ارایه الگوی طبقه‌ بندی دارایی‌های اطلاعاتی سازمانی و معماری امنیت آن در محیط ابر خصوصی سازمان Journal Article

امروزه سازمان‏ها با حجم و تنوع بسیار زیاد اطلاعات و دارایی‏های اطلاعاتی مواجه هستند که در سیستم‏های مختلف از جمله سیستم مدیریت دانش ، سیستم مالی و حسابداری، سیستم اتوماسیون اداری و سیستم اتوماسیون صنعتی و ... تولید شده و حفاظت از این اطلاعات ضروری است. از طرفی رایانش ابری، بعنوان نسل جدیدی از رایانش، یک مدل برای دسترسی فراگیر، راحت و به محض درخواست به مخزن منابع رایانشی به اشتراک گذاشته شده را ارایه می‏کند که مزایای متعدد آن سبب شده است تا سازمان‏ها گرایش زیادی به استفاده از آن داشته باشند. چالش اصلی در توسعه و پذیرش این مدل، اطمینان از برقراری، حفظ و مدیریت امنیت اطلاعات سازمان در محیط ابری است. در این مقاله، مبتنی بر "روش شناسی تحقیق علم طراحی" و همسو با روال‌های "فرایند طراحی در تحقیق سیستم‌های اطلاعاتی" الگوی طبقه‏بندی دارایی‏های اطلاعاتی سازمان مشتمل بر 355 نوع مختلف دارایی‏های اطلاعاتی سازمانی در هفت گروه و سه سطح ارایه شده است تا مدیران بتوانند با توجه به اهمیت هر یک از گروه دارایی‏ها برای بقای سازمان، کنترل‏های امنیتی متناظر را طرح ریزی کنند. در ادامه بمنظور هدایت سازمان در معماری امنیت اطلاعات خود در محیط رایانش ابری، متدلوژی مناسب برای تدوین معماری امنیتی ارایه شده است. متدلوژی ارایه شده به سازمان کمک می‏کند تا پس از شناسایی و طبقه‏بندی دارایی‏های اطلاعاتی خود متناسب با الگوی ارایه شده، نسبت به معماری امنیت اطلاعات خود بصورت بهینه و کارآمد اقدام نماید. معماری امنیتی پیشنهاد شده با بکارگیری این متدولوژی و الگوی طبقه‏بندی اطلاعات سازمانی ارایه شده با روش دلفی بر اساس نظر خبرگان مدیریت سازمان و متخصصان امنیت رایانش ابری، مورد بحث و تبادل نظر، اصلاح و نهایتا اجماع قرار گرفته است.

Todaychr('39')s, Organizations are exposed with huge and diversity of information and information assets that are produced in different systems shuch as KMS, financial and accounting systems, official and industrial automation sysytems and so on and protection of these information is necessary. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released.several benefits of this model cuses that organization has a great trend to implementing Cloud computing. Maintaining and management of information security is the main challenges in developing and accepting of this model. In this paper, at first, according to "design science research methodology" and compatible with "design process at information systems research", a complete categorization of organizational assets, including 355 different types of information assets in 7 groups and 3 level, is presented to managers be able to plan corresponding security controls according to importance of each groups. Then, for directing of organization to architect it’s information security in cloud computing environment, appropriate methodology is presented. Presented cloud computing security architecture , resulted proposed methodology, and presented classification model according to Delphi method and expers comments discussed and verified.

در اين مقالـه کـه بـر «روش شناسـي تحقيـق علـم طراحـي » و همسو با روال هاي «فرايند طراحي در تحقيق سيستم هاي اطلاعاتي » مبتني اسـت ، الگوي طبقه بندي دارايي هاي اطلاعاتي سازمان مشتمل بر ٣٥٥ نـوع مختلـف در هفت گروه و سه سطح ارائه شده است تا مديران بتوانند با توجه بـه اهميـت هـر يـک از گـروه دارايـي هـا، کنتـرل هـاي امنيتـي متنـاظر را بـراي بقـاي سـازمان طرح ريزي کنند. معمـاري امنيتـي پيشنهادشده با به کارگيري اين متدولوژي و الگوي طبقه بندي اطلاعات سازماني چکيده : ارائه شده با روش دلفي بر اساس نظر خبرگان مديريت سازمان و متخصصان امنيت رايانش ابـري ، مـورد بحث و تبادل نظر، اصلاح ، و نهايتاً اجماع قرار گرفته است . مؤسسۀ ملي فناوري و استانداردها١، رايانش ابري را اين گونه تعريف مـي کنـد: رايـانش ابـري مدلي براي دسترسي فراگير و راحت است که به محض درخواست در مخـزن منـابع رايانشـي قابـل پيکربندي به اشتراک گذاشته شده (براي مثال شبکه ها، سرورها، ذخيره سازها، برنامه هاي کاربردي و سرويس ها) و مي تواند به سرعت و با حداقل تلاش مديريتي يا تعامل با ارائه دهندة سرويس ، تأمين شده و در دسترس قرار گيرد (٢٠١١ Grance &Mell ). از آنجا که کاربرد عمده و مورد نظر اين طبقه بندي ، بهره گيري از آن در ارائۀ يـک معمـاري مرجع امنيتي براي حفاظت از اطلاعات اسـت ، در طبقـه بنـدي ارائـه شـده نـوع سيسـتم اطلاعـاتي و اجزاي تشکيل دهندة يک سيستم اطلاعاتي (شبکه ، سخت افـزار، نـرم افـزار، رويـه هـا، پايگـاه داده و کارکنان ) مورد توجه قرار گرفته و اطلاعـات توليدشـده توسـط هـر سيسـتم و يـا جـزء بـه صـورت جداگانه طبقه بندي شده است .