ارائه چارچوبی برای بررسی عوامل درون‌سازمانی مؤثر بر امنیت سامانه‌های اطلاعاتی با استفاده از روش تحلیل سلسله مراتبی فازی

نویسندگان

1 کارشناس ارشد مدیریت صنعتی، دانشکده ادبیات و علوم انسانی، دانشگاه خلیج فارس، بوشهر، ایران.

2 استادیار گروه مدیریت صنعتی، دانشکده ادبیات و علوم انسانی، دانشگاه خلیج فارس، بوشهر، ایران.

چکیده

 یکی از زیر بخش‌های فناوری اطلاعات که به‌رغم جدید بودن موضوع آن دارای اهمیت فراوانی در ایجاد اطمینان و رشد کاربرد سامانه‌های اطلاعاتی است، امنیت سامانه‌های اطلاعاتی است. گرچه در سالیان اخیر جنبه‌های فنی موضوع امنیت موردتوجه فراوان پژوهشگران و متخصصان حوزه فناوری اطلاعات قرارگرفته، بنابراین کمتر به ابعاد مدیریتی و سازمانی آن توجه شده است. برای بررسی عوامل ایجاد و حفظ امنیت سامانه‌های اطلاعاتی، این پژوهش عوامل درون‌سازمانی تأثیرگذار بر امنیت سامانه‌های اطلاعاتی را شناسایی می‌کند و با تهیه پرسش‌نامه و با استفاده از فرآیند تصمیم‌گیری سلسله مراتبی فازی وزن هر یک از شاخص‌ها را به دست می‌آورد و در پایان آن‌ها را رتبه‌بندی می‌کند. نتایج به‌دست‌آمده نشان می‌دهد، عامل نیروی انسانی مهم‌ترین عامل درون‌سازمانی تأثیرگذار بر امنیت سامانه‌های اطلاعاتی و نیز در این شاخص، زیر شاخص عدم اطلاع از میزان ارزش اطلاعات بااهمیت‌ترین زیر شاخص شناخته‌شده است.

کلیدواژه‌ها


عنوان مقاله [English]

A Framework for Analysis of Inter-organizational Factors Affecting on the Security of Information Systems using FAHP Approach

نویسندگان [English]

  • Alireza Peykam 1
  • Khodakaram Salimifard 2
1 Assistant Prof.in Industrial Management Group, Persian Gulf University, Bushehr, Iran
2 Assistant Prof.in Industrial Management Group, Persian Gulf University, Bushehr, Iran
چکیده [English]

Security of information systems as a new area of information technology is of a great importance in creating confidence and growth in the use of information systems. Although in recent years many researchers and IT experts have focused on the technical aspects of security, but less attention has been paid to its organizational and managerial aspects. To investigate the factors affecting on the creating and maintaining of security of information systems, this study identifies the inter-organizational factors. Then, by designing a questionnaire and using Fuzzy Analytic Hierarchical Process (FAHP) technique, the weights and ranks of factors are calculated. The results show that human factor is the most important inter-organizational factor that influences information systems security. Also, the lack of information about the value and importance of information is identified as the most important sub factor.
 

کلیدواژه‌ها [English]

  • Information Security
  • Inter-Organizational Factors
  • Information Systems
  • Fuzzy Analytic Hierarchy Process
آذر، ع. علی، ر. (1389). تصمیم‌گیری کاربردی رویکرد MADM. تهران: نگاه دانش.
الهی، ش. طاهری، م. حسن‌زاده، ع. ارائه چارچوبی برای عوامل انسانی مرتبط در امنیت سیستم‌های اطلاعاتی. فصلنامهمدرسعلومانسانی دوره 13، شماره 2، تابستان 1388.
اسعدی شالی، ع. (1384). مدیریت سیستم‌های امنیت اطلاعات. (جلد شماره 4). مجله‌ الکترونیکی مرکز اطلاعات و مدارک علمی ایران.
جدّی، م. مدیری، ن. جنگجو، م. (1390). مدلی برای افزایش ضریب امنیت در سیستم مدیریت امنیت اطلاعات بر پایه مدیریت ریسک با استفاده از چرخه مدیریتی دمینگ. سومین کنفرانس مهندسی برق و الکترونیک ایران. دانشگاه آزاد اسلامی گناباد.
مانیان، ا. موسی خانی، م. رحیمیان، س. (1393). ارائه‌ی مدل عوامل مؤثر بر رضایت کاربران سامانه جامع آموزش دانشگاه تهران.فصلنامهمطالعاتمدیریتفناوریاطلاعاتسال دوم، شماره 8، تابستان 93، صفحات 123 تا 138.
محمود زاده، ا. رادرجبی، م. (1385). مدیریت امنیت در سیستم‌های اطلاعاتی. فصلنامه علوم مدیریت ایران، ص 112-78.
مؤسسه‌ی استاندارد و تحقیقات صنعتی ایران، فناوری اطلاعات-فنون امنیتی-سیستم‌های مدیریت امنیت اطلاعات-الزامات (چاپ اول).
قاسمی شبانکاره، ک. مختاری و. امینی لاری، م. (1386). امنیت و تجارت الکترونیک. چهارمین همایش ملی تجارت الکترونیکی.
سعیدی، ع. آقایی، آ. (1386). امنیت سیستم‌های اطلاعاتی حسابداری. ماهنامه حسابدار، 13-20.
جعفری، ن. صادقی مجرد، م. (1386). سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح. ماهنامه تدبیر.
Bojanc, R. & Jerman-Blazic, B. (2008). An economic modelling approach to information security risk management. International Journal of Information Management.
Clinch, J. (2009). ITIL V3 and Information Security. Best Management practice.
Chang, D.Y. (1992). Extent Analysis and Synthetic Decision, Optimization Techniques and Applications.WorldScientific, Singapore.
Doherty, N. & Fulford, H. (2006). Aligning the information security policy with the strategic information systems plan. computers & security.
Dzazali, S. Sulaiman, A. & Zolait, A. (2009). Information security landscape and maturity level: Case study of Malaysian Public Service (MPS) organizations. Government Information Quarterly, 26.
Farn, K.J. Lin, S.K. & Lo, C.C. (2008). A study on e-Taiwan information system security classification and implementation. Computer Standards & Interfaces.
Ifinedo, P. (2014). Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information &Management, 51 (1): 69–79.
Kim, H.b. Lee, D.S. & Ham, S. (2012). Impact of hotel information security on system reliability. International Journal of Hospitality Management.
Knapp, K. Rainer, R. Ford, F. & Marshall, T. (2006). Information security:management’s effect on culture and policy. Information Management & Computer Security.
Kraemer, S. Carayon, C. & Clem, J. (2006). Characterizing violations in computer and information security systems In: Proceedings. Maastricht, The Netherlands.
Kraemer, S. Carayon, P. & Clem, J. (2009). Human and organizational factors in computer and information security: Pathways to vulnerabilities. computers & security.
Kwong, c. & Bai, H. (2002). fuzzy AHP approach to the determination of importance weights of customer requirements in quality function deployment. Journal of Intelligent Manufacturing.367-377.
Laudon, J. Laudon, C. K. & Laudon, p. J. (2006). Management Information Systems:Managing the Digital Firm.
Pipkin, D. L. (2000). Information security.  Prentice Hall.
Post, V. G. & Kagan, A. (2007). Evaluating information security tradeoffs:Restricting access can interfere with user tasks. computer & security, 229-237.
Ren-Wei Fung, A. Farn, K.J. & C. Lin, A. (2003). Paper: a study on the certification of the information security management systems. Computer Standards & Interfaces.
Ruighaver, A. Maynard, S. & Chang, S. (2007). Organisational security culture: Extending the end-user perspective. computers & security.
Siponen, M. & Willison, R. (2009). Information security management standards:Problems and Solutions. Information & Management, 267-270.
Stanton, J. Stam, K. Mastrangelo, P. & Jeffery, J. (2005). Analysis of end user security behaviors. Computers & Security.
Van Niekerk, J & Von Solms, R (2010). Information security culture: A management perspective. Computers & Security.486-476, (4)29.
Wei, L. Yong-feng, C. Ya, L. (2015). Information systems security assessment based system dynamics. International Journal of Security and Its Applications. Vol.9, No.2, pp.73-84
 
 
 
 
 
 
 
 
 
 
 
 
 
آذر، ع. علی، ر. (1389). تصمیم‌گیری کاربردی رویکرد MADM. تهران: نگاه دانش.
الهی، ش. طاهری، م. حسن‌زاده، ع. ارائه چارچوبی برای عوامل انسانی مرتبط در امنیت سیستم‌های اطلاعاتی. فصلنامهمدرسعلومانسانی دوره 13، شماره 2، تابستان 1388.
اسعدی شالی، ع. (1384). مدیریت سیستم‌های امنیت اطلاعات. (جلد شماره 4). مجله‌ الکترونیکی مرکز اطلاعات و مدارک علمی ایران.
جدّی، م. مدیری، ن. جنگجو، م. (1390). مدلی برای افزایش ضریب امنیت در سیستم مدیریت امنیت اطلاعات بر پایه مدیریت ریسک با استفاده از چرخه مدیریتی دمینگ. سومین کنفرانس مهندسی برق و الکترونیک ایران. دانشگاه آزاد اسلامی گناباد.
مانیان، ا. موسی خانی، م. رحیمیان، س. (1393). ارائه‌ی مدل عوامل مؤثر بر رضایت کاربران سامانه جامع آموزش دانشگاه تهران.فصلنامهمطالعاتمدیریتفناوریاطلاعاتسال دوم، شماره 8، تابستان 93، صفحات 123 تا 138.
محمود زاده، ا. رادرجبی، م. (1385). مدیریت امنیت در سیستم‌های اطلاعاتی. فصلنامه علوم مدیریت ایران، ص 112-78.
مؤسسه‌ی استاندارد و تحقیقات صنعتی ایران، فناوری اطلاعات-فنون امنیتی-سیستم‌های مدیریت امنیت اطلاعات-الزامات (چاپ اول).
قاسمی شبانکاره، ک. مختاری و. امینی لاری، م. (1386). امنیت و تجارت الکترونیک. چهارمین همایش ملی تجارت الکترونیکی.
سعیدی، ع. آقایی، آ. (1386). امنیت سیستم‌های اطلاعاتی حسابداری. ماهنامه حسابدار، 13-20.
جعفری، ن. صادقی مجرد، م. (1386). سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح. ماهنامه تدبیر.
Bojanc, R. & Jerman-Blazic, B. (2008). An economic modelling approach to information security risk management. International Journal of Information Management.
Clinch, J. (2009). ITIL V3 and Information Security. Best Management practice.
Chang, D.Y. (1992). Extent Analysis and Synthetic Decision, Optimization Techniques and Applications.WorldScientific, Singapore.
Doherty, N. & Fulford, H. (2006). Aligning the information security policy with the strategic information systems plan. computers & security.
Dzazali, S. Sulaiman, A. & Zolait, A. (2009). Information security landscape and maturity level: Case study of Malaysian Public Service (MPS) organizations. Government Information Quarterly, 26.
Farn, K.J. Lin, S.K. & Lo, C.C. (2008). A study on e-Taiwan information system security classification and implementation. Computer Standards & Interfaces.
Ifinedo, P. (2014). Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information &Management, 51 (1): 69–79.
Kim, H.b. Lee, D.S. & Ham, S. (2012). Impact of hotel information security on system reliability. International Journal of Hospitality Management.
Knapp, K. Rainer, R. Ford, F. & Marshall, T. (2006). Information security:management’s effect on culture and policy. Information Management & Computer Security.
Kraemer, S. Carayon, C. & Clem, J. (2006). Characterizing violations in computer and information security systems In: Proceedings. Maastricht, The Netherlands.
Kraemer, S. Carayon, P. & Clem, J. (2009). Human and organizational factors in computer and information security: Pathways to vulnerabilities. computers & security.
Kwong, c. & Bai, H. (2002). fuzzy AHP approach to the determination of importance weights of customer requirements in quality function deployment. Journal of Intelligent Manufacturing.367-377.
Laudon, J. Laudon, C. K. & Laudon, p. J. (2006). Management Information Systems:Managing the Digital Firm.
Pipkin, D. L. (2000). Information security.  Prentice Hall.
Post, V. G. & Kagan, A. (2007). Evaluating information security tradeoffs:Restricting access can interfere with user tasks. computer & security, 229-237.
Ren-Wei Fung, A. Farn, K.J. & C. Lin, A. (2003). Paper: a study on the certification of the information security management systems. Computer Standards & Interfaces.
Ruighaver, A. Maynard, S. & Chang, S. (2007). Organisational security culture: Extending the end-user perspective. computers & security.
Siponen, M. & Willison, R. (2009). Information security management standards:Problems and Solutions. Information & Management, 267-270.
Stanton, J. Stam, K. Mastrangelo, P. & Jeffery, J. (2005). Analysis of end user security behaviors. Computers & Security.
Van Niekerk, J & Von Solms, R (2010). Information security culture: A management perspective. Computers & Security.486-476, (4)29.
Wei, L. Yong-feng, C. Ya, L. (2015). Information systems security assessment based system dynamics. International Journal of Security and Its Applications. Vol.9, No.2, pp.73-84
 
 
 
 
 
 
 
 
 
 
 
 
 
آذر، ع. علی، ر. (1389). تصمیم‌گیری کاربردی رویکرد MADM. تهران: نگاه دانش.
الهی، ش. طاهری، م. حسن‌زاده، ع. ارائه چارچوبی برای عوامل انسانی مرتبط در امنیت سیستم‌های اطلاعاتی. فصلنامهمدرسعلومانسانی دوره 13، شماره 2، تابستان 1388.
اسعدی شالی، ع. (1384). مدیریت سیستم‌های امنیت اطلاعات. (جلد شماره 4). مجله‌ الکترونیکی مرکز اطلاعات و مدارک علمی ایران.
جدّی، م. مدیری، ن. جنگجو، م. (1390). مدلی برای افزایش ضریب امنیت در سیستم مدیریت امنیت اطلاعات بر پایه مدیریت ریسک با استفاده از چرخه مدیریتی دمینگ. سومین کنفرانس مهندسی برق و الکترونیک ایران. دانشگاه آزاد اسلامی گناباد.
مانیان، ا. موسی خانی، م. رحیمیان، س. (1393). ارائه‌ی مدل عوامل مؤثر بر رضایت کاربران سامانه جامع آموزش دانشگاه تهران.فصلنامهمطالعاتمدیریتفناوریاطلاعاتسال دوم، شماره 8، تابستان 93، صفحات 123 تا 138.
محمود زاده، ا. رادرجبی، م. (1385). مدیریت امنیت در سیستم‌های اطلاعاتی. فصلنامه علوم مدیریت ایران، ص 112-78.
مؤسسه‌ی استاندارد و تحقیقات صنعتی ایران، فناوری اطلاعات-فنون امنیتی-سیستم‌های مدیریت امنیت اطلاعات-الزامات (چاپ اول).
قاسمی شبانکاره، ک. مختاری و. امینی لاری، م. (1386). امنیت و تجارت الکترونیک. چهارمین همایش ملی تجارت الکترونیکی.
سعیدی، ع. آقایی، آ. (1386). امنیت سیستم‌های اطلاعاتی حسابداری. ماهنامه حسابدار، 13-20.
جعفری، ن. صادقی مجرد، م. (1386). سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح. ماهنامه تدبیر.
Bojanc, R. & Jerman-Blazic, B. (2008). An economic modelling approach to information security risk management. International Journal of Information Management.
Clinch, J. (2009). ITIL V3 and Information Security. Best Management practice.
Chang, D.Y. (1992). Extent Analysis and Synthetic Decision, Optimization Techniques and Applications.WorldScientific, Singapore.
Doherty, N. & Fulford, H. (2006). Aligning the information security policy with the strategic information systems plan. computers & security.
Dzazali, S. Sulaiman, A. & Zolait, A. (2009). Information security landscape and maturity level: Case study of Malaysian Public Service (MPS) organizations. Government Information Quarterly, 26.
Farn, K.J. Lin, S.K. & Lo, C.C. (2008). A study on e-Taiwan information system security classification and implementation. Computer Standards & Interfaces.
Ifinedo, P. (2014). Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information &Management, 51 (1): 69–79.
Kim, H.b. Lee, D.S. & Ham, S. (2012). Impact of hotel information security on system reliability. International Journal of Hospitality Management.
Knapp, K. Rainer, R. Ford, F. & Marshall, T. (2006). Information security:management’s effect on culture and policy. Information Management & Computer Security.
Kraemer, S. Carayon, C. & Clem, J. (2006). Characterizing violations in computer and information security systems In: Proceedings. Maastricht, The Netherlands.
Kraemer, S. Carayon, P. & Clem, J. (2009). Human and organizational factors in computer and information security: Pathways to vulnerabilities. computers & security.
Kwong, c. & Bai, H. (2002). fuzzy AHP approach to the determination of importance weights of customer requirements in quality function deployment. Journal of Intelligent Manufacturing.367-377.
Laudon, J. Laudon, C. K. & Laudon, p. J. (2006). Management Information Systems:Managing the Digital Firm.
Pipkin, D. L. (2000). Information security.  Prentice Hall.
Post, V. G. & Kagan, A. (2007). Evaluating information security tradeoffs:Restricting access can interfere with user tasks. computer & security, 229-237.
Ren-Wei Fung, A. Farn, K.J. & C. Lin, A. (2003). Paper: a study on the certification of the information security management systems. Computer Standards & Interfaces.
Ruighaver, A. Maynard, S. & Chang, S. (2007). Organisational security culture: Extending the end-user perspective. computers & security.
Siponen, M. & Willison, R. (2009). Information security management standards:Problems and Solutions. Information & Management, 267-270.
Stanton, J. Stam, K. Mastrangelo, P. & Jeffery, J. (2005). Analysis of end user security behaviors. Computers & Security.
Van Niekerk, J & Von Solms, R (2010). Information security culture: A management perspective. Computers & Security.486-476, (4)29.
Wei, L. Yong-feng, C. Ya, L. (2015). Information systems security assessment based system dynamics. International Journal of Security and Its Applications. Vol.9, No.2, pp.73-84
 
 
 
 
 
 
 
 
 
 
 
 
 
آذر، ع. علی، ر. (1389). تصمیم‌گیری کاربردی رویکرد MADM. تهران: نگاه دانش.
الهی، ش. طاهری، م. حسن‌زاده، ع. ارائه چارچوبی برای عوامل انسانی مرتبط در امنیت سیستم‌های اطلاعاتی. فصلنامهمدرسعلومانسانی دوره 13، شماره 2، تابستان 1388.
اسعدی شالی، ع. (1384). مدیریت سیستم‌های امنیت اطلاعات. (جلد شماره 4). مجله‌ الکترونیکی مرکز اطلاعات و مدارک علمی ایران.
جدّی، م. مدیری، ن. جنگجو، م. (1390). مدلی برای افزایش ضریب امنیت در سیستم مدیریت امنیت اطلاعات بر پایه مدیریت ریسک با استفاده از چرخه مدیریتی دمینگ. سومین کنفرانس مهندسی برق و الکترونیک ایران. دانشگاه آزاد اسلامی گناباد.
مانیان، ا. موسی خانی، م. رحیمیان، س. (1393). ارائه‌ی مدل عوامل مؤثر بر رضایت کاربران سامانه جامع آموزش دانشگاه تهران.فصلنامهمطالعاتمدیریتفناوریاطلاعاتسال دوم، شماره 8، تابستان 93، صفحات 123 تا 138.
محمود زاده، ا. رادرجبی، م. (1385). مدیریت امنیت در سیستم‌های اطلاعاتی. فصلنامه علوم مدیریت ایران، ص 112-78.
مؤسسه‌ی استاندارد و تحقیقات صنعتی ایران، فناوری اطلاعات-فنون امنیتی-سیستم‌های مدیریت امنیت اطلاعات-الزامات (چاپ اول).
قاسمی شبانکاره، ک. مختاری و. امینی لاری، م. (1386). امنیت و تجارت الکترونیک. چهارمین همایش ملی تجارت الکترونیکی.
سعیدی، ع. آقایی، آ. (1386). امنیت سیستم‌های اطلاعاتی حسابداری. ماهنامه حسابدار، 13-20.
جعفری، ن. صادقی مجرد، م. (1386). سیستم مدیریت امنیت اطلاعات از طرح تا اصلاح. ماهنامه تدبیر.
Bojanc, R. & Jerman-Blazic, B. (2008). An economic modelling approach to information security risk management. International Journal of Information Management.
Clinch, J. (2009). ITIL V3 and Information Security. Best Management practice.
Chang, D.Y. (1992). Extent Analysis and Synthetic Decision, Optimization Techniques and Applications.WorldScientific, Singapore.
Doherty, N. & Fulford, H. (2006). Aligning the information security policy with the strategic information systems plan. computers & security.
Dzazali, S. Sulaiman, A. & Zolait, A. (2009). Information security landscape and maturity level: Case study of Malaysian Public Service (MPS) organizations. Government Information Quarterly, 26.
Farn, K.J. Lin, S.K. & Lo, C.C. (2008). A study on e-Taiwan information system security classification and implementation. Computer Standards & Interfaces.
Ifinedo, P. (2014). Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information &Management, 51 (1): 69–79.
Kim, H.b. Lee, D.S. & Ham, S. (2012). Impact of hotel information security on system reliability. International Journal of Hospitality Management.
Knapp, K. Rainer, R. Ford, F. & Marshall, T. (2006). Information security:management’s effect on culture and policy. Information Management & Computer Security.
Kraemer, S. Carayon, C. & Clem, J. (2006). Characterizing violations in computer and information security systems In: Proceedings. Maastricht, The Netherlands.
Kraemer, S. Carayon, P. & Clem, J. (2009). Human and organizational factors in computer and information security: Pathways to vulnerabilities. computers & security.
Kwong, c. & Bai, H. (2002). fuzzy AHP approach to the determination of importance weights of customer requirements in quality function deployment. Journal of Intelligent Manufacturing.367-377.
Laudon, J. Laudon, C. K. & Laudon, p. J. (2006). Management Information Systems:Managing the Digital Firm.
Pipkin, D. L. (2000). Information security.  Prentice Hall.
Post, V. G. & Kagan, A. (2007). Evaluating information security tradeoffs:Restricting access can interfere with user tasks. computer & security, 229-237.
Ren-Wei Fung, A. Farn, K.J. & C. Lin, A. (2003). Paper: a study on the certification of the information security management systems. Computer Standards & Interfaces.
Ruighaver, A. Maynard, S. & Chang, S. (2007). Organisational security culture: Extending the end-user perspective. computers & security.
Siponen, M. & Willison, R. (2009). Information security management standards:Problems and Solutions. Information & Management, 267-270.
Stanton, J. Stam, K. Mastrangelo, P. & Jeffery, J. (2005). Analysis of end user security behaviors. Computers & Security.
Van Niekerk, J & Von Solms, R (2010). Information security culture: A management perspective. Computers & Security.486-476, (4)29.
Wei, L. Yong-feng, C. Ya, L. (2015). Information systems security assessment based system dynamics. International Journal of Security and Its Applications. Vol.9, No.2, pp.73-84
 
 
 
 
 
 
 
 
 
 
 
 
 vvcv