نوع مقاله : مقاله پژوهشی

نویسندگان

1 استادیار گروه مدیریت دانشگاه خوارزمی

2 کارشناسی ارشد مدیریت فناوری اطلاعات دانشگاه خوارزمی

چکیده

ریسک جزیی ذاتی و جدایی ناپذیراز زندگی و تجارت است. همواره شرایط عدم اطمینانی که ناشی از
اطلاعات و دادههای ناقص و یا متغیرهای غیرقابلکنترل است، با فرصتها و تهدیداتی همراه است. در عصر
حاضر بسیاری از سازمانها به شدت به سیستمهای اطلاعاتی خود متکیاند و مدیریت امنیت اطلاعات به یکی
از موضوعات مهم سازمانی تبدیل شدهاست. با توجه به این واقعیت که در استفاده از سیستمهای امنیت
اطلاعات نیز ریسکهایی وجود دارد، یک فرایند مدیریت ریسک موثر، میتواند برنامه امنیتی موفقی را نتیجه
دهد. مدیریت ریسک شامل فرایند شناسایی ریسکها، ارزیابی ریسک، و تلاش برای کاهش ریسکها به
سطح قابل قبول میباشد. هدف این پژوهش، اولویتبندی ریسکهای امنیت اطلاعات سازمانی، بهمنظور ارائه
راهکاری برای ارتقا وضعیت امنیت اطلاعات سازمانی است. به این منظور، با استفاده از AHP فازی و شبکه
بیزین، مدلی جهت ارزیابی و اولویتبندی ریسکهای امنیت اطلاعات سازمانی ارائه گردید. در فرایند ارزیابی
ریسک،شدت ریسکها با استفاده از AHP فازی و احتمال آنها با استفاده از شبکه بیزین،محاسبه شد و
سرانجام ریسکها اولویتبندی شدند. یافتههای این پژوهش نشان میدهد در سازمان مورد پژوهش، ریسک
عدم آگاهی و عدم ارائه آموزشهای مناسب در حوزه امنیت اطلاعات، بالاترین اولویت و بیشترین نیاز به
توجه را دارد

کلیدواژه‌ها

عنوان مقاله [English]

A model to Prioritizing Organizational Information security risks using by Fuzzy AHP and Bayesian Networks in the banking industry

نویسندگان [English]

  • Reza Yousefi Zenouz 1
  • Akbar Hassanpoor 1
  • Parisa Mousavi 2

1

2

چکیده [English]

Risk is inherent and inseparable part of life and business. Always uncertainty condition arising from incomplete information and data or ungovernable variables, associated with opportunities and threats.Nowadays many organizations and companies have relied heavily on information systems and information security management has transformed to an important organizational topics. And due to the fact that the use of information systems security may be created some risks, an effective risk management process, will result in a successful security program. Risk management includes risk identification process, risk assessment and risk-reduction efforts to acceptable levels. The objective of this research is to prioritize information security risks, in order to provide a mechanism to enhance the security of enterprise information. To this end, a model has been presented for organizational information security risk assessment using the fuzzy AHP and Bayesian networks. In the assessment process, risks impact by fuzzy AHP and risks probability by Bayesian networks have calculated and finally The risks Prioritized. The findings suggest In the case study, the risk of lack of knowledge and lack of proper training in the field of information security, have the highest priority and attention is needed most

کلیدواژه‌ها [English]

  • : Information security
  • Risk
  • risk management
  • AHP Fuzzy
  • Bayesian Networks
آذر، عادل؛ فرجی، حجت. ) 8718 (، علم مدیریت فازی. چاپ اول، اجتماع، تهران
الفت، لعیا؛ خسروانی،فرزانه؛ جلالی، رضا.) 8714 (. شناسایی و اولویتبندی ریسک پروژه بر
مبنای استاندارد PMBOK ،)84( با رویکرد فاز . ی فصلنامه علمی پژوهشی مطالعات مدیریت صنعتی 1
- 817 893
اولین چهارسوقی، صدیقه؛ دوستاری، محمدعلی؛ یزدیان ورجانی،علی؛ مهدوی اردستانی، سید
علیرضا. ) 8744 (. بکارگیری شبکه های عصبی مصنوعی در ارزیابی ریسک امنیت اطلاعات .مجله
- 77 47 ) علمی پژوهشی پدافند الکترونیکی و سایبری. ) 9
بیگلربگیان، پریسا. ) 8748 (. تدوین شاخصهای ارزیابی امنیت اطلاعات سازمان)مورد مطالعه:
سازمان بورس و اوراق بهادار تهران( پ.ایان نامه کارشناسی ارشد. دانشگاه الزهراء علیها السلام
جعفرنژاد، احمد؛ یوسفی زنوز، رضا.) 8713 (. ارائه مدل فازی رتبهبندی ریسک در پروژههای
- 48 71 : )8( حفاری شرکت پتروپارس. نشریه مدیریت صنعتی دانشگاه تهران، 8
خواجویی، حمید. ) 8740 (. مطالعه کنترلهای امنیت اطلاعات بر اساس استانداردهای بین المللی.
پایان نامه کارشناسی ارشد . دانشگاه سیستان و بلوچستان
شفیعی نیکآبادی، محسن؛ جعفریان احمد؛ جلیلی بوالحسنی اعظم.) 8714 (. تاثیر مدیریت امنیت
اطلاعات بر یکپارچگی فرایندهای سازمانی در زنجیره تامین. پژوهشنامه پردازش و مدیریت
- 43 99 :)11( اطلاعات، 4
عالمتبریز،اکبر؛ حمزهای،احسان. ) 8740 (. ارزیابی و تحلیل ریسکهای پروژه با استفاده از
رویکرد تلفیقی مدیریت ریسک استاندارد PMBOK و تکنیک RFMEA ، فصلنامه علمی پژوهشی
- 84 8 ،)47( مطالعات مدیریت صنعتی 4
عیسوی، هیرو. ) 8740 (. بررسی ریسک عملیاتی مربوط به امنیت اطلاعات در سامانه بانکداری
مدرن .پایان نامه کارشناسی ارشد. دانشگاه گیلان
˜Ñíãí¡ ÒåÑÇ. ) 8715 (. ÇÑÇÆå ãÏá ãÝåæãí ÇÑÒíÇÈí ÑíÓ˜ ÇãäíÊ ÇØáÇÚÇÊ: ãæÑÏ ÈÇä˜ Óå .ÇíÇä
äÇãå ˜ÇÑÔäÇÓí ÇÑÔÏ. ÏÇäԐÇå ÇáÒåÑÇ
ãíÑÝÔÑÇáÏíäí¡ ÓíÏÍíÏѺ ÚäÏáíÈ ÇÑϘÇäí¡ ÏÇæϺ ÑÖÇíí ÇÕá¡ãÑÊÖí.) 8740 (. ȘÇѐíÑí Ýäæä
ÊÕãíãíÑí äÏÔÇÎÕå ÌåÊ ÇÑÒíÇÈí ÚæÇãá ÑíÓ˜ ÒäÌíÑå ÊÇãíä. ÝÕáäÇãå Úáãí ŽæåÔí
- 870 803 ¡)48( ãØÇáÚÇÊ ãÏíÑíÊ ÕäÚÊí 1
äÇíãí¡ ÔãÓÇáÏíäº ˜Çíãí¡ ãÕØÝíº ÇÎÑæí¡ ÇãíÑÍÓíä.) 8740 (. ÇÑÇÆå ãÏá ÊáÝíÞ Ô˜ÇÝ
Úãá˜ÑÏí ÈÇ AHP - )43( Ñæåí ÝÇÒí ÈÑÇí ÊÚííä ÇæáæíÊåÇí ÈåÈæÏ. ãÌáå ãÏáÓÇÒí ÏÑ ãåäÏÓí¡ 4
BS ISO/IEC27005:2008. Information technology-Security techniques
-Information security risk management.
Chi-Chun Lo & Wan-Jia Chen. (2012). hybrid information security risk assessment procedure considering interdependences between controls. Expert Systems with Applications.(39),247-257 .
D.D. Wu, K. Xie, G. Chen, P. Gui. (2010). A risk analysis model in concurrent engineering product development. Risk Analysis.
Daniel Feledi, Stefan Fenz & Lukas Lechner.(2013) Toward web-based information security knowledge sharing. information security technical report ,17(2013) ,199-209.
Feng, N., Jiannan Wang, H. & Li, M. (2014). A security risk analysis model for information systems: Causal relationships of risk factors and vulnerability propagation analysis. Information Sciences, 256(2014): 57-73
Haslum. K, Abraham. A & Kanpskog. S. (2008). "Fuzzy Online Risk Assessment for Distributed Intrusion Prediction and Prevention Systems" Proc. Tenth International Conference on computer Modeling and Simulation, Combridge, USA.
Imamverdiev Ya. N & Derakshande S. A. (2011). Fuzzy OWA Model for Information Security Risk Management. AUTOMATIC CONTROL AND COMPUTER SCIENCES . 1(2011)20-28.
ISO/IEC27001. (2005). Information technology-Security techniques-Information security management systems Requirements.
ÇÑÇÆå ãÏáí ÌåÊ ÇæáæíÊÈäÏí ÑíÓ˜åÇí ÇãäíÊ ÇØáÇÚÇÇÊ ÓÇããÇíí.... 381
Kevin B. Corb & Ann E.Nicholson.(2004). Bayesian artificial intelligence, Boca Raton London New York Washington, D.C. chapman & hall.
korb KB & Nicholson AE. (2004). Bayesian Artificial Intelligence. CHAPMAN & HALL/CRC.
Nan Feng & Minqiang Li. (2011). An information systems security risk assessment model under uncertain environment.Applied Soft Computing.
Robert E. Crossler . Allen C. Johnston, Paul Benjamin Lowry, Merrill Warkentin, Richard Baskerville, Qing H. (2013). Future directions for behavioral information security research, computers & security, 32(2013)90-101.
Rossouw von Solms & Johan van Niekerk. (2013). From information security to cyber security. computers & security,38(2013), 97-102
Saleh, M. & Alfantookh, A. (2011).A new comprehensive framework for enterprise information security risk management. Computing and Informatics,9 (2011): 107-118.
Stefan Wagner. (2010). A Bayesian network approach to assess and predict software quality using activity-based quality models. Information and Software Technology.
Tongwei yuan & Peng Chen. (2012) . Data Mining Applications in E- Government Information Security. Procedia Engineering
Yue, W.T., Cakanyildirim, M., Ryu, Y.U., & Liu, D. (2007).Network externalities, layered protection and IT security risk management. Decision Support Systems, 44(1) 1-16.
Wang. Z,Zeng. H. (2010). Study on the Risk Assessment Quantitative Method of Information Security Proc. 3rd International Conference on Advanced Computer Theory and Engineering( ICACTE)
Wei. G, Zhang,. X,Zhang. X & Huang. Z. (2010). "Research on E-government information security risk assessment Based on Fuzzy AHP and Artificial Neural Network model," proc. First International Conference on Networking and Distributed Computing.
Yu-Ping Ou Yang, How-Ming Shieh & Gwo-Hshiung Tzeng. (2013). A VIKOR technique based on DEMATEL and ANP for information security risk control assessment , Information Sciences