سیستم خبره ضریب دار سلسله مراتبی جهت ارزیابی امنیت اطلاعات سازمان مبتنی بر استاندارد بین المللی ایزو 27001(مقاله علمی وزارت علوم)
حوزههای تخصصی:
بسیاری از سازمان ها برای موفقیت در پیاده سازی و ارزیابی سیستم مدیریت امنیت اطلاعات خود، از استانداردهای موفق جهانی نظیر ایزو۲۷۰۰۱ بهره می گیرند. در این پژوهش یک سیستم خبره ضریب دار سلسله مراتبی جهت محاسبه امتیاز امنیت اطلاعات سازمان بر مبنای استاندارد بین المللی ایزو۲۷۰۰۱ طراحی و پیاده سازی شده است. در این سیستم بر خلاف سایر سیستم های خبره ممیزی موجود، میزان اهمیت معیارهای ارزیابی امنیت یکسان در نظر گرفته نشده است. اطلاعات لازم جهت ایجاد پایگاه دانش از مطالعات کتابخانه ای استخراج شده است. همچنین اطلاعات لازم برای رتبه بندی اهداف کنترلی و معیارهای ارزیابی از طریق پرسشنامه گردآوری شده و با به کارگیری تکنیک دیمتل به همراه فرمول دالالا و روش واسپاس، وزن اهداف کنترلی و معیارها محاسبه شدند. در مرحله بعدی پنج هدف اصلی امنیت شامل صحت، محرمانگی، در دسترس بودن، مسئولیت پذیری و قابلیت ممیزی به دلیل تأکید و تکرار بیشتر در ادبیات پژوهش انتخاب شدند. با به کارگیری اطلاعات این چهار مرحله سیستم خبره طراحی شد. جهت پیاده سازی رابط کاربری از زبان ویژوال بیسیک و جهت استنتاج از اکسل ۲۰۱۶ استفاده شد. سیستم موردنظر علاوه بر محاسبه امتیاز امنیت اطلاعات برحسب استاندارد، قادر به محاسبه امتیاز امنیت با اعمال وزن اهداف کنترلی و معیارهای ارزیابی اهداف کنترلی و درصد تحقق اهداف اصلی امنیت بوده و نتیجه را در سه سطح وضعیت بحرانی، متوسط و بسیار خوب نشان می دهد. اجرای سیستم در دو سازمان ایرانی نشان داد که سیستم با میانگین دقت 95% دارای دقت و کارایی لازم جهت ارزیابی امنیت اطلاعات است. سایر نتایج در قالب بحث و نتیجه گیری در پژوهش آمده است.