ارائه چارچوبی برای ارزیابی تطبیقی روش‌های ارزیابی مخاطره امنیت اطلاعات (مورد مطالعه: پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک))

خدمتگزار, حمید رضا; حسنی, حمید

ارائه چارچوبی برای ارزیابی تطبیقی روش‌های ارزیابی مخاطره امنیت اطلاعات (مورد مطالعه: پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک))

نوع مقاله : مقاله پژوهشی

نویسندگان

پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک)

چکیده

یکی از اقدامات کلیدی در مدیریت امنیت اطلاعات، مدیریت مخاطره امنیت اطلاعات است که اصلی‌ترین مرحله آن با نام «ارزیابی مخاطره امنیت اطلاعات» شناخته می‌شود. تاکنون در سطح دنیا روش‌ها، استانداردها و چارچوب‌های مختلفی بدین منظور شکل گرفته است. پرسش اصلی که در این مطالعه مورد توجه قرار گرفته است آنست که با وجود این گستره از روش‌های ارزیابی مخاطره امنیت اطلاعات، یک سازمان چگونه باید روش منطبق با اهداف و وضعیت خود را انتخاب و اجرا کند. به منظور پاسخ به این پرسش، در این پژوهش ابتدا چارچوب ارزیابی متشکل از 13 معیار ارزیابی در دو دسته ماهیت روش و انطباق روش با وضعیت سازمانی طراحی شد. سپس مبتنی بر این چارچوب، 18 روش شناخته شده ارزیابی مخاطره امنیت اطلاعات در بافت سازمانی پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک) مورد ارزیابی قرار گرفتند. نتایج این ارزیابی نشان داد چارچوب پیشنهاد شده از اعتبار لازم برخوردار است. بر اساس این نتایج نیز استاندارد ایزو 27005 منطبق‌ترین روش ارزیای مخاطره امنیت اطلاعات در بافت مورد بررسی شناخته شد. در انتها نیز مبتنی بر این نتایج و در راستای توسعه و اعتباریابی بیشتر چارچوب ارائه شده پیشنهاداتی ارائه شد.

کلیدواژه‌ها

موضوعات

امنیت اطلاعات، رمزنگاری، پنهان نگاری، پروتکل ها و استانداردها

عنوان مقاله [English]

Proposing framework for comparative evaluation of information security risk assessment methods (Case of study: Iranian Research Institute for Information Science and Technology (IranDoc))

نویسندگان [English]

Hamid Reza Khedmatgozar
Hamid Hassani

Iranian Research Institute for Information Science and Technology (IranDoc)

چکیده [English]

One of the key actions in information security management is information security risk management, the main stage of which is known as "information security risk assessment". So far, various methods, standards and frameworks have been formed for this purpose. The main question that has been considered in this study is that despite this range of information security risk assessment methods, how should an organization choose and implement the appropriate method for its goals and situation. In order to answer this question, in this research, first, an evaluation framework consisting of 13 evaluation criteria was designed in two categories: the nature of the method and the adaptation of the method to the organizational situation. Then, based on this framework, 18 well-known information security risk assessment methods were evaluated in the organizational case of Iranian Research Institute for Information Science and Technology (IranDoc). The results of this evaluation showed that the proposed framework has the required validity. Based on these results, the ISO 27005 standard was recognized as the most appropriate method of information security risk assessment in the investigated case. At the end, based on these results and in line with further development and validation of the presented framework, suggestions were presented.

کلیدواژه‌ها [English]

Information Security Risk Assessment (ISRA)
ISRA methods
IranDoc

دوره 12، شماره 2 - شماره پیاپی 46
شماره پیا پی 46 تابستان 1403
شهریور 1403

فایل ها

سابقه مقاله

تاریخ دریافت: 14 اسفند 1402
تاریخ بازنگری: 10 تیر 1403
تاریخ پذیرش: 09 مرداد 1403
تاریخ انتشار: 13 شهریور 1403

تعداد مشاهده مقاله: 41

ارائه چارچوبی برای ارزیابی تطبیقی روش‌های ارزیابی مخاطره امنیت اطلاعات (مورد مطالعه: پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک))

Proposing framework for comparative evaluation of information security risk assessment methods (Case of study: Iranian Research Institute for Information Science and Technology (IranDoc))

دوره 12، شماره 2 - شماره پیاپی 46
شماره پیا پی 46 تابستان 1403
شهریور 1403

فایل ها

سابقه مقاله

هم رسانی

ارجاع به این مقاله

آمار

ارائه چارچوبی برای ارزیابی تطبیقی روش‌های ارزیابی مخاطره امنیت اطلاعات (مورد مطالعه: پژوهشگاه علوم و فناوری اطلاعات ایران (ایرانداک))

Proposing framework for comparative evaluation of information security risk assessment methods (Case of study: Iranian Research Institute for Information Science and Technology (IranDoc))

دوره 12، شماره 2 - شماره پیاپی 46شماره پیا پی 46 تابستان 1403شهریور 1403

فایل ها

سابقه مقاله

هم رسانی

ارجاع به این مقاله

آمار

دوره 12، شماره 2 - شماره پیاپی 46
شماره پیا پی 46 تابستان 1403
شهریور 1403