صنعت حمل و نقل دریایی

شناسایی، تحلیل و رتبه‌بندی عوامل موثر کلیدی در پیاده‌سازی سیستم مدیریت امنیت اطلاعات در سازمان‌های حاکمیتی (مطالعه موردی: سازمان بنادر و دریانوردی

نوع مقاله : مقاله پژوهشی

نویسنده

کارشناس ارشد مدیریت فناوری اطلاعات

چکیده

با توجه به نقش فزاینده امنیت اطلاعات در اداره هر جامعه، سازمان‌ها و نهادهای دولتی و خصوصی ناگزیر به تأمین زیرساخت‌های لازم برای تحقق این امر مهم می‌باشند. برای اجرای بهینه و موفق سیستم‌های مدیریت امنیت اطلاعات علاوه بر منابع مادی، تکنیک‌های مدیریتی نیز تأثیر زیادی دارند. ثبت استانداردهای مدیریتی در حوزه امنیت اطلاعات فاوا می‌تواند به صورت برنامه‌ریزی‌شده طراحی شود تا وضعیت امنیتی سازمان‌ها متناسب با نیاز آن سازمان تغییر یابد و امنیت از منظر ادامه کسب‌وکار و تا اندازه‌ای در سطوح دیگر (مدیریت بحران و جنگ نرم) تضمین شود.
علی‌رغم تحقیقات گسترده در این خصوص متأسفانه به دلایل مختلف از جمله سطوح امنیتی موضوع برای نهادهای دولتی و غیردولتی و یا رابطه مستقیم حوزه مربوطه با منافع ایشان، اطلاعات شفاف و مفیدی در خصوص نحوه پیاده‌سازی و اولویت‌بندی لازم از منظر پیاده‌سازی و استقرار یک سیستم طی سال‌های گذشته تا امروز صورت نگرفته است. لذا در این تحقیق سعی شده است ضمن حفظ اطلاعات طبقه‌بندی‌شده سازمان، اطلاعات غیرمحرمانه‌ای که می‌تواند موجب ارتقای سازمان‌های مشابه شود در اختیار دیگران قرار گیرد. این پژوهش با مطالعات کتابخانه‌ای و مرور پایان‌نامه‌های مرتبط  آغاز شد و پس از کسب اطلاعات مهم و پایه در خصوص موضوع مطروحه، با خبرگان و متولیان موضوع پژوهش مصاحبه شد و مجموعه‌ای از "شاخص‌های کلیدی" به دست آمد و در گروه‌های متناسب با نام "عوامل موثر کلیدی در پیاده‌سازی سیستم مدیریت امنیت" دسته‌بندی گردید و توسط ابزار پرسشنامه مورد تحلیل و ارزیابی قرار گرفت. تعداد 126 پرسشنامه در کلیه بنادر توزیع و جمع‌آوری شد و سپس آزمون‌های مورد نیاز آماری بر روی آنها انجام گرفت. نتایج به‌دست آمده انجام سازمان مرکزی را متقاعد نمود تا نسبت به برگزاری دوره‌های آموزشی مرتبط و بازآموزی  موضوع  سیستم امنیت اطلاعات و برنامه‌ریزی و تخصیص رسانه و نرم‌افزار اقدام نماید.

کلیدواژه‌ها

مقادیر کمی و عدد پی تعبیر شدند و در محاسبه‌ها ملاک عمل قرار گرفتند. از مقیاس لیکرت برای تعیین اهمیت هر عنوان از متغیرها استفاده شد. لازم به ذکر است که در این بخش از تحقیق برای انجام تست اولیه مجموعاً تعداد 44 پرسشنامه بین خبرگان و متخصصین توزیع شد که 31 پرسشنامه عودت داده شد.

 

میزان   عامل اندازه‌گیری

نظر   کارشناسان و متخصصین

5

خیلی   زیاد

4

زیاد

3

متوسط

2

کم

1

خیلی   کم

جدول (1):  مقیاس لیکرت پرسشنامه

 

بدین منظور نمونه‌های اولیه شامل نمونه‌های 25 نفره و 30  نفره دو بار پرسشنامه پیش‌آزمون را تکمیل کردند و سپس با استفاده از داده‌های به‌دست آمده از این پرسشنامه‌ها و به کمک نرم‌افزار آماری SPSS 21 میزان ضریب اعتماد با روش آلفای کرونباخ به شرح جدول (2) محاسبه شد.

متغیرهای تحقیق

تعدادسئوالات

آلفای کرونباخ نمونه 25 نفره

آلفای کرونباخ نمونه 30 نفره

عوامل فناوری   و تکنولوژی

15

0.916

0.914

عوامل   سازمانی یا درونی

13

0.936

0.927

عوامل خارجی   یا بیرونی

5

0.773

0.720

اثربخشی و   موفقیت پیاده‌سازی ISMS

3

0.847

0.858

متغیر مستقل

33

0.957

0.952

متغیر مستقل و وابسته

36

0.961

0.958

جدول (2): میزان آلفای کرونباخ متغیرهای تحقیق

 

از آنجا که مقدار به دست آمده آلفای کرونباخ برای همه متغیرهای تحقیق بالای 7/0 می‌باشد می‌توان گفت پرسشنامه از پایایی قابل قبولی برخوردار است.

2-2- سئوالات و فرضیات تحقیق

سؤالات این تحقیق را می‌توان در دو زیرگروه اصلی و فرعی به شرح زیر طبقه‌بندی نمود.

سئوال اصلی

عوامل کلیدی موثر در اجرا و  پیاده‌سازی موفق سیستم مدیریت امنیت اطلاعات (ISMS) کدام‌اند؟

سئوالات فرعی

رتبه‌بندی شاخص‌های پیاده‌سازی سیستم مدیریت امنیت اطلاعات چگونه است؟

اولویت عوامل کلیدی موثر در اجرا و پیاده‌سازی سیستم مدیرت امنیت اطلاعات در سازمان بنادر و دریانوردی  چگونه است؟

فرضیات تحقیق

برخی از فرضیات اساسی این تحقیق به شرح زیر است:

عوامل کلیدی، در پیاده‌سازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات (ISMS) تأثیر می‌گذارد.

تأثیر عوامل کلیدی موفقیت در اجرا و  پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS)  متفاوت‌اند.

 

3- تجزیه و تحلیل داده‌ها

3-1- جایگاه چرخه مدیریتی دیمینگ در پیاده‌سازی

ایجاد امنیت یک فرایند پیچیده است. متد و مدل PDCA ساختاری است برای پیاده‌سازی سیستم ISMS. در پیاده‌سازی سیستم مذکور با پذیرش یک چرخه طرح‌ریزی (برنامه‌ریزی) مستمر که طرح را به‌روز نگه می‌دارد، می‌توان شانس خود را افزایش داد و این کار باید شامل جلسات منظم طرح‌ریزی که دربرگیرنده افراد کلیدی کسب‌وکار به منظور پیشرفت و شناسایی روش‌های بهبوددهنده طرح و عملیات است، باشد. بهبود مستمر و جستجو برای بهتر ساختن عملیات و انجام سریع‌تر و آسان‌تر و ارزان‌تر کارها، باعث تغییر و بهبود آن می‌شود. کسب‌وکارهایی که مصمم به بهبود مستمر و بازبینی طرح‌شان هستند از تجربیات گذشته برای بهبود آینده استفاده می‌کنند. تأمل در مورد رخدادهای گذشته، به مدیریت بهتر رخدادهای آینده کمک می‌کند. به این منظور می‌توان یکی از مدل‌های بهبود مستمر را که در دسترس می‌باشد به‌کار برد که معروف‌ترین آنها مدل PDCA می‌باشد .

3-2- شاخص‌های کلیدی موثر (CSFs) در پیاده‌سازی ISMS       

شاخص‌های کلیدی موثر آن دسته از عواملی هستند که سازمان برای رقابت موفقیت‌آمیز و یا جهت مدیریت زمان و هزینه‌های خود نیازمند تمرکز و توجه به آنهاست. در مدیریت امنیت اطلاعات CSFs شرایطی است که به منظور اجرای موفق باید برآورده شوند. شناسایی شاخص‌های کلیدی منجر به اطمینان از اعمال توجه لازم به زمینه‌هایی است که موجب موفقیت می‌شوند. هدف این بخش فراهم‌سازی دانش لازم درباره شاخص موثر در پیاده‌سازی موفق سیستم مدیریت امنیت می‌باشد.

اگر مشکلات اجرای سیستم مدیریت امنیت اطلاعات در یک سازمان را تلفیقی از اجرای یک سیستم مدیریتی و یک سیستم نرم‌افزاری در نظر بگیریم می‌توانیم به نتیجه قابل‌درکی در خصوص شناسایی شاخص‌های کلیدی مؤثر دست پیدا کنیم. با توجه به تحقیقات کتابخانه‌ای، شاخص‌های کلیدی پیاده‌سازی موفق سیستم مدیریت امنیت اطلاعت به این شرح به‌دست آمد: (1) اراده، تعهد، مشارکت و پشتیبانی مدیریت ارشد، (2) تعیین دامنه، نقشه راه، قلمرو  و اهداف امنیتی از اجرا سیستم، (3) ارتباطات و آگاهی کارکنان، (4) آموزش و ارتقای سطح تخصص کارکنان، (5) ایجاد فرهنگ امنیتی در سازمان و توسعه کار تیمی، (6) مدیریت تغییر، (7) تدارک منابع کافی ( مالی و نیروی انسانی)، (8) شناسایی دارایی و ریسک موجود، تحلیل، ارزیابی دقیق و به‌کارگیری کنترل مناسب، (9) مدیریت پروژه قوی، (10) ممیزی داخلی، (11) به‌کارگیری مدیریت تداوم سرویس‌های ICT قبل از ISMS و (12) الگوبرداری مناسب.

عوامل کلیدی موفقیت به دو دسته تقسیم شدند: (1) عوامل کلیدی موفقیت در پیاده‌سازی سیستم‌های جامع سازمانی و (2) عوامل کلیدی موفقیت در پیاده‌سازی سیستم‌های اطلاعاتی

با جمع‌آوری و جمع‌بندی نظرات خبرگان، شاخص‌های کلیدی در پیاده‌سازی سیستم‌های اطلاعاتی به این شرح استخراج شد: (1) کسب حمایت مدیر ارشد سازمان، (2) آموزش و اطلاع‌رسانی مستمر به کارکنان، (3) تأمین منابع مالی، (4) به‌کارگیری تجربیان قبلی سازمان در خصوص پیاده‌سازی سایر استانداردهای مدیریتی معتبر، (5) سیاست‌های امنیتی متناسب با دارایی‌ها، (6) مشارکت و همکاری کارکنان، (7) تدوین خط‌مشی و دستورالعمل‌ها بر اساس واقعیت سازمان، (8) ممیزی مستمر داخلی و ارائه گزارش به مدیریت ارشد، (9) مدیریت و پایش پروژه منطبق بر استاندارد مدیریت پروژه، (10) به‌کارگیری نظام ارزیابی و پاداش عملکرد کارکنان حین پیاده‌سازی سیستم (11) تعیین دقیق شاخص‌های اثربخشی سیستم و اندازه‌گیری و تحلیل مستمر آنها، (12) انتخاب و به‌کارگیری مشاور توانمند در پیاده‌سازی، (13) انطباق و همسویی کامل با سایر پروژه‌ها و طرح‌های فاوا، (14) توان و کیفیت نظارتی کارفرما، (15) تحلیل شکاف مناسب قبل از پیاده‌سازی استاندارد، (16) تعیین دقیق دامنه و محدوده پروژه، (17) انجام ارزیابی ریسک دارایی‌ها بر اساس تهدیدات و آسیب پذیرهای واقعی، (18) نظام پذیرش سیستم، (19) شرایط سیاسی و (20) تحریم‌ها.

در ادامه نسبت به شناسایی و تحلیل تهدیدات موجود حول محور امنیتی در سازمان‌های حاکمیتی اقدام شد. علی‌رغم ارتباط تنگاتنگ بین سه مقوله استمرار کسب‌وکار، مدیریت بحران و پدافند غیرعامل، باید توجه داشت که از اهیت متفاوتی برخوردار هستند. اولین چیزی که برای سازمان‌ها مهم است استمرار کسب‌وکار است که می‌تواند بر اساس عوامل طبیعی و غیرطبیعی اتفاق بیفتد، سپس مسئله مدیریت بحران اهمیت دارد. مدیریت بحران همیشه بعد از وقوع اتفاق است و منظور از اتفاقات در آن، اتفاقات تهاجمی نیست بلکه منظور اتفاقات طبیعی است. در مدیریت بحران برای فاجعه‌های طبیعی باید برنامه داشته باشیم تا در صورت وقوع، چگونگی بازیابی مشخص باشد. بحران‌ها موضوعاتی هستند ک اتفاق می‌افتند و نمی‌توان مانع از وقوع آنها شد و ساخته دست بشر نیستند. رتبة آخر متعلق به پدافند غیرعامل است، که انواع اقدامات در رابطه با پیشگیری از تهدید دشمن را در بر می‌گیرد. پدافند غیرعامل مجموعه‌ای از برنامه‌ریزی‌ها، طراحی‌ها و اقداماتی است که باعث کاهش آسیب‌پذیری در مقابل تهدیدات دشمن می‌شود و از آن تحت عنوان بازدارندگی نیز یاد می‌شود. در پدافند سعی می‌شود از وقوع اتفاق جلوگیری شود. هر یک از این سه فرآیند چرخه‌های حیات، مدیریت‌های ریسک، کنترل‌ها، راهکارها و طریقه‌های بازبینی مختص به خود را دارند و برای هر کدام باید مدیریت وساختار تشکیلاتی متفاوتی وجود داشته باشد.

در زمینه شناخت تهدیدات موجود علاوه بر بررسی میدانی و اکتشاف مواردی که تأثیر در ایجاد امنیت دارد از خبرگان و صاحب نظرات امنیتی کمک گرفته شد و 116 عامل در سه گروه کلی "عوامل بیرونی یا محیطی"، عوامل سازمانی یا درونی" و "عوامل فناوری و تکنولوژی" در جداول مربوطه دسته‌بندی شد. در هر گروه با بررسی‌های به عمل‌آمده نوع عمل تأثیرگذار در تحقیق کشف و از طریق آنها مجموعه عوامل که موجب تهدیدات می‌شوند گردآوری‌ شد و کنترل هر یک به این صورت دسته‌بندی شد: (1) مجموعه تهدیداتی که قابل‌کنترل می‌باشند، (2) مجموعه تهدیداتی که کنترل‌پذیری دشوار و سختی دارند و (3) مجموعه تهدیدات غیرقابل‌کنترل که در این تحقیق به عنوان پیش‌فرض در نظر گرفته شد.

بر ای پیاده‌سازی سیستم ISMS در سازمان‌ها، شناخت تهدیدات در کنار دارایی‌ها کیفیت و عمق نگرش ما را ارتقا می‌بخشد. هرچند ممکن است نسبت به وجود این تهدیدات در دور اول یا بالاتر انجام چرخه دیمینگ کنترل خاصی اعمال نشود و براساس استراتژی برخورد با ریسک به عنوان پذیرش ریسک نام برده شود، اما در ذهن مدیر امنیت، تیم امنیت، تیم CERT و کارکنان درگیر پروژه وجود این تهدیدات مورد سئوال قرار گرفته و در تصمیمات به عنوان یک تهدید دائمی آورده می‌شود. مطالب و موارد یادشده در قالب نمودارهای مختلف تهیه و به صورت زیر ارائه شد.

 

                       

نمودار (1):نوع عوامل در گروه  محیطی

 

 

نمودار (2):نوع عوامل در گروه سازمانی

 

 

نمودار (3): نوع عوامل در گروه فناوری و تکنولوژی

 

 

 

نمودار (4): فراوانی عوامل کنترل شونده در گروه

 

 

 

نمودار (5): فراوانی عوامل با کنترل دشوار در گروه

 

 

 

نمودار (6): فراوانی عوامل بدون کنترل در گروه

 

 

 

نمودار (7): فراوانی عوامل در گروه‌ها در یک نگاه

 

 

 

نمودار (8): گروه‌ها ـ نوع عوامل ـ عوامل

 

 

 

 

3-3- عوامل کلیدی موثر در پیاده‌سازی سیستم مدیریت امنیت اطلاعات در سازمان‌های حاکمیتی بر اساس تهدیدات موجود

با توجه به مطالعات صورت گرفته و تحقیقات میدانی انجام شده شاخص‌های شناسایی شده در هر سطح پالایش شد و با توجه به نوع تهدیدات موجود طبقه‌بندی و به صورت جدول (3)، (4) و (5) ارائه شد.

 


 

وضعیت سیستم‌های   موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستم‌های موجود و امکانات شبکه)

تیم های امنیتی و   فنی پاسخگو (CERT)

نظام پذیرش سیستم   (استاندارد  فاوا)

به‌کارگیری   مدیریت تداوم سرویس های ICT قبل ازISMS

انطباق و همسویی   کامل با سایر پروژه‌ها و طرح‌های فاوا

خط مشی، سیاست‌های   امنیتی و اجرایی

ممیزی و تحلیل اندازه‌گیری

توان و کیفیت   نظارتی کارفرما

ارتقاء سطح   آموزش، تخصص و مهارت کارکنان

بکار گیری   تجربیان قبلی

تعیین دامنه و   قلمرو پیاده‌سازی سیستم

تحلیل شکاف مناسب   قبل از پیاده‌سازی استاندارد

برآورد و ارزیابی   ریسک دارایی‌ها

به‌کارگیری سیستم   های نرم‌افزاری و سخت‌افزاری مرتبط با  ISMS

مدیریت داده‌ها و   اطلاعات موجود

جدول (3) عوامل فناوری تکنولوژی

 

فرهنگ‌سازمانی

باورهای مشترک

مدیریت تغییر

مدیریت منابع   مالی و انسانی

نظام ایجاد   انگیزش

اهداف شفاف

ارتباطات و آگاهی

مشارکت سازنده   کارکنان

مدیریت پروژه

رسمیت

نقش مدیریت ارشد   در پیاده‌سازی سیستم

تمرکزگرایی

مدیریت دانش

جدول (4): عوامل درون‌سازمانی

الگوبرداری

تحریم‌ها

شرایط سیاسی

مشاور، مجری و   پیمانکاران

 

 

 

 

 

جدول (5): عوامل برون‌سازمانی

3-4- تعیین نمونه آماری

اگر بخواهیم حجم نمونه شکاف جمعیتی 5/0 یعنی نیمی از جمعیت حائز صفتی معین باشند. نیمی دیگر فاقد آن خواهد بود. معمولاً p و q را 5/0 در نظر می‌گیریم. مقدار z معمولاً 96/1 است. d می‌تواند  01/0 یا 05/0 باشد. در برخی از تحقیقات برای تصحیح حجم نمونه از فرمول تصحیح کوکران استفاده می‌شود. ساده‌شده فرمول به صورت فرمول (1) می‌باشد.

فرمول (1)

       

 

وقتی‌که واریانس جامعه و احتمال موفقیت یا عدم موفقیت متغیر امشخص و روشن نباشد و نتوان از فرمول‌های آماری برای برآورد حجم نمونه استفاده کرد از جدول مورگان استفاده می‌شود. این جدول حداکثر تعداد نمونه را می‌دهد. (S: حجم نمونه، N: حجم جامعه است). با توجه به این توضیحات برای تعیین تعداد نمونه آماری در این تحقیق از روش کوکران با جامعه آماری محدود (187عدد) استفاده شد که حجم نمونه برابر با عدد 125.996071278 گردید که این عدد به عدد 126 گرد شد و این تعداد پرسشنامه پس از جمع‌آوری در تجزیه و تحلیل‌های آماری مورد استفاده قرار گرفت. با توجه به توضیحات فوق برای تعیین تعداد نمونه آماری در این تحقیق از روش کوکران با جامعه آماری محدود (187عدد) استفاده گردید که حجم نمونه برابر شد با عدد 125.996071278 که این عدد را به عدد 126 گرد کرده و این تعداد پرسشنامه را پس از جمع‌آوری در تجزیه و تحلیل‌های آماری مورد استفاده قرار گرفت .

3-5- متغیرهایمستقلووابستهتحقیق

با توجه به موضوع تحقیق، بررسی تأثیر تمامی عوامل کلیدی در پیاده‌سازی سیستم مدیریت امنیت اطلاعات، کاری بس دشوار و زمان‌بر می‌باشد. زیرا از یک‌سو، مستلزم تعیین معیارها و شاخص‌های متعددی است که باید مورد تأیید خبرگان و متخصصین قرار گیرد و از سوی دیگر بررسی پاسخ‌های اعضای جامعه آماری به سؤالات پرسشنامه، تحلیل آماری پیچیده و چندگانه‌ای خواهد داشت.

3-5-1- متغیرهایمستقلتحقیق

در بررسی‌ها و نتایج به‌دست آمده تعداد 32 عامل موثر در پیاده‌سازی سیستم‌ها از جمله سیستم مدیریت امنیت اطلاعات به عنوان متغیرهای مستقل در نظر گرفته شد. جدول (6) متغیرهای مستقل پژوهش را نشان می‌دهد.

 

 

 

 

 

 

 

 

ردیف

متغیرهای   مستقل

منابع

پرسشنامه

1

وضعیت   سیستم‌های موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستم‌های موجود و امکانات   شبکه)

[26] ،   کورنگی، سجادیه

Q1

2

تیم‌های   امنیتی و فنی پاسخگو (CERT)

[14],[21],[43],[38],[37],[22],[35],[64].[26]

Q2

3

نظام   پذیرش سیستم (استاندارد فاوا)

کورنگی (شرکت علمی غرب آسیا)

Q3

4

به‌کارگیری   مدیریت تداوم سرویس‌های ICT قبل از ISMS

[12][21]

Q4

5

انطباق   و همسویی کامل با سایر پروژه‌ها و طرح‌های فاوا

کورنگی (شرکت علمی غرب آسیا)، سجادیه (شرکت پردازشگران داده   آرا سپاهان )

Q5

6

خط   مشی، سیاست‌های امنیتی و اجرایی

[26],[23] منافی – خراسانی - ایزدی

Q6

7

ممیزی   و تحلیل اندازه‌گیری

Zwass   1988[23],[26],[27][14]

Q7

8

توان   و کیفیت نظارتی کارفرما

کورنگی - سجادیه

Q8

9

ارتقاء   سطح آموزش، تخصص و مهارت کارکنان

[23],steers1977,shanks   et al.2000,Zwass1988,[14],[22],[26][27]

Q9

10

بکار   گیری تجربیان قبلی

سجادیه ، شاهینی، کورنگی، ایزدی

Q10

11

تعیین   دامنه و قلمرو پیاده‌سازی سیستم

[40],[22],[25],[27],[21],[14]

Q11

12

تحلیل   شکاف مناسب قبل از پیاده‌سازی استاندارد

کورنگی –   سجادیه - ایزدی

Q12

13

برآورد   و ارزیابی رسیک دارایی‌ها

کورنگی –   سجادیه – ایزدی [14],

Q13

14

به‌کارگیری   سیستم های نرم‌افزاری و سخت‌افزاری مرتبط با    ISMS

کورنگی ، ایزدی، منافی

Q14

15

مدیریت   داده‌ها و اطلاعات موجود

[26],[9],[10],[11]

Q15

16

فرهنگ‌سازمانی

[35],[26],[22]

Q16

17

باورهای   مشترک

[26],[60]

Q17

18

مدیریت   تغییر

[33],[34],[21],[26],[23] جوران و گاردفری 2000 و بالزاووا 2004

Q18

19

مدیریت   منابع مالی و انسانی

[26],[21][25] اینتر ولاکر – منافی –   کورنگی - شاهینی

Q19

20

نظام   ایجاد انگیزش

[23],[25],[22]

Q20

21

اهداف   شفاف

[26],[23],[14],[21]

Q21

22

ارتباطات   و آگاهی

[22],[26],[21]

Q22

23

مشارکت   سازنده کارکنان

[23] گورنگی ، ایزدی ، سجادیه

Q23

24

مدیریت   پروژه

[21],[26],[23],[37]

Q24

25

رسمیت

[23]steers1988

Q25

26

نقش   مدیریت ارشد در پیاده‌سازی   سیستم

[23],[40],[26],[15],[14],[21]

Q26

27

تمرکز   گرایی

[26],[63]

Q27

28

مدیریت   دانش

[26],[22],[27]

Q28

29

الگوبرداری

[65],[64],[40][39],[21]

Q29

30

تحریم   ها

کورنگی ، ایزدی، سجادیه، خراسانی

Q30

31

شرایط   سیاسی

کورنگی ، منافی

Q31,Q33

32

مشاور،   مجری و پیمانکاران

سجادیه ، کورنگی ، ایزدی ، [22]

Q32

جدول (6):  متغیر های مستقل

 

 

3-5-2- متغیر وابسته تحقیق

متغیر وابسته این تحقیق "پیاده‌سازی و اجرای موفق سیستم مدیریت امنیت اطلاعات" می‌باشد که در اثر اجرای موفقیت سیستم، سطح امنیت اطلاعات با به‌کارگیری کنترل‌های حوزه ISMS افزایش می‌یابد. امنیت، حاصل افزاش مؤلفه‌های محرمانگی ، یکپارچگی و دسترس‌پذیری اطلاعات می‌باشد.

3- 6- روش‌های آماری

تجزیه و تحلیل اطلاعات آماری این تحقیق با استفاده از نرم‌افزار SPSS 21, SPSS16, LISREL8.5 انجام می‌شود. آزمون‌های آماری صورت گرفته در انجام این تحقیق شامل: (1) آزمون کولموگروف – اسمیرنوف برای نرمال بودن داده‌های جمع‌آوری شده، (2) آزمون تحلیل عاملی تأییدی به منظور بررسی روایی سازه، (3) آزمون T تک جمله‌ای‌ به منظور پاسخ به سئوالات اصلی تحقیق و رتبه‌بندی شاخص‌های کلیدی، (4) آزمون فریدمن به منظور پاسخ به سئوالات اصلی تحقیق و رتبه‌بندی عوامل کلیدی، (5) آزمون T تک نمونه‌ای به منظور اثبات  فرضیه اول و (6) آزمون رگرسیون جهت اثبات فرضیه دوم و ارائه مدل می‌باشد.

3-7- بحث و تحلیل

در پژوهش حاضر شناسایی شاخص‌های کلیدی موفقیت طی مراحل مختلف تحلیل شد. (1) از بین 64 شاخص شناسایی‌شده 32 شاخص از طریق مطالعه، مصاحبه با خبرگان و تحلیل پژوهشگر، به عنوان شاخص‌های کلیدی تحقیق تعیین شد، (2) سئوالات به گونه‌ای طراحی شدند که اثربخشی شاخص‌های موجود را مورد سنجش قرار دهند و با انجام تست‌های اولیه و تأیید پایایی سازه پرسشنامه، اعتبار شاخص‌های مذکور تأیید شد، (3) با انجام آزمون بارتلت و شاخص KMO میزان همبستگی هر شاخص با عامل مرتبط و اثربخشی ایجادشده (متغیر وابسته ) تاحدودی مشخص شد. از آنجا که مقدار شاخص KMO  برابر است با 739/0، بیشتر از  6/0 است تعداد نمونه (در اینجا همان تعداد پاسخ‌دهندگان) برای تحلیل عاملی کافی تشخیص داده شد. همچنین مقدار معناداری (Sig) آزمون بارتلت برابر 000/0، یعنی کوچک‌تر از 5 درصد شد که نشان می‌دهد تحلیل عاملی برای شناسایی ساختار مدل عاملی، مناسب است، (4) انجام آزمون‌های فوق این نتیجه را در پی داشت  که مقدار به‌دست آمده برای هر کدام از سؤالات نشان‌دهنده ضریب همبستگی می‌باشد که هر ستونی که مقدار بیشتری داشته باشد نشان‌دهنده این است که شاخص با متغیر مذکور ارتباط دارد، برای مثال شاخص اول در ستون اول با مقدار 447/0 با دیدگاه فناوری در موفقیت پیاده‌سازی سیستم مدیریت اطلاعات ارتباط دارد، (5) نتایج تحلیل‌های عاملی نشان داد که تمام 32 شاخص یادشده شامل شاخص‌های  فناوری و تکنولوژی، سازمانی (درون‌سازمانی و برون‌سازمانی) در اثربخشی و موفقیت پیاده‌سازی  ISMS ، با مقادیر تی (بیشتر از 96/1) و بار عاملی (بیشتر از 4/0) مورد قبولی برخوردار می‌باشند و برای موفقیت پیاده‌سازی ISMS شاخص‌های مناسبی محسوب می‌شوند، (6) با توجه به نتایج آزمون تی تک نمونه‌ای می‌توان گفت شاخص‌هایی که دارای میانگین بیشتر از 3 و آماره تی بیشتر از 96/1 و سطح معناداری (sig) کمتر از 05/0 باشد به عنوان شاخص‌های کلیدی موثر در اجرا و پیاده‌سازی موفق سیستم مدیریت امنیت اطلاعات (ISMS) شناخته می‌شوند، (7) با توجه به تحلیل فوق نشان داده شد که تمامی شاخص‌های مورد سنجش ارتباط تنگاتنگی با موضوع دارند و می‌توان  32 مورد شاخص ارائه‌شده در مدل مفهومی را به عنوان شاخص کلیدی در پیاده‌سازی سیستم مدیریت امنیت اطلاعات به حساب آورد. البته می‌توان این‌گونه نیز نتیجه‌گیری کرد که تمامی شاخص‌هایی که میانگین بالاتر از 3 و تی بالاتر از 96/1 دارند به طور بالقوه شاخص‌های کلیدی برای موفقیت می‌باشند و سازمان مذکور در پیاده‌سازی سیستم مدیریت امنیت اطلاعات مورد توجه قرار داده است. و آنهایی که میانگین و آماره کمتری به دست آورده‌اند به دلیل فقدان موجودیت و عدم تمرکز و توجه سازمان، موجب عدم قطعیت موفقیت در متغیر وابسته شده‌اند.  لذا می‌توان از آنها به عنوان شاخص‌های کلیدی‌ای که سازمان نسبت به آن توجه لازم نداشته است. یادکرد.

بنابراین ایجاد و بهره‌گیری شاخص‌های فراموش‌شده در کنار تقویت شاخص‌های اثبات‌شده متناسب با  میانگین و آماره  کسب‌شده در آزمون تی تک نمونه‌ای موجب ارتقای سطح پیاده‌سازی سیستم می‌شوند. از آنجا که سئوالات 31 و 33 در رابطه با یک موضوع مطرح شده‌اند بنابراین میانگین آنها با عدد 63/2 به عنوان شاخصی تأثیرگذار می‌تواند محسوب شود. اما در خصوص سئوال 30 با توجه به طرح سئوال به صورت معکوس می‌توان نتیجه گرفت که میانگین و آماره عکس آن بالاتر از 3 و 96/1 بوده و به عنوان شاخص کلیدی فراموش‌شده نیست.

 

آسایش

ایده آل

هشدار

اضطرار

بحران

 

این شاخص کلیدی جزء شاخص‌هایی است   که سازمان به آن توجه خوبی داشته است. تمرکز و نگهداری آن در سطح مربوطه اقدام   مفید سازمان است.

این شاخص کلیدی جزء شاخص‌هایی است   که سازمان به صورت متوسط به آن در هنگام اجرای سیستم توجه داشته است. لذا تقویت   آن تا پیاده‌سازی موفق الزامی است.

این شاخص کلیدی جزء شاخص‌های فراموش‌شده   در سازمان است و باید نسبت به ایجاد و بهره‌گیری از آن با قید فوریت جهت پیاده‌سازی   موفق سیستم اقدام گردد

 

جدول (7): وضعیت شاخص‌ها و عکس‌العمل پیشنهادی سازمان

 

 

ردیف

شاخص کلیدی

Q

میانگین

آماره

sig

نوع عکس‌العمل سازمان

1

وضعیت سیستم‌های   موروثی و زیرساخت فناوری اطلاعات (پیچیدگی سیستم‌های موجود و امکانات شبکه)

Q1

3.42

6.108

.000

هشدار

2

تیم های امنیتی و   فنی پاسخگو (CERT)

Q2

3.57

6.523

.000

هشدار

3

نظام پذیرش سیستم   (استاندارد  فاوا)

Q3

3.49

7.203

.000

هشدار

4

به‌کارگیری مدیریت تداوم سرویس   های ICT قبل ازISMS

Q4

2.84

-1.742

.084

اضطرار

5

انطباق و همسویی کامل با سایر پروژه‌ها   و طرح های فاوا

Q5

3.35

3.834

.000

هشدار

6

خط مشی، سیاست‌های امنیتی و   اجرایی

Q6

3.56

6.227

.000

هشدار

7

ممیزی و تحلیل اندازه‌گیری

Q7

4.02

12.503

000

ایده آل

8

توان و کیفیت نظارتی کارفرما

Q8

3.79

10.701

.000

هشدار

9

ارتقاء سطح آموزش، تخصص و   مهارت کارکنان

Q9

3.29

2.802

.006

هشدار

10

بکار گیری تجربیان قبلی

Q10

3.40

5.229

.000

هشدار

11

تعیین دامنه و قلمرو پیاده‌سازی   سیستم

Q11

3.56

5.828

.000

هشدار

12

تحلیل شکاف مناسب قبل از پیاده‌سازی   استاندارد

Q12

3.50

6.052

.000

هشدار

13

برآورد و ارزیابی ریسک دارایی‌ها

Q13

3.32

3.710

.000

هشدار

14

به‌کارگیری سیستم‌های نرم‌افزاری و سخت‌افزاری   مرتبط با  ISMS

Q14

2.82

-1.853

.066

اضطرار

15

مدیریت داده‌ها و اطلاعات   موجود

Q15

3.75

9.218

.000

هشدار

16

فرهنگ‌سازمانی

Q16

3.49

5.797

.000

هشدار

17

باورهای مشترک

Q17

3.50

6.109

000

هشدار

18

مدیریت تغییر

Q18

3.41

5.218

.000

هشدار

19

مدیریت منابع مالی و انسانی

Q19

3.29

3.839

000.

هشدار

20

نظام ایجاد انگیزش

Q20

2.35

-5.978

.000

اضطرار

21

اهداف شفاف

Q21

2.92

-.876

.383

اضطرار

22

ارتباطات و آگاهی

Q22

3.25

2.987

.003

هشدار

23

مشارکت سازنده کارکنان

Q23

3.60

6.305

.000

هشدار

24

مدیریت پروژه

Q24

3.45

4.648

.000

هشدار

25

رسمیت

Q25

3.49

5.051

.000

هشدار

26

نقش مدیریت ارشد در پیاده‌سازی سیستم

Q26

3.53

6.267

.000

هشدار

27

تمرکزگرایی

Q27

3.46

5.797

.000

هشدار

28

مدیریت دانش

Q28

3.14

1.896

.060

هشدار

29

الگوبرداری

Q29

3.09

.946

.346

هشدار

30

تحریم‌ها

Q30

2.53

-5.051

.000

هشدار

31

شرایط سیاسی

Q31,Q33

2.63

4.211-

.000

اضطرار

32

مشاور، مجری و پیمانکاران

Q32

3.27

2.561

.012

هشدار

جدول (8): وضعیت شاخص‌ها و عکس‌العمل پیشنهادی سازمان

 

به منظور رتبه‌بندی اولویت هریک از عوامل کلیدی موثر در اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات از رتبه‌بندی فرید من استفاده شد شود که نتایج مندرج در جدول (9) به دست آمد.

 

 

متغیرهای مستقل

رتبه میانگین

رتبه

عوامل فناوری و   تکنولوژی

46/2

1

عوامل سازمانی یا درونی

21/2

2

عوامل خارجی برون‌سازمانی

33/1

3

جدول (9): رتبه‌بندی عوامل موفقیت در پیاده‌سازی سیستم مدیریت امنت اطلاعات

 

با توجه به نتایج به دست آمده از میانگین می‌توان گفت که عوامل فناوری و تکنولوژی­ها با میانگین 46/2 دارای بالاترین رتبه و عوامل سازمانی یا درونی با میانگین 33/1 دارای پایین‌ترین رتبه می‌باشد. جدول آزمون فریدمن در خصوص  رتبه‌بندی عوامل موفقیت در پیاده‌سازی سیستم مدیریت امنیت اطلاعات به شرح جدول (10) می‌باشد.

 

N

126

Chi-square

580/90

Df

2

Sig

000/0

جدول (10): آزمون فریدمن در خصوص رتبه‌بندی عوامل

 

از آنجا که sig (سطح معناداری) کمتر از 5/0 است، ادعای یکسان بودن رتبه (اولویت) هر یک از عوامل کلیدی موثر در اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات پذیرفته نمی‌شود.

 

متغیر پیش بین

ضریب مسیر (b)

آماره t

ضریب تعیین کل (      )

عوامل فناوری و تکنولوژی

524/0

**12/5

 

529/0

عوامل سازمانی یا درونی

246/0

**62/2

عوامل خارجی یا بیرونی

02/0

162/0

 

جدول ‏(11): ضرایب مسیر، آماره t و ضریب تعیین (متغیر وابسته: ISMS)

 

با توجه به ضرایب مسیر و همچنین آماره می‌توان گفت عوامل فناوری و تکنولوژی و عوامل درون‌سازمانی در سطح اطمینان 99% بر اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) تأثیر معنادار و مثبت دارند. اما متغیر عوامل خارجی یا برون‌سازمانی تأثیر معناداری بر اجرا و پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS) ندارد. همچنین با توجه به آزمون تی تک نمونه‌ای که برای اثبات فرضیه اول استفاده شد مشخص شد که  عوامل موفقیت در پیاده‌سازی سیستم مدیریت امنیت اطلاعات به صورت یکسان تأثیر نداشته و دو عامل " فناوری و تکنولو‍ژی" و "درون‌سازمانی" تأثیرشان بیشتر از عامل "برون‌سازمانی" است و به این ترتیب فرضیه دوم مبنی بر تأثیر متفاوت عوامل کلیدی موفقیت در پیاده‌سازی  ISMS اثبات می‌شود.  

 

 

 

 

معیار

میانگین

آماره t

Sig

عوامل فناوری و تکنولوژی

44/3

49/8

000/0

عوامل درون‌سازمانی

29/3

06/5

000/0

عوامل برون‌سازمانی

82/2

82/1

091/0

جدول (12): نتایج آزمونt تک نمونه‌ای

 

از آنجا که sig عوامل فناوری و تکنولوژی و عوامل درون‌سازمانی کمتر از 5% و مقدار آماره t بیشتر از 96/1 است پس فرض  آن رد نمی‌شود. عوامل فناوری و تکنولوژی و عوامل درون‌سازمانی  به عنوان عوامل کلیدی در پیاده‌سازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات موثر می‌باشند.

از آنجائیکه sig عوامل برون‌سازمانی بیشتر از 5% و مقدار آماره t کمتر از 96/1 است پس فرض آن رد نمی‌شود. عوامل برون‌سازمانی به عنوان عوامل کلیدی در پیاده‌سازی و اجرای مستمر سیستم مدیریت امنیت اطلاعات موثر نمی‌باشد.

 

نام شاخص

Question

رتبه میانگین

رتبه‌بندی شاخص PMO

ممیزی و تحلیل اندازه‌گیری

Q7

24.59

1

توان و کیفیت نظارتی کارفرما

Q8

22.3

2

مدیریت داده‌ها و اطلاعات موجود

Q15

21.42

3

خط مشی، سیاست‌های امنیتی و اجرایی

Q6

20.11

4

ممیزی و تحلیل اندازه‌گیری

Q7

19.86

5

توان و کیفیت نظارتی کارفرما

Q8

19.79

6

مشارکت سازنده کارکنان

Q23

19.5

7

نقش مدیریت ارشد در پیاده‌سازی سیستم

Q26

19.06

8

فرهنگ‌سازمانی

Q16

18.99

9

باورهای مشترک

Q17

18.94

10

تحلیل شکاف مناسب قبل از پیاده‌سازی   استاندارد

Q12

18.73

11

نظام پذیرش سیستم (استاندارد  فاوا)

Q3

18.62

12

رسمیت

Q25

18.5

13

مدیریت پروژه

Q24

18.32

14

تمرکزگرایی

Q27

18.21

15

وضعیت سیستم‌های موروثی و زیرساخت   فناوری اطلاعات (پیچیدگی سیستم‌های موجود و امکانات شبکه)

Q1

18.19

16

بکار گیری تجربیان قبلی

Q10

18.09

17

ارتقاء سطح آموزش، تخصص و مهارت کارکنان

Q9

17.58

18

مدیریت تغییر

Q18

17.57

19

انطباق و همسویی کامل با سایر پروژه‌ها و   طرح های فاوا

Q5

17.32

20

مشاور، مجری و پیمانکاران

Q32

17.23

21

برآورد و ارزیابی ریسک دارایی‌ها

Q13

17.11

22

ارتباطات و آگاهی

Q22

16.19

23

مدیریت منابع مالی و انسانی

Q19

16.14

24

الگوبرداری

Q29

14.92

25

مدیریت دانش

Q28

14.89

26

اهداف شفاف

Q21

13.02

27

به‌کارگیری مدیریت تداوم سرویس های ICT قبل ازISMS

Q4

12.81

28

به‌کارگیری سیستم‌های نرم‌افزاری و سخت‌افزاری   مرتبط با  ISMS

Q14

12.47

29

شرایط سیاسی

Q31,Q33

10.69

30

تحریم‌ها

Q30

9.64

31

نظام ایجاد انگیزش

Q20

9.52

32

جدول (13): جدول رتبه‌بندی شاخص‌های کلیدی موفقیت در پیاده‌سازی سیستم مدیریت امنیت اطلاعات

 

4- نتیجه گیری کلی

نتایج این پژوهش را می‌توان به صورت زیر جمع‌بندی کرد: (1) انجام این تحقیق هنگامی‌که سازمان مورد مطالعه در نیمه راه پیاده‌سازی سیستم مدیریت امنیت اطلاعات بود، موجب ایجاد انرژی و هم‌افزایی مجدد در نوع نگرش به موضوع و ایجاد بسترها و توانایی‌های لازم جهت ادامه مسیر گردید، (2) با توجه به اینکه در انجام تحقیق نظر کارشناسان مرتبط، مدیران امنیت و روسای ادارات مربوطه شنیده شد و در زمینه‌های مختلف و تحلیل مشکلات بحث و گفتگو انجام گرفت، پرسش و پاسخ های متوالی موجب ایجاد طوفان ذهنی در خصوص تفکر عمیق در رابطه با مشکلات موجود شد، (3) فرصتی مهیا شد تا افراد ذیصلاح ترغیب به ارائه نظر و در نهایت تشکیل کمیته شبکه و امنیت در مجموعه سازمان بنادر و دریانوردی و بنادر تابعه شوند، (4) شرایطی پدید آمد تا بنادری که در اجرای چرخه‌های دوم یا چندم امنیت بودند به صورت الگوی بنادری درآیند که در ابتدای راه بودند، (5) با انجام این تحقیق سازمان مرکزی را متقاعد شد تا نسبت به برگزاری دوره‌های آموزشی مرتبط و بازآموزی موضوع  سیستم امنیت اطلاعات اقدام نماید، (6) با انجام این تحقیق سازمان مرکزی را متقاعد شد تا نسبت به برنامه‌ریزی و تخصیص رسانه و نرم‌افزاری جهت انجام امور مذکور اقدام نماید، (7) نقطه نظرات مجریان طرح‌های امنیتی مراکز بزرگ و مشابه گرفته شد که می‌تواند به عنوان یکی از مراجع مورد استفاده سازمان‌های ذینفع قرار گیرد و (8) در مباحث امنیت نقطه نظرات مدیران امنیت سازمان‌های دولتی اخذ و در بعضی از موارد به عنوان سئوال‌های چالش‌برانگیز به مخاطبان موضوع (مجریان و پیمانکاران ) انتقال داده شد و اطلاع‌رسانی این مجموعه نظرات و تفکرات می‌تواند دستاورد مفیدی برای بخش خصوصی فعال در این حوزه باشد.

  1.  http://www.parsmodir.com/db/research/cochran.php
  2. J.  Laudon,  K.C.  Laudon , J.P. Laudan, “Management Information System :Managing the Digital Firm”, 2006

 

صنعت حمل و نقل دریایی
دوره 2، شماره 3 - شماره پیاپی 3
آذر 1395
صفحه 36-46
  • تاریخ دریافت: 22 دی 1394
  • تاریخ پذیرش: 13 اسفند 1394