Instagram Linkedin Telegram
Menu
Instagram Linkedin Telegram
Menu

مدیریت

امنیت سایبری

تحلیل عوامل داخلی و خارجی برای استقرار ISMS به عنوان یک تصمیم استراتژیک و حاکمیت امنیت اطلاعات

یک روش کاربردی برای تحلیل عوامل داخلی و خارجی در ایزو 27001

اولین الزام استاندارد ایزو 27001 شناخت زمینه سازمان و تحلیل عوامل داخلی و خارجی آن است. به عوامل داخلی و خارجی سازمان، عوامل خرد و کلان هم گفته میشود. در این مقاله به چرایی قرارگیری این الزام به عنوان اولین الزام استاندارد ISO/IEC 27001:2013 می پردازیم. همچنین ارتباط این الزام با استقرار ISMS به عنوان یک تصمیم استراتژیک را مورد بررسی قرار می دهیم. ضمن اینکه یک روش کاربردی و مفید برای تحقق این الزام و اجرای آن پیشنهاد می دهیم.

ISMS یک تصمیم حاکمیتی و استراتژیک

اقدام به طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) یک تصمیم استراتژیک و حاکمیتی برای سازمان است. تصمیم استراتژیک به تصمیمی گفته می‌شود که بر نتایج کلیدی عملکرد سازمان تأثیرگذار باشد. چنین تصمیماتی در کنار صرف منابع قابل‌توجهی از سازمان نیاز مبرم به تعهد جدی مدیریتی نیز دارد. پیاده‌سازی سیستم‌های مدیریتی و مشخصاً استقرار سیستم مدیریت امنیت اطلاعات از این نوع تصمیمات هستند. با توجه به استراتژیک بودن موضوع استقرار ISMS ضروری است که در برنامه‌ریزی و اجرای آن از قواعد معمول تعریف‌شده در فرایندهای برنامه‌ریزی استراتژیک استفاده شود. از مراحل اولیه در تقریباً تمامی مدل‌ها و الگوهای برنامه‌ریزی استراتژیک تحلیل موضوعات داخلی و بیرونی مؤثر بر سازمان است. این تحلیل نشان می‌دهد که آیا اساساً اجرای استراتژی انتخاب شده درست است یا خیر؟

ازاین‌رو قبل از شروع هرگونه فعالیتی در جهت پیاده‌سازی ISMS باید چنین تحلیلی مبتنی بر موضوعات داخلی و بیرونی سازمان صورت گیرد. این تحلیل درستی یا عدم درستی انتخاب ISMS به‌عنوان یک استراتژی سازمانی را تعیین خواهد کرد. با توجه به این ضرورت‌ها، استاندارد ISO/IEC 27001:2013 به‌عنوان اولین الزام و در بند 4.1 خود به این موضوع می‌پردازد.

شرط لازم برای اتخاذ یک تصمیم استراتژیک

طبیعتا فلسفه تمامی فعالیت های یک سازمان تحقق مأموریت و اهدافی است که برای خود در نظر گرفته است. بنابراین وقتی سازمانی قصد دارد یک تصمیم استراتژیک اتخاذ نماید باید نوع و میزان این تأثیر را بر روی اهداف سازمانی خود بررسی نماید. به عبارت دیگر شرط لازم برای گرفتن یک تصمیم استراتژیک و راهبردی، مثبت بودن تأثیر آن بر اهداف سازمان است. لذا به شما توصیه میکنیم در اولین گام و قبل از انجام هر اقدامی برای اجرای ISMS بررسی کنید که آیا برایند تأثیر استقرار ISMS در سازمان شما بر روی اهداف مثبت است یا منفی؟ چنانچه برایند منفی بود که باید از این تصمیم صرفنظر کنید. چنانچه برایند مثبت باشد شرط لازم برای استقرار سیستم را دارید ولیکن هنوز نیاز به تحلیل بیشتری برای اطمینان از درستی تصمیم خود دارید. این تحلیل به عنوان شرط کافی برای اتخاذ تصمیم استراتژیک در ادامه معرفی میشود.

شرط کافی برای اتخاذ یک تصمیم استراتژیک

سازمان‌ها در احاطه عوامل و موضوعات داخلی (خرد) و خارجی (کلان) خود هستند. دسته اول عواملی هستند که رد سطح خرد و به‌طور مستقیم از داخل بر سازمان تأثیرگذار هستند. دسته دوم موضوعاتی هستند که در سطح کلان و از بیرون بر سازمان تأثیر می گذارند. طبیعتاً عوامل داخلی تا حدود زیادی تحت کنترل سازمان و عوامل خارجی علیرغم عدم امکان کنترل آنها توسط سازمان، بر عملکرد آن تأثیرگذارند. شرط کافی برای اطمینان از درست بودن استقرار ISMS به عنوان یک تصمیم استراتژیک، این است که برآیند تأثیرات عوامل درونی و بیرونی بر استقرار و اجرای ISMS مثبت باشند.

علاوه بر نکته فوق به‌منظور الزام تحلیل عوامل درونی و بیرونی در استقرار ISMS، می توان به موارد زیر نیز به عنوان مزایای این تحلیل اشاره کرد:

  • به مدیران کمک می‌کند تا بر روی مسائل کلیدی و اساسی سیستم تمرکز نمایند.
  • حوزه‌های ترغیب‌کننده و محدودکننده سازمان را مشخص می‌کند.
  • منجر به دیدگاه و زبان مشترک در میان عوامل سازمان می‌شود.
  • موجب گسترش تفکر سیستماتیک و نظام‌مند در سازمان می‌شود.

در ادامه روش‌های تحلیل عوامل درونی و بیرونی و تأثیر آن برا سیستم مدیریت امنیت اطلاعات را بررسی می کنیم.

تحلیل SWOT بر روی استراتژی استقرار ISMS

یکی از مدل های بررسی و تجزیه‌وتحلیل عوامل و موضوعات داخلی و بیرونی سازمان، مدل SWOT است. SWOT عبارتست از:

  • نقطه قوت (Strengths): عاملی که سازمان با داشتن و یا انجام آن‌ از امتیاز مثبت و توانایی قابل‌ملاحظه برخوردار خواهد شد.
  • نقطه ضعف (Weaknesses): عاملی که سازمان با داشتن و یا انجام آن‌ از امتیاز منفی و عدم توانایی برخوردار خواهد شد.
  • فرصت‌ها (Opportunities): منفعت بالقوه‌ای در محیط است که بهره‌گیری از آن سازمان را در جهت مثبت سوق خواهد داد.
  • تهدیدها (threats): زیان بالقوه‌ای در محیط که در صورت بالفعل شدن، مانع حرکت و رشد سازمان می‌شود.

نقاط قوت و نقاط ضعف از آنالیز عوامل داخلی و فرصت‌ها و تهدیدات از آنالیز عوامل بیرونی سازمان حاصل میشوند. این تحلیل می‌تواند در انتخاب راهبرد مناسب سازمان کمک‌کننده باشد. در ادامه برای تحلیل هر یک از دو گروه عوامل داخلی و عوامل بیرونی، مدل پیشنهادی ارائه می‌شود.

روش پیشنهادی برای تحلیل عوامل داخلی

برای تحلیل عوامل و موضوعات داخلی سازمان، مدل ماتریس ارزیابی داخلی (IEF) را به شما پیشنهاد میکنیم. در این روش میتوانید عوامل داخلی، وزن و رتبه آنها را در قالب یک ماتریس شناسایی و تعیین کنید.

برخی از موضوعات و عوامل داخلی یک سازمان که در بررسی استقرار ISMS می توانند مورد توجه قرار گیرند، عبارتند از:

  • تحصیلات و دانش پرسنل سازمان
  • سن و سال پرسنل و مدیران سازمان
  • عوامل فرهنگی پذیرفته شده در سازمان
  • رویکرد مدیریت ارشد به موضوعات سیستمی
  • فرایندها و روال های جاری سازمان
  • پیچیدگی‌های فنی و اجرایی سازمان
روش پیشنهادی برای تحلیل عوامل خارجی

عوامل خارجی سازمان را می توان به دو دسته عوامل محیطی نزدیک به سازمان و عوامل محیطی دور از سازمان تقسیم کرد.

بصورت معمول برای بررسی عوامل محیطی نزدیک به سازمان مدل 5 نیروی رقابتی پورتر و برای عوامل محیطی دور مدل PESTEL پیشنهاد می شود.

  • Political (عوامل سیاسی)
  • Economic (عوامل اقتصادی)
  • Social (عوامل اجتماعی)
  • Technological (عوامل تکنولوژیک)
  • Environmental (عوامل محیطی)
  • Legal (عوامل قانونی)

عوامل مدل 5 نیروی رقابتی پورتر عبارتند از:

  • وضعیت رقابت بین رقبای فعلی
  • خطر ورود رقبای بالقوه
  • قدرت چانه زنی عرضه کنندگان
  • قدرت چانه زنی خریداران
  • تهدید ورود محصولات جایگزین

روش مرسوم دیگری که می توان برای تحلیل عوامل بیرونی و در ترکیب با مدل PESTEL یا پورتر در نظر گرفت ماتریس ارزیابی عوامل خارجی (EEF) است.

برخی از موضوعات خارجی که می توانند بر استقرار ISMS سازمان مؤثر باشند عبارتند از:

  • الزامات قانونی نهادهای حاکمیتی در خصوص استقرار ISMS
  • شرایط اقتصادی حاکم بر صنعت سازمان
  • وضعیت رقبای سازمان
  • همه گیری یک بیماری در کشور
  • شرایط ایجاد شده بواسطه تحریم
  • تورم و افزایش هزینه های پرسنلی
بکارگیری ابزار نرم افزاری مناسب جهت تحلیل عوامل داخلی و خارجی

نرم‌افزار مدیریت امنیت اطلاعات بادبان این امکان را به مدیران، متخصصین و کارشناسان سازمان می‌دهد که بتوانند تحلیل عوامل داخلی و بیرونی را با سهولت و کیفیت انجام دهند. این سامانه بر اساس تحلیل نتایج بدست آمده از عوامل داخلی و بیرونی، ماتریس SWOT را در رابطه با استقرار سیستم مدیریت امینت اطلاعات به شما ارائه می‌دهد. با داشتن این ماتریس می توانید برنامه ریزی مناسب تری با توجه به فرصتها و چالشهای پیش روی خود در استقرار ISMS و تحقق الزامات ایزو 27001 داشته باشید.

تعداد بازدیدها: 3,117

این مطالب را هم بخوانید

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

برای امنیت، استفاده از سرویس reCAPTCHA گوگل مورد نیاز است که موضوع گوگل است Privacy Policy and Terms of Use.

من با این شرایط موافق هستم .

در دوره‌های آموزشی رایگان شرکت کنید

منابع مورد نیاز خود را دانلود کنید

Scroll to Top
اسکرول به بالا