ارائه چارچوبی برای سنجش اثربخشی سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد iso/iec 27001:2005(مطالعه موردی: شرکت سیمان داراب)

بحث اندازه گیری، طی دهه گذشته به طور فزاینده ای در حوزه امنیت اطلاعات اهمیت یافته است. نیاز بیرونی سازمان ها به شفافیت و پاسخگویی و نیاز درونی آنها به ترازبندی و اولویت دهی سرمایه گذاری های امنیتی، کسب اطمینان از هم راستا بودن اهداف امنیتی با ماموریت و اهداف سازمان و کنترل اثربخشی و کارایی برنامه های امنیتی، استفاده از متریک های امنیتی را بیش از پیش اجتناب ناپذیر کرده است. اگرچه استانداردهایی چون iso/iec 27004،nist 800-55 و غیره، راهنمایی برای اندازه گیری امنیت با هدف ارزیابی اثربخشی یک سیستم مدیریت امنیت اطلاعات ارائه کرده اند، با این حال به علت گسترده بودن مفاهیم و سایر ایراداتی که به این گونه راهنماها وارد است از جمله کلی گویی یا جزئی نگری و کاربردی نبودن در تمامی شرایط، محققان این حوزه را بر آن داشته تا اقدام به ارائه چارچوب های مختلفی برای اندازه گیری امنیت اطلاعات و بالتبع اثربخشی سیستم نمایند. بررسی چارچوب های مختلف ارائه شده توسط سایرین و ارائه یک چارچوب کاربردی و حتی الامکان جامع برای سنجش اثربخشی سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد iso/iec 27001 و با در نظر گرفتن استانداردهای رایج اندازه گیری ، هدف اصلی تحقیق حاضر بوده است. این مهم از طریق تدوین چارچوبی که ابعادی چون سطح بلوغ، فرآیندها، کنترل ها و اهداف امنیتی سازمان را در سطوح زمانی مختلف و در دپارتمان های مختلف سازمان در نظر گرفته، انجام پذیرفته است. به منظور حصول اطمینان از کاربردی بودن و سهولت اجرا، این چارچوب در شرکت سیمان داراب که دومین شرکت ایرانی پیاده سازی کننده استاندارد iso/iec 27001 و اولین شرکت ایرانی دارنده این گواهینامه به صورت تمام محدوده است، پیاده سازی شده و متریک های تدوین شده بر این اساس اندازه گیری شده اند. نتایج حاصل، نشان دهنده کاربردی بودن چارچوب پیشنهادی بوده و اعداد اثربخشی به دست آمده نیز بر اساس نظر ممیزان خارجی سیستم به واقعیت نزدیک می باشد.