سال انتشار: ۱۳۸۵

محل انتشار: دومین کنفرانس بین المللی مدیریت فناوری اطلاعات و ارتباطات

تعداد صفحات: ۱۱

نویسنده(ها):

شهرزاد عزیززاده – دانشجوی کارشناسی ارشد مهندسی صنایع، دانشگاه علم و صنعت ایران
محمد فتحیان – استادیار دانشکده مهندسی صنایع، دانشگاه علم و صنعت ایران
محمدمعین ایازی فر – کارشناس ارشد علوم کامپیوتر، دانشگاه صنعتی امیرکبیر

چکیده:

حفاظت از منابع اطلاعاتی سازمان، برای تضمین استمرار موفق فعالیت های کسب و کار، امری ضروری است. این واقعیت که اطلاعات و داراییهای اطلاعاتی نقش اساسی در موفقیت سازمان ها ایفا می کنند، نیاز به رویکردی جدید در حفاظت از آن ها را ضروری کرده است. تاکنون از تحلیل و مدیریت ریسک ها برای شناسایی نیازمندی های امنیت اطلاعات سازمان استفاده می شده است. پس از تحلیل ریسک ها، کنترل های امنیتی برای رساندن ریسک ها به سطح قابل قبول شناسایی و پیاده سازی می شده اند. اما به نظر می رسد که برای شناسایی نیازمندی های امنیت اطلاعات سازمان، تحلیل ریسک ها کافی نباشد. گواه این مدعا اینست که در تحلیل ریسک هاالزامات قانونی، مقرراتی و سایر فاکتورهایی که به عنوان ریسک تلقی نشده ، اما برای سازمان ایجاد الزام می کنند، در شمار آورده نمی شوند. در ای مقاله، ضمن بررسی تفصیلی فرایند مدیریت ریسک های امنیت اطلاعات، رویکرد جدیدی ارائه می شود که به کارگیری آن برای تحلیل نیازمندی های امنیت اطلاعات، به عنوان مکملی برای مدیریت ریسک ضروری است.