مقدار 447/0 با دیدگاه فناوری در موفقیت پیادهسازی سیستم مدیریت اطلاعات ارتباط دارد، (5) نتایج تحلیلهای عاملی نشان داد که تمام 32 شاخص یادشده شامل شاخصهای فناوری و تکنولوژی، سازمانی (درونسازمانی و برونسازمانی) در اثربخشی و موفقیت پیادهسازی ISMS ، با مقادیر تی (بیشتر از 96/1) و بار عاملی (بیشتر از 4/0) مورد قبولی برخوردار میباشند و برای موفقیت پیادهسازی ISMS شاخصهای مناسبی محسوب میشوند، (6) با توجه به نتایج آزمون تی تک نمونهای میتوان گفت شاخصهایی که دارای میانگین بیشتر از 3 و آماره تی بیشتر از 96/1 و سطح معناداری (sig) کمتر از 05/0 باشد به عنوان شاخصهای کلیدی موثر در اجرا و پیادهسازی موفق سیستم مدیریت امنیت اطلاعات (ISMS) شناخته میشوند، (7) با توجه به تحلیل فوق نشان داده شد که تمامی شاخصهای مورد سنجش ارتباط تنگاتنگی با موضوع دارند و میتوان 32 مورد شاخص ارائهشده در مدل مفهومی را به عنوان شاخص کلیدی در پیادهسازی سیستم مدیریت امنیت اطلاعات به حساب آورد. البته میتوان اینگونه نیز نتیجهگیری کرد که تمامی شاخصهایی که میانگین بالاتر از 3 و تی بالاتر از 96/1 دارند به طور بالقوه شاخصهای کلیدی برای موفقیت میباشند و سازمان مذکور در پیادهسازی سیستم مدیریت امنیت اطلاعات مورد توجه قرار داده است. و آنهایی که میانگین و آماره کمتری به دست آوردهاند به دلیل فقدان موجودیت و عدم تمرکز و توجه سازمان، موجب عدم قطعیت موفقیت در متغیر وابسته شدهاند. لذا میتوان از آنها به عنوان شاخصهای کلیدیای که سازمان نسبت به آن توجه لازم نداشته است. یادکرد.
بنابراین ایجاد و بهرهگیری شاخصهای فراموششده در کنار تقویت شاخصهای اثباتشده متناسب با میانگین و آماره کسبشده در آزمون تی تک نمونهای موجب ارتقای سطح پیادهسازی سیستم میشوند. از آنجا که سئوالات 31 و 33 در رابطه با یک موضوع مطرح شدهاند بنابراین میانگین آنها با عدد 63/2 به عنوان شاخصی تأثیرگذار میتواند محسوب شود. اما در خصوص سئوال 30 با توجه به طرح سئوال به صورت معکوس میتوان نتیجه گرفت که میانگین و آماره عکس آن بالاتر از 3 و 96/1 بوده و به عنوان شاخص کلیدی فراموششده نیست.
آسایش |
ایده آل |
هشدار |
اضطرار |
بحران |
|
این شاخص کلیدی جزء شاخصهایی است که سازمان به آن توجه خوبی داشته است. تمرکز و نگهداری آن در سطح مربوطه اقدام مفید سازمان است. |
این شاخص کلیدی جزء شاخصهایی است که سازمان به صورت متوسط به آن در هنگام اجرای سیستم توجه داشته است. لذا تقویت آن تا پیادهسازی موفق الزامی است. |
این شاخص کلیدی جزء شاخصهای فراموششده در سازمان است و باید نسبت به ایجاد و بهرهگیری از آن با قید فوریت جهت پیادهسازی موفق سیستم اقدام گردد |
|
جدول (7): وضعیت شاخصها و عکسالعمل پیشنهادی سازمان
ردیف |
شاخص کلیدی |
Q |
میانگین |
آماره |
sig |
نوع عکسالعمل سازمان |
1 |
وضعیت سیستمهای موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستمهای موجود و امکانات شبکه) |
Q1 |
3.42 |
6.108 |
.000 |
هشدار |
2 |
تیم های امنیتی و فنی پاسخگو (CERT) |
Q2 |
3.57 |
6.523 |
.000 |
هشدار |
3 |
نظام پذیرش سیستم (استاندارد فاوا) |
Q3 |
3.49 |
7.203 |
.000 |
هشدار |
4 |
بهکارگیری مدیریت تداوم سرویس های ICT قبل ازISMS |
Q4 |
2.84 |
-1.742 |
.084 |
اضطرار |
5 |
انطباق و همسویی کامل با سایر پروژهها و طرح های فاوا |
Q5 |
3.35 |
3.834 |
.000 |
هشدار |
6 |
خط مشی، سیاستهای امنیتی و اجرایی |
Q6 |
3.56 |
6.227 |
.000 |
هشدار |
7 |
ممیزی و تحلیل اندازهگیری |
Q7 |
4.02 |
12.503 |
000 |
ایده آل |
8 |
توان و کیفیت نظارتی کارفرما |
Q8 |
3.79 |
10.701 |
.000 |
هشدار |
9 |
ارتقاء سطح آموزش، تخصص و مهارت کارکنان |
Q9 |
3.29 |
2.802 |
.006 |
هشدار |
10 |
بکار گیری تجربیان قبلی |
Q10 |
3.40 |
5.229 |
.000 |
هشدار |
11 |
تعیین دامنه و قلمرو پیادهسازی سیستم |
Q11 |
3.56 |
5.828 |
.000 |
هشدار |
12 |
تحلیل شکاف مناسب قبل از پیادهسازی استاندارد |
Q12 |
3.50 |
6.052 |
.000 |
هشدار |
13 |
برآورد و ارزیابی ریسک داراییها |
Q13 |
3.32 |
3.710 |
.000 |
هشدار |
14 |
بهکارگیری سیستمهای نرمافزاری و سختافزاری مرتبط با ISMS |
Q14 |
2.82 |
-1.853 |
.066 |
اضطرار |
15 |
مدیریت دادهها و اطلاعات موجود |
Q15 |
3.75 |
9.218 |
.000 |
هشدار |
16 |
فرهنگسازمانی |
Q16 |
3.49 |
5.797 |
.000 |
هشدار |
17 |
باورهای مشترک |
Q17 |
3.50 |
6.109 |
000 |
هشدار |
18 |
مدیریت تغییر |
Q18 |
3.41 |
5.218 |
.000 |
هشدار |
19 |
مدیریت منابع مالی و انسانی |
Q19 |
3.29 |
3.839 |
000. |
هشدار |
20 |
نظام ایجاد انگیزش |
Q20 |
2.35 |
-5.978 |
.000 |
اضطرار |
21 |
اهداف شفاف |
Q21 |
2.92 |
-.876 |
.383 |
اضطرار |
22 |
ارتباطات و آگاهی |
Q22 |
3.25 |
2.987 |
.003 |
هشدار |
23 |
مشارکت سازنده کارکنان |
Q23 |
3.60 |
6.305 |
.000 |
هشدار |
24 |
مدیریت پروژه |
Q24 |
3.45 |
4.648 |
.000 |
هشدار |
25 |
رسمیت |
Q25 |
3.49 |
5.051 |
.000 |
هشدار |
26 |
نقش مدیریت ارشد در پیادهسازی سیستم |
Q26 |
3.53 |
6.267 |
.000 |
هشدار |
27 |
تمرکزگرایی |
Q27 |
3.46 |
5.797 |
.000 |
هشدار |
28 |
مدیریت دانش |
Q28 |
3.14 |
1.896 |
.060 |
هشدار |
29 |
الگوبرداری |
Q29 |
3.09 |
.946 |
.346 |
هشدار |
30 |
تحریمها |
Q30 |
2.53 |
-5.051 |
.000 |
هشدار |
31 |
شرایط سیاسی |
Q31,Q33 |
2.63 |
4.211- |
.000 |
اضطرار |
32 |
مشاور، مجری و پیمانکاران |
Q32 |
3.27 |
2.561 |
.012 |
هشدار |
جدول (8): وضعیت شاخصها و عکسالعمل پیشنهادی سازمان
به منظور رتبهبندی اولویت هریک از عوامل کلیدی موثر در اجرا و پیادهسازی سیستم مدیریت امنیت اطلاعات از رتبهبندی فرید من استفاده شد شود که نتایج مندرج در جدول (9) به دست آمد.
متغیرهای مستقل |
رتبه میانگین |
رتبه |
عوامل فناوری و تکنولوژی |
46/2 |
1 |
عوامل سازمانی یا درونی |
21/2 |
2 |
عوامل خارجی برونسازمانی |
33/1 |
3 |
جدول (9): رتبهبندی عوامل موفقیت در پیادهسازی سیستم مدیریت امنت اطلاعات
با توجه به نتایج به دست آمده از میانگین میتوان گفت که عوامل فناوری و تکنولوژیها با میانگین 46/2 دارای بالاترین رتبه و عوامل سازمانی یا درونی با میانگین 33/1 دارای پایینترین رتبه میباشد. جدول آزمون فریدمن در خصوص رتبهبندی عوامل موفقیت در پیادهسازی سیستم مدیریت امنیت اطلاعات به شرح جدول (10) میباشد.
N |
126 |
Chi-square |
580/90 |
Df |
2 |
Sig |
000/0 |
جدول (10): آزمون فریدمن در خصوص رتبهبندی عوامل
از آنجا که sig (سطح معناداری) کمتر از 5/0 است، ادعای یکسان بودن رتبه (اولویت) هر یک از عوامل کلیدی موثر در اجرا و پیادهسازی سیستم مدیریت امنیت اطلاعات پذیرفته نمیشود.
متغیر پیش بین |
ضریب مسیر (b) |
آماره t |
ضریب تعیین کل ( ) |
عوامل فناوری و تکنولوژی |
524/0 |
**12/5 |
529/0 |
عوامل سازمانی یا درونی |
246/0 |
**62/2 |
|
عوامل خارجی یا بیرونی |
02/0 |
162/0 |
جدول (11): ضرایب مسیر، آماره t و ضریب تعیین (متغیر وابسته: ISMS)
با توجه به ضرایب مسیر و همچنین آماره میتوان گفت عوامل فناوری و تکنولوژی و عوامل درونسازمانی در سطح اطمینان 99% بر اجرا و پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) تأثیر معنادار و مثبت دارند. اما متغیر عوامل خارجی یا برونسازمانی تأثیر معناداری بر اجرا و پیادهسازی سیستم مدیریت امنیت اطلاعات (ISMS) ندارد. همچنین با توجه به آزمون تی تک نمونهای که برای اثبات فرضیه اول استفاده شد مشخص شد که عوامل موفقیت در پیادهسازی سیستم مدیریت امنیت اطلاعات به صورت یکسان تأثیر نداشته و دو عامل " فناوری و تکنولوژی" و "درونسازمانی" تأثیرشان بیشتر از عامل "برونسازمانی" است و به این ترتیب فرضیه دوم مبنی بر تأثیر متفاوت عوامل کلیدی موفقیت در پیادهسازی ISMS اثبات میشود.
معیار |
میانگین |
آماره t |
Sig |
عوامل فناوری و تکنولوژی |
44/3 |
49/8 |
000/0 |
عوامل درونسازمانی |
29/3 |
06/5 |
000/0 |
عوامل برونسازمانی |
82/2 |
82/1 |
091/0 |
جدول (12): نتایج آزمونt تک نمونهای
از آنجا که sig عوامل فناوری و تکنولوژی و عوامل درونسازمانی کمتر از 5% و مقدار آماره t بیشتر از 96/1 است پس فرض آن رد نمیشود. عوامل فناوری و تکنولوژی و عوامل درونسازمانی به عنوان عوامل کلیدی در پیادهسازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات موثر میباشند.
از آنجائیکه sig عوامل برونسازمانی بیشتر از 5% و مقدار آماره t کمتر از 96/1 است پس فرض آن رد نمیشود. عوامل برونسازمانی به عنوان عوامل کلیدی در پیادهسازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات موثر نمیباشد.
نام شاخص |
Question |
رتبه میانگین |
رتبهبندی شاخص PMO |
ممیزی و تحلیل اندازهگیری |
Q7 |
24.59 |
1 |
توان و کیفیت نظارتی کارفرما |
Q8 |
22.3 |
2 |
مدیریت دادهها و اطلاعات موجود |
Q15 |
21.42 |
3 |
خط مشی، سیاستهای امنیتی و اجرایی |
Q6 |
20.11 |
4 |
ممیزی و تحلیل اندازهگیری |
Q7 |
19.86 |
5 |
توان و کیفیت نظارتی کارفرما |
Q8 |
19.79 |
6 |
مشارکت سازنده کارکنان |
Q23 |
19.5 |
7 |
نقش مدیریت ارشد در پیادهسازی سیستم |
Q26 |
19.06 |
8 |
فرهنگسازمانی |
Q16 |
18.99 |
9 |
باورهای مشترک |
Q17 |
18.94 |
10 |
تحلیل شکاف مناسب قبل از پیادهسازی استاندارد |
Q12 |
18.73 |
11 |
نظام پذیرش سیستم (استاندارد فاوا) |
Q3 |
18.62 |
12 |
رسمیت |
Q25 |
18.5 |
13 |
مدیریت پروژه |
Q24 |
18.32 |
14 |
تمرکزگرایی |
Q27 |
18.21 |
15 |
وضعیت سیستمهای موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستمهای موجود و امکانات شبکه) |
Q1 |
18.19 |
16 |
بکار گیری تجربیان قبلی |
Q10 |
18.09 |
17 |
ارتقاء سطح آموزش، تخصص و مهارت کارکنان |
Q9 |
17.58 |
18 |
مدیریت تغییر |
Q18 |
17.57 |
19 |
انطباق و همسویی کامل با سایر پروژهها و طرح های فاوا |
Q5 |
17.32 |
20 |
مشاور، مجری و پیمانکاران |
Q32 |
17.23 |
21 |
برآورد و ارزیابی ریسک داراییها |
Q13 |
17.11 |
22 |
ارتباطات و آگاهی |
Q22 |
16.19 |
23 |
مدیریت منابع مالی و انسانی |
Q19 |
16.14 |
24 |
الگوبرداری |
Q29 |
14.92 |
25 |
مدیریت دانش |
Q28 |
14.89 |
26 |
اهداف شفاف |
Q21 |
13.02 |
27 |
بهکارگیری مدیریت تداوم سرویس های ICT قبل ازISMS |
Q4 |
12.81 |
28 |
بهکارگیری سیستمهای نرمافزاری و سختافزاری مرتبط با ISMS |
Q14 |
12.47 |
29 |
شرایط سیاسی |
Q31,Q33 |
10.69 |
30 |
تحریمها |
Q30 |
9.64 |
31 |
نظام ایجاد انگیزش |
Q20 |
9.52 |
32 |
جدول (13): جدول رتبهبندی شاخصهای کلیدی موفقیت در پیادهسازی سیستم مدیریت امنیت اطلاعات
4- نتیجه گیری کلی
نتایج این پژوهش را میتوان به صورت زیر جمعبندی کرد: (1) انجام این تحقیق هنگامیکه سازمان مورد مطالعه در نیمه راه پیادهسازی سیستم مدیریت امنیت اطلاعات بود، موجب ایجاد انرژی و همافزایی مجدد در نوع نگرش به موضوع و ایجاد بسترها و تواناییهای لازم جهت ادامه مسیر گردید، (2) با توجه به اینکه در انجام تحقیق نظر کارشناسان مرتبط، مدیران امنیت و روسای ادارات مربوطه شنیده شد و در زمینههای مختلف و تحلیل مشکلات بحث و گفتگو انجام گرفت، پرسش و پاسخ های متوالی موجب ایجاد طوفان ذهنی در خصوص تفکر عمیق در رابطه با مشکلات موجود شد، (3) فرصتی مهیا شد تا افراد ذیصلاح ترغیب به ارائه نظر و در نهایت تشکیل کمیته شبکه و امنیت در مجموعه سازمان بنادر و دریانوردی و بنادر تابعه شوند، (4) شرایطی پدید آمد تا بنادری که در اجرای چرخههای دوم یا چندم امنیت بودند به صورت الگوی بنادری درآیند که در ابتدای راه بودند، (5) با انجام این تحقیق سازمان مرکزی را متقاعد شد تا نسبت به برگزاری دورههای آموزشی مرتبط و بازآموزی موضوع سیستم امنیت اطلاعات اقدام نماید، (6) با انجام این تحقیق سازمان مرکزی را متقاعد شد تا نسبت به برنامهریزی و تخصیص رسانه و نرمافزاری جهت انجام امور مذکور اقدام نماید، (7) نقطه نظرات مجریان طرحهای امنیتی مراکز بزرگ و مشابه گرفته شد که میتواند به عنوان یکی از مراجع مورد استفاده سازمانهای ذینفع قرار گیرد و (8) در مباحث امنیت نقطه نظرات مدیران امنیت سازمانهای دولتی اخذ و در بعضی از موارد به عنوان سئوالهای چالشبرانگیز به مخاطبان موضوع (مجریان و پیمانکاران ) انتقال داده شد و اطلاعرسانی این مجموعه نظرات و تفکرات میتواند دستاورد مفیدی برای بخش خصوصی فعال در این حوزه باشد.