پایان نامه با موضوع فن آوری اطلاعات و استاندارد سازی


Widget not in any sidebars

در هر سازمانی که به طریقی از رسانه های مجازی ، الکترونیکی ، فن آوری اطلاعات برای انجام بخشی از کارهای خود استفاده می کند ، آگاهی و دایرسازی یک سیستم مدیریت برای برقراری امنیت اطلاعات ضروری است.
تا زمانیکه سازمان ها و شرکت ها به صورت کامل اطلاعات خود را از شکل سنتی به محیط های کاملا ً مجازی تبدیل نکرده اند ، حوزه ی حفاظت امنیت اطلاعات می بایست روش های سنتی ثبت و بایگانی اطلاعات را نیز در بر گیرد. در محیط هایی که روال و فرایند های امنتیتی حفاظت از اسناد کاغذی و سنتی را در بر نمی گیرند ، امکان به مخاطره افتادن اطلاعات حساس یک سازمان افزایش پیدا می کند (احمدلو، 1389).
2-11.فرهنگ امنیت اطلاعات
امنیت اطلاعات فقط در قالب رفتار های امنیتی کارکنان یک سازمان تحقق می یابد. به هبارتی اطلاعات یک سازمان تا آنجا امنیت دارد که افراد آن سازمان بتوانند نکات امنیتی را در آن رعایت کنند. رعایت نکات امنیتی امری مقطعی نیست. تداوم در رفتار امنیتی و ارتقاء سطح کیفی یک سازمان از نکات امنیتی موجب تداوم و حفظ امنیت آن سازمان می شود.
برای نهادینه شدن رفتارهای امنیتی در یک سازمان می بایست فرهنگی ایجاد شود که رفتار های امنیتی در قالب یک ساختار معرفی می شود. تعریف یک ساختار مشخص به افراد یک سازمان قدرتمند تشخیص بهتری می بخشد. هر یک از افراد در قالب ساختار تعریف شده با وظایف خود آشنا می شود. در صورت بروز هرگونه رویداد امنیتی، هر فردی می تواند طبق یک دستورالعمل از خود واکنش نشان دهد.این ساختار تعریف شده سبب می شود که هر یک از افراد دائما ً با عواقب امنیتی رفتار خود آشنا باشد. هنگامی که تمام افراد یک سازمان با وظایف خود و عواقب امنیتی کار خود آشنا باشند ، فرهنگی در سازمان رایج می شود که در آن تمامی افراد حافظ امنیت اطلاعات آن سازمان هستند (مهدی احمدلو،1389).
2-11-1. پایه گذاری فرهنگ استاندارد در امنیت
استاندارد سازی می تواند به دوگونه پایه گذاری شود. روش اول اینکه هر سازمان استانداردی را مناسب فرآیند های خود تعریف کند و از آن پیروی کند. در این روش سازمان آزاد است به هر گونه که میخواهد چهارچوب عملکرد خود را تعریف کند. در روش دوم روال کار خود را با یکی از استاندارد های موجود وفق دهد. در این صورت سازمان یک استاندارد رایج بومی سازی کرده و در سطح سازمانی از آن استفاده می کند. هر یک از این دو طریق مزیت های خاص خود را داراست. در روش اول سازمان هیچ محدودیتی در تعریف راهکارهای خود ندارد. اما راهکارهای آن سازمان ناشناس می ماند. این روش در ضورتی مناسب است که سازمان اصرار بر مخفی بودن راهکارهای خود داشته باشد. اما در روش دوم که سازمان از استاندارد های شناخته شده استفاده می کند می تواند اعتماد سازمان های دیگر را نیز به خود جذب کند. مخصوصا ً زمانیکه آن سازمان برای کسب درآمد نیاز به جلب اعتماد دیگران را دارد.
در مواردی که یک سازمان با سازمان های جانبی دیگر در ارتباط است ، تبعیت از استاندارد مشخص به فهم طرفین در شناخت فرآیند های یکدیگر کمک می کند و هر یک به نوبه ی خود با وظایف خود
آشناست. در خصوص امنیت این موضوع اهمیت دو چندان دارد. چرا که در صورت عدم وجود استاندارد مشخص در عملکرد امنیتی ، یک سازمان اعتماد سازمان های دیگر را از دست می دهند. سازمان ها روز به روز در پی انجام معاملات با شرکت هایی هستند که از نظام استاندارد امنیتی مشخص تبعیت می کنند. مخصوصا ً اگر آن شرکت گواهی استاندارد بین المللی را کسب کرده باشد (احمدلو،‌1389).
2-12.استاندارد های رایج
علاوه بر استاندارد های سلیقه ای که برای یک سازمان مشخص با دستور کار مشخص تدوین شده،‌سازمان هایی نیز در زمینه استاندارد سازی با نظام های دولتی همکاری می کنند . اکثر کشور ها سازمانهای مستقلی دارند که بر اساس قوانین رایج آن کشور وظیفه تعریف استاندارد های مختلف آن کشور را به عهده دارند.
در زمینه امنیت نیز کشورهای زیادی هستند که سازمان های استاندارد خود را موظف به تعریف یک استاندارد ملی کرده اند. کشورهایی همچون استرالیا ، ایالات متحده آمریکا،بریتانیا و کانادا را می توان از جمله کشور هایی دانست که در تعریف استاندارد امنیت اطلاعات قدم های موفقی را برداشته اند. همه این استاندارد ها در مواردی با هم همخوانی دارند اما وجه متمایز همه آنها در این است که استاندارد ها بر اساس قوانین رایج کشور خودشان تعریف شده است. تنها یک استاندارد بین المللی وجود دارد که در زمینه ی امنیت سازمان ها را ملزم به رعایت قانون کشور
)پیروی از قوانین را ملزم می داند اما پیرویISO خاصی نمی کند. سازمان استاندارد بین المللی (
از یک قانون خاص را به عهده سازمان واگذار نی کند. در ایران نیز سازمان استاندارد جمهوری
را بومی سازیISO در زمینه امنیت ، استاندارد های تعریف شده توسط (ISIRI) اسلامی ایران
کرده و در اختیار سازمان ها قرار می دهد.
معرفی کرد. درISO) نمونه موفقی از این استاندارد امنیت را به BSI)سازمان استاندارد بریتانیا
27001: ISO/IEC تحت شماره ISO توسط BS سال 2005 میلادی بسته پیشنهادی 7799
2005 به عنوان تدوین استاندارد امنیت اطلاعات معرفی شد. طی این استاندارد ، سازمان ها