چکیده:
ریسک جزیی ذاتی و جدایی ناپذیراز زندگی و تجارت است. همواره شرایط عدم اطمینانی که ناشی ازاطلاعات و دادههای ناقص و یا متغیرهای غیرقابلکنترل است، با فرصتها و تهدیداتی همراه است. در عصرحاضر بسیاری از سازمانها به شدت به سیستمهای اطلاعاتی خود متکیاند و مدیریت امنیت اطلاعات به یکیاز موضوعات مهم سازمانی تبدیل شدهاست. با توجه به این واقعیت که در استفاده از سیستمهای امنیتاطلاعات نیز ریسکهایی وجود دارد، یک فرایند مدیریت ریسک موثر، میتواند برنامه امنیتی موفقی را نتیجهدهد. مدیریت ریسک شامل فرایند شناسایی ریسکها، ارزیابی ریسک، و تلاش برای کاهش ریسکها بهسطح قابل قبول میباشد. هدف این پژوهش، اولویتبندی ریسکهای امنیت اطلاعات سازمانی، بهمنظور ارائهراهکاری برای ارتقا وضعیت امنیت اطلاعات سازمانی است. به این منظور، با استفاده از AHP فازی و شبکهبیزین، مدلی جهت ارزیابی و اولویتبندی ریسکهای امنیت اطلاعات سازمانی ارائه گردید. در فرایند ارزیابیریسک،شدت ریسکها با استفاده از AHP فازی و احتمال آنها با استفاده از شبکه بیزین،محاسبه شد وسرانجام ریسکها اولویتبندی شدند. یافتههای این پژوهش نشان میدهد در سازمان مورد پژوهش، ریسکعدم آگاهی و عدم ارائه آموزشهای مناسب در حوزه امنیت اطلاعات، بالاترین اولویت و بیشترین نیاز بهتوجه را دارد
Risk is inherent and inseparable part of life and business. Always uncertainty condition arising from incomplete information and data or ungovernable variables، associated with opportunities and threats.Nowadays many organizations and companies have relied heavily on information systems and information security management has transformed to an important organizational topics. And due to the fact that the use of information systems security may be created some risks، an effective risk management process، will result in a successful security program. Risk management includes risk identification process، risk assessment and risk-reduction efforts to acceptable levels. The objective of this research is to prioritize information security risks، in order to provide a mechanism to enhance the security of enterprise information. To this end، a model has been presented for organizational information security risk assessment using the fuzzy AHP and Bayesian networks. In the assessment process، risks impact by fuzzy AHP and risks probability by Bayesian networks have calculated and finally The risks Prioritized. The findings suggest In the case study، the risk of lack of knowledge and lack of proper training in the field of information security، have the highest priority and attention is needed most.
خلاصه ماشینی:
"جدول ٢: فاکتورها و زیر فاکتورهای ریسک امنیت اطلاعات سازمانی ١-نبود خط مشی امنیت ٢-عدم تعهد مدیریت عالی ١,١) عدم وجود یک خط مشی امنیت اطلاعات جامع و کامل و قابل بازنگری ٢,١) نبود تعهد و حمایت مدیریت بانک نسبت به امنیت اطلاعات بانک ١,٢) روشن نبودن تعریف مسئولیت امنیت اطلاعات در بانک ٢,٢) عدم تخصیص بودجه مناسب به طرح امنیت ١,٣) عدم وجود رویه ای مناسب در طبقه بندی و کدگذاری اطلاعات ٢,٣) عدم توجه و زمانبندی جهت پیاده سازی و اجرایی نمودن طرحها ١,٤) عدم انطباق سیستم ها با خط مشیها و استانداردهای امنیتی بانک ٢,٤) نداشــتن یــک طــرح کلــی بــرای امنیــت اطلاعــات و ســرمایه گــذاریهــای مناســب و متناسب با اولویت های امنیتی بانک ١,٥) عدم مدیریت حوادث و ضعف های امنیت اطلاعات ٣-عدم امنیت عامل انسانی ٤-عدم امنیت سیستم ها و تجهیزات فیزیکی ٣,١) نبود نیروی انسانی متخصص در زمینه امنیت اطلاعات ٤,١) عدم تعریف دسترسیهای مناسب ٣,٢) عدم آگاهی و عدم ارائه آموزشهای مناسب در حوزه امنیت اطلاعات ٥-عدم امنیت در شبکه ها و تجارت الکترونیک ٦-عدم وجود سیستم های کنترلی مناسب ٥,١) عدم ایجاد نسخه پشتیبان و عدم یکپارچگی و دسترس پذیری اطلاعات و امکانات پردازش اطلاعات ٦,١) عدم کنترل در صحت داده های ورودی،پردازش های درونی، یکپارچگی پیغام و صحت داده های خروجی ٥,٢) عدم وجود امنیت در خدمات شبکه ٦,٢) عدم نظارت و پایش در توسعه نرم -افزارهای برون سپاری شده ٥,٣) عدم وجود امنیت درفرایند تبادل اطلاعات و نرم افزارها درون یک بانک و یا با هر موجودیت بیرونی ٦,٣) عدم گزارش دهی رویدادها و ضعف های امنیتی ٥,٤) عدم امنیت در خدمات تجارت الکترونیکی شامل دادو ستدهای آنلاین و اطلاعات در دسترس عموم ٦,٤) عدم وجود اقدامات پیشگیرانه ، اکتشافی و اصلاحی(به روزرسانی نرم افزارهای امنیتی) برای حفاظت از سیستم اطلاعات بانک از نرم افزارهای مخرب )مانند ویروس ها، کرم ها، جاسوس افزارها، اسپم تعیین شدت اثر فاکتورها و زیر فاکتورهای ریسک : تیم تصمیم نظریات خود پیرامون شدت ریسک ها را با مقایسات زوجی و در طیف پنجگانه از شدت یکسان تا کاملا شدید بیان نمودند."