اولین الزام استاندارد ایزو 27001 شناخت زمینه سازمان و تحلیل عوامل داخلی و خارجی آن است. به عوامل داخلی و خارجی سازمان، عوامل خرد و کلان هم گفته میشود. در این مقاله به چرایی قرارگیری این الزام به عنوان اولین الزام استاندارد ISO/IEC 27001:2013 می پردازیم. همچنین ارتباط این الزام با استقرار ISMS به عنوان یک تصمیم استراتژیک را مورد بررسی قرار می دهیم. ضمن اینکه یک روش کاربردی و مفید برای تحقق این الزام و اجرای آن پیشنهاد می دهیم.
ISMS یک تصمیم حاکمیتی و استراتژیک
اقدام به طراحی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) یک تصمیم استراتژیک و حاکمیتی برای سازمان است. تصمیم استراتژیک به تصمیمی گفته میشود که بر نتایج کلیدی عملکرد سازمان تأثیرگذار باشد. چنین تصمیماتی در کنار صرف منابع قابلتوجهی از سازمان نیاز مبرم به تعهد جدی مدیریتی نیز دارد. پیادهسازی سیستمهای مدیریتی و مشخصاً استقرار سیستم مدیریت امنیت اطلاعات از این نوع تصمیمات هستند. با توجه به استراتژیک بودن موضوع استقرار ISMS ضروری است که در برنامهریزی و اجرای آن از قواعد معمول تعریفشده در فرایندهای برنامهریزی استراتژیک استفاده شود. از مراحل اولیه در تقریباً تمامی مدلها و الگوهای برنامهریزی استراتژیک تحلیل موضوعات داخلی و بیرونی مؤثر بر سازمان است. این تحلیل نشان میدهد که آیا اساساً اجرای استراتژی انتخاب شده درست است یا خیر؟
ازاینرو قبل از شروع هرگونه فعالیتی در جهت پیادهسازی ISMS باید چنین تحلیلی مبتنی بر موضوعات داخلی و بیرونی سازمان صورت گیرد. این تحلیل درستی یا عدم درستی انتخاب ISMS بهعنوان یک استراتژی سازمانی را تعیین خواهد کرد. با توجه به این ضرورتها، استاندارد ISO/IEC 27001:2013 بهعنوان اولین الزام و در بند 4.1 خود به این موضوع میپردازد.
شرط لازم برای اتخاذ یک تصمیم استراتژیک
طبیعتا فلسفه تمامی فعالیت های یک سازمان تحقق مأموریت و اهدافی است که برای خود در نظر گرفته است. بنابراین وقتی سازمانی قصد دارد یک تصمیم استراتژیک اتخاذ نماید باید نوع و میزان این تأثیر را بر روی اهداف سازمانی خود بررسی نماید. به عبارت دیگر شرط لازم برای گرفتن یک تصمیم استراتژیک و راهبردی، مثبت بودن تأثیر آن بر اهداف سازمان است. لذا به شما توصیه میکنیم در اولین گام و قبل از انجام هر اقدامی برای اجرای ISMS بررسی کنید که آیا برایند تأثیر استقرار ISMS در سازمان شما بر روی اهداف مثبت است یا منفی؟ چنانچه برایند منفی بود که باید از این تصمیم صرفنظر کنید. چنانچه برایند مثبت باشد شرط لازم برای استقرار سیستم را دارید ولیکن هنوز نیاز به تحلیل بیشتری برای اطمینان از درستی تصمیم خود دارید. این تحلیل به عنوان شرط کافی برای اتخاذ تصمیم استراتژیک در ادامه معرفی میشود.
شرط کافی برای اتخاذ یک تصمیم استراتژیک
سازمانها در احاطه عوامل و موضوعات داخلی (خرد) و خارجی (کلان) خود هستند. دسته اول عواملی هستند که رد سطح خرد و بهطور مستقیم از داخل بر سازمان تأثیرگذار هستند. دسته دوم موضوعاتی هستند که در سطح کلان و از بیرون بر سازمان تأثیر می گذارند. طبیعتاً عوامل داخلی تا حدود زیادی تحت کنترل سازمان و عوامل خارجی علیرغم عدم امکان کنترل آنها توسط سازمان، بر عملکرد آن تأثیرگذارند. شرط کافی برای اطمینان از درست بودن استقرار ISMS به عنوان یک تصمیم استراتژیک، این است که برآیند تأثیرات عوامل درونی و بیرونی بر استقرار و اجرای ISMS مثبت باشند.
علاوه بر نکته فوق بهمنظور الزام تحلیل عوامل درونی و بیرونی در استقرار ISMS، می توان به موارد زیر نیز به عنوان مزایای این تحلیل اشاره کرد:
- به مدیران کمک میکند تا بر روی مسائل کلیدی و اساسی سیستم تمرکز نمایند.
- حوزههای ترغیبکننده و محدودکننده سازمان را مشخص میکند.
- منجر به دیدگاه و زبان مشترک در میان عوامل سازمان میشود.
- موجب گسترش تفکر سیستماتیک و نظاممند در سازمان میشود.
در ادامه روشهای تحلیل عوامل درونی و بیرونی و تأثیر آن برا سیستم مدیریت امنیت اطلاعات را بررسی می کنیم.
تحلیل SWOT بر روی استراتژی استقرار ISMS
یکی از مدل های بررسی و تجزیهوتحلیل عوامل و موضوعات داخلی و بیرونی سازمان، مدل SWOT است. SWOT عبارتست از:
- نقطه قوت (Strengths): عاملی که سازمان با داشتن و یا انجام آن از امتیاز مثبت و توانایی قابلملاحظه برخوردار خواهد شد.
- نقطه ضعف (Weaknesses): عاملی که سازمان با داشتن و یا انجام آن از امتیاز منفی و عدم توانایی برخوردار خواهد شد.
- فرصتها (Opportunities): منفعت بالقوهای در محیط است که بهرهگیری از آن سازمان را در جهت مثبت سوق خواهد داد.
- تهدیدها (threats): زیان بالقوهای در محیط که در صورت بالفعل شدن، مانع حرکت و رشد سازمان میشود.
نقاط قوت و نقاط ضعف از آنالیز عوامل داخلی و فرصتها و تهدیدات از آنالیز عوامل بیرونی سازمان حاصل میشوند. این تحلیل میتواند در انتخاب راهبرد مناسب سازمان کمککننده باشد. در ادامه برای تحلیل هر یک از دو گروه عوامل داخلی و عوامل بیرونی، مدل پیشنهادی ارائه میشود.
روش پیشنهادی برای تحلیل عوامل داخلی
برای تحلیل عوامل و موضوعات داخلی سازمان، مدل ماتریس ارزیابی داخلی (IEF) را به شما پیشنهاد میکنیم. در این روش میتوانید عوامل داخلی، وزن و رتبه آنها را در قالب یک ماتریس شناسایی و تعیین کنید.
برخی از موضوعات و عوامل داخلی یک سازمان که در بررسی استقرار ISMS می توانند مورد توجه قرار گیرند، عبارتند از:
- تحصیلات و دانش پرسنل سازمان
- سن و سال پرسنل و مدیران سازمان
- عوامل فرهنگی پذیرفته شده در سازمان
- رویکرد مدیریت ارشد به موضوعات سیستمی
- فرایندها و روال های جاری سازمان
- پیچیدگیهای فنی و اجرایی سازمان
روش پیشنهادی برای تحلیل عوامل خارجی
عوامل خارجی سازمان را می توان به دو دسته عوامل محیطی نزدیک به سازمان و عوامل محیطی دور از سازمان تقسیم کرد.
بصورت معمول برای بررسی عوامل محیطی نزدیک به سازمان مدل 5 نیروی رقابتی پورتر و برای عوامل محیطی دور مدل PESTEL پیشنهاد می شود.
- Political (عوامل سیاسی)
- Economic (عوامل اقتصادی)
- Social (عوامل اجتماعی)
- Technological (عوامل تکنولوژیک)
- Environmental (عوامل محیطی)
- Legal (عوامل قانونی)
عوامل مدل 5 نیروی رقابتی پورتر عبارتند از:
- وضعیت رقابت بین رقبای فعلی
- خطر ورود رقبای بالقوه
- قدرت چانه زنی عرضه کنندگان
- قدرت چانه زنی خریداران
- تهدید ورود محصولات جایگزین
روش مرسوم دیگری که می توان برای تحلیل عوامل بیرونی و در ترکیب با مدل PESTEL یا پورتر در نظر گرفت ماتریس ارزیابی عوامل خارجی (EEF) است.
برخی از موضوعات خارجی که می توانند بر استقرار ISMS سازمان مؤثر باشند عبارتند از:
- الزامات قانونی نهادهای حاکمیتی در خصوص استقرار ISMS
- شرایط اقتصادی حاکم بر صنعت سازمان
- وضعیت رقبای سازمان
- همه گیری یک بیماری در کشور
- شرایط ایجاد شده بواسطه تحریم
- تورم و افزایش هزینه های پرسنلی
بکارگیری ابزار نرم افزاری مناسب جهت تحلیل عوامل داخلی و خارجی
نرمافزار مدیریت امنیت اطلاعات بادبان این امکان را به مدیران، متخصصین و کارشناسان سازمان میدهد که بتوانند تحلیل عوامل داخلی و بیرونی را با سهولت و کیفیت انجام دهند. این سامانه بر اساس تحلیل نتایج بدست آمده از عوامل داخلی و بیرونی، ماتریس SWOT را در رابطه با استقرار سیستم مدیریت امینت اطلاعات به شما ارائه میدهد. با داشتن این ماتریس می توانید برنامه ریزی مناسب تری با توجه به فرصتها و چالشهای پیش روی خود در استقرار ISMS و تحقق الزامات ایزو 27001 داشته باشید.