فصل اول كليات تحقيقمقدمه : گسترش و توسعه فناوري اطلاعات و ارتباطات در كشور امري اجتناب ناپذير است و نياز روزافزون بخش هاي مختلف جامعه به سرويس هاي اطلاعاتي و تغيير نگرش جامعه به سرويس هاي اطلاعات و ارتباطات ، تحولي شگرف را در عصر خود حاضر به وجود آورده است. در اين عصر فواصل مكاني ،هويت خود را از دست مي دهند و بسياري از فعاليت هاي جاري براساس مبادله اطلاعات از طريق بسترهاي ارتباطي خواهد پذيرفت. لذا جامعه اطلاعاتي ، امنيت اطلاعات ارزش و جايگاه ويژه اي را به خود اختصاص داده ، معياري مهم براي موفقيت و بالندگي جامعه اطلاعاتي محسوب مي شود. به همين خاطر براي اين موضوع جايگاه خاصي در كشور سرلوحهICT و IT راهبرد توسعه كشور در نظر گرفته شده است. از آنجا كه توسعه بسیاری از فعالیت های دولتي و خصوصي قرار گرفته ، لذا امنيت اطلاعات به عنوان يك موضوع راهبردي براي استفاده مطلوب از اين بستر طرح گرديده است.در شكل سنتي خود اطلاعات از طريق رسانه فيزيكي از قبيل كاغذ و نوارهاي صوتي و تصويري انجام مي شده است. امروزه ، علاوه بر روش هاي سنتي ، انتقال اطلاعات عمدتاً بر روي رسانه هاي مجازي كه به صورت شبكه وسيع و به هم پيوسته اي از ابزارها و نرم افزارها هستند رد و بدل مي شود.ايجاد محيط امن براي انتقال اطلاعات بيش از پيش دشوار و چالش برانگيز شده است. چرا كه همه سازمان ها و بخش هاي مختلف مي بايست از يك زيرساخت فيزيكي ( كه همان شبكه جهاني اينترنت است)و نرم افزارهاي رايج براي تبادل اطلاعات استفاده كنند. علاوه بر در م عرض بودن اطلاعات براي تمامي افرادي كه به شكلي به شبكه اطلاعاتي متصل هستند ،دانش همگاني در خصوص فن آوري اطلاعات نيز بر ميزان آگاهي افراد روز به روز مي افزايد و در امنيت گاهاً مؤسسات چندين گام از افراد اجتماع و متخصصيندنبالتر هستند. وظيفه حفاظت از اطلاعات و ايجاد امنيت در خصوص اطلاعات به سه قسمت عمده تفكيك مي شود (احمدلو، 1389).ايجاد شرايطي كه در آن محرمانه بودن اطلاعات محفوظ بماند. اين بدان معنا است كه افرادي مي بايست به اطلاعات دسترسي داشته باشند كه اطلاعات به آنها مربوط مي شود. مي بايست از رسيدن اطلاعات به افراد نامربوط جلوگيري شود. همچنين دسترسي به اطلاعات فقط براي افراد مجاز تعريف شده باشد. به اين فرآيند گاهاً كنترل دسترسي نيز مي گويند (احمدلو، 1389).ايجاد شرايطي كه در آن زيرساخت هاي فن آوري اطلاعات از گزند هرگونه آسيب هاي محيطي اعم از فيزيكي و غيرفيزيكي مصون باشند. اين آسيب ها ، چه عمدي باشند و چه غيرعمد ، مي توانند ناشي از شرايط فيزيكي همچون آسيب هاي ناشي از خسارات سيل ، آتش سوزي و ديگر شرايط جوي ، خرابي قطعات ، نارسايي هاي ناشي از شرايط نامناسب كاري (از قبيل برق نامناسب،قطعي برق ، خطوط ارتباطي نامناسب) ، صدمات ناشي از استفاده نادرست از تجهيزات مانند كشيدن سيگار در محيط سخت افزار ، ريختن مايعات بر روي قطعات ، صدمات ناشي از رها شدن تجهيزات از ارتفاع بلند ، و يا خرابكاري هاي عمدي افراد بر روي دستگاهها باشد. آسيب هاي ناشي از شرايط غير فيزيكي مي تواند به تنظيمات و پيكره بندي سيستم ها ، عدم رعايت اتصالات مناسب ، عدم آگاهي از استفاده درست از نرم افزارها مربوط باشد.حوزه اول ماهيت اطلاعات ي است كه داخل فايل ها ذخيره مي شوند. محتواي فايلها پيكره اصلي و حجم حساس اطلاعاتي كه يك سازمان براي انجام كارهاي خود به آن نياز دارد را تشكيل مي دهد. عدم دسترسي به اين اطلاعات موجب وقفه و خلل در كار جاري يك سازمان مي شود. هرگونه تغيير و يا تخريب در محتواي اين فايلها نيز از خسارات امنيتي محسوب مي شود (احمدلو، 1389).حوزه دوم ساختار فناوريهايي است كه تحت آنها اطلاعات پردازش مي شود . نرم افزارهايي كه براي بازكردن فايلها ،دسترسي به محتواي فايلها ، ذخيره اطلاعات در پايگاه هاي اطلاعاتي ، انتقال فايلها و فراخواني مجدد اطلاعات از فايلها استفاده مي شوند ابزار كار كاركنان آن سازمانن محسوب مي شوند. در دسترس بودن اين ابزارها و ضمانت تداوم دسترسي به اين نرم افزار ها از جمله ي وظايف امنيت اطلاعات محسوب مي شود (احمدلو، 1389).در هر سازمان كه به طريقي از رسانه هاي مجازي ، الكترونيكي و فن آوري اطلاعات براي انجام بخشي از كارهاي خود استفاده مي كند ، آگاهي و داير سازي يك سيستم مديريت براي برقراري امنيت اطلاعات ضروري است. تا زمانيكه سازمان ها و شركت ها به صورت كامل اطلاعات خود را از شكل سنتي به محيط هاي كاملا مجازي تبديل نكرده اند ،حوزه حفاظت امنيت اطلاعات مي بايست روش هاي سنتي ثبت و بايگاني اطلاعات را نيز در بر گيرد. در محيط هايي كه روال ها و فرآيند هاي امنيتي حفاظت از اسناد كاغذي و سنتي را در بر نمي گيرند ، امكان به مخاطره افتادن اطلاعات حساس يك سازمان افزايش پيدا نمي كند. (سند راهبرد امنيت فضاي تبادل اطلاعات كشور ، دبيرخانه شوراي امنيت فضاي تبادل اطلاعات)1-2. بيان مسئله فعاليت هاي هر سازمان تحت تاثير مجموعه اي از عوامل قرار دارد ، به طوري كه شناخت و بررسي اين عوامل مي تواند كمك موثري به بهبود فعاليت ها و تحقيق اهداف سازماني نمايد. يكي از هدف هاي مهم در هر سازمان- به ويژه در شرايط رقابتي – ارتقاء كيفيت است ، سازمان ها بايد ارتقاء كيفيت را از طريق افزايش بهره وري مد نظر قرار دهند. مفهوم بهره وري طي دهه هاي اخير تحولات زيادي پيدا كرده و در حال حاضر به عنوان يك شاخص كه بيانگر سطح زندگي فردي ، سازماني و ملي است مورد توجه اكثر محققين قرار گرفته است. در مراجع مختلف تعاريف متعددي از بهره وري رائه شده است ، از جمله اينكه سازمان همكاري اقتصادي اروپا بطور رسمي بهره وري را چنين تعريف كرده است : بهره وري حاصل كسري است كه از تقسيم مقدار يا ارزش محصول بر مقدار يا ارزش يكي از عوامل توليد بدست مي آيد . بدين لحاظ مي توان از بهره وري سرمايه ، مواد اوليه و نيروي كار به عنوان مثال هايي از بهره وري منابع نام برد (احمدلو، 1389).امروز استفاده از كسب و كار ها از فناوري اطلاعات ، آنها را در معرض مخاطرات تازه اي كه برخواسته از دنياي سايبر است قرار داده است كه براي مقابله با آن نياز به مديريت فراگير و نظارت دقيق و بهنگام است تا از اطلاعات در مقابل تهديدات دشمنان حفاظت و از تبادل و اشتراك گذاري امن اطلاعات در جهت افزايش توانمندي هاي تجارت حمايت گردد. امنيت اطلاعات در محيط هاي مجازي همواره به عنوان يكي از چالش ها و الزامات اساسي مورد تاكيد قرار گرفته است. گرچه امنيت كامل چه در محيط واقعي و چه در فضاي مجازي دست نيافتنی است، ولي ايجاد سحطی از امنيت كه به اندازه كافي و متناسب با نيازها و سرمايه گذاري انجام شده باشد ، تقريباً در تمامی شرايط محيطی دست يافتنی است. تنها با فراهم بودن چنين سرايط مطلوبی است كه اشخاص حقيقی ، سازمان ها ،شركت هاي خصوصی و ارگان های دولتی ، ضمن اعتماد و اطمينان به طرف هاي گوناگونی كه همگی در يك تبادل الكترونيكی دخيل هستند و احتمالاً هيچ گاه بكدبگر را نديده و نمي شناسند ،نقش مورد انتظار خود به عنوان گروه هاي موثر از اين شبكه متعادل و هم افزا را ايجاد خواهند كرد ( صدر آملي فريبا و بهروز ترك لاداني ، 1388).با اين فلسفه ،ايمن بودن سرمايه هاي اطلاعاتي و شبكه هاي زرساختي در كشور ، گذشته از ابعاد گسترده امنيت ملي ، عامل اصلي موفقيت در استفاده از فرصت هاي بيشمار تجاري و غيرتجاري جديد اينترنتی است. در حال حاضر ، سياستگذاری جامع نگر ، توسعه فرهنگی ، بهره وری مناسب از منابع موجود و نيز سازگاري آنها به گونه اي كه نيازهای حياطی فضای ديجيتالي كشور را تامين كند ، عمده ترين چالش رو به روي مسئولين است. امنيت اطلاعات بسته اي از خط مشي ها و رويكرد ها ، فرآيندها ، گردش كارها ، ساختارهاي سازماني و فعاليت هاي نرم افزاري و سخت افزاري به منظور حفاظت از اطلاعات در برابر طيف وسيعي از تهديداتي است كه تداوم كارها ، كمينه كردن ريسك و بيشينه نمودن ميزان بازده سرمايه گذاري ها و فرصت ها را نشانه رفته است و به عبارتي ديگر ، امنيت اطلاعات ، حفظ محرمانگي ، تماميت و در دسترس بودن اطلاعات و همچنين ساير مواردي مانند تصديق هويت ،مسئوليت پذيري ،عدم انكار و قابليت اطمينان را شامل مي گردد (صدر آملي فريبا و بهروز ترك لاداني ،1388). از طرف ديگر با رشد و توسعه فزاينده فناوري اطلاعات و گسترش شبكه هاي ارتباطي ، آسيب پذيري فضاي تبادل اطلاعات افزايش يافته است و روش هاي اعمال تهديد هاي ياد شده گسترده و پيچيده تر مي شود. از اين رو حفظ ايمني فضاي تبادل اطلاعات از جمله مهمترين اهداف توسعه فناوري اطلاعاتي و ارتباطي محسوب مي شود. به موازات تمهيدات فني اعمال شده لازم است در قوانين و سياستهاي جاري متناسب با جايگاه نوين فضای تبادل اطلاعات در امور مديريتي و اطلاع رساني تجديد نظر شده و فرهنگ صحيح بكارگيري امكانات يادشده نيز در سطح جامعه ترويج شود. بديهي است كه توجه نكردن به تامين امنيت فضاي تبادل اطلاعات و برخورد نادرست با اين مقوبه مانع از گشترش و بكارگيري فضاي مذكور در ميان آحاد جامعه و جلب اعتماد مديران در بكارگيري روشهاي نوين نظارتي و اطلاع رساني خواهد شد. ايجاد يك نظام منسجم در سطح ملي با لحاظ كردن ويژگي هاي خاص فضاي تبادل اطلاعات و مقوله امنيت در اين فضا يك ضرورت است. ببرخي از اين ويژگي ها به قرار زير است (پورمند،1386) :امنيت فضاي تبادل اطلاعات مفهومي كلان و مبتني بر حوزه هاي مختلف دانش است.امنيت با توجه به هزينه و كارايي تعريف مي شود و مقوله اي نسبي است.امنيت متأثر از مجموعه آداب ، سنن و اخلاقيات حاكم بر جامعه است.امنيت در فضاي تبادل اطلاعات از روند تعييرات سريع فناوريهاي مرتبط تأثيرپذير است.اساس كارآيي ، سهولت استفاده و قابليت برقراري ارتباط با ساير بخش ها و سازمان ها مورد بررسي قرار گيرد.براي مقابله با اين مشكلات ، همه سازمان هاي كوچك و متوسط بايد مروري كامل بر مأموريت ها ، اهداف ، صلاحيت ها و سيستم هاي اطلاعاتي خود داشته باشند. اگر در حوزه هايي فعاليت مي كنند كه ممكن است براي ديگران مخاسرات امنيتي در بر داشته باشد مثلا ً حوزه فناوري هاي در حال توسعه بايد تهديد هاي محتمل عليه امنيت مشتريان خود را پيش بيني و طرح هايي براي كاهش تأثير آنها تدوين نمايند. اگر در حوزه هايي كار مي كنند كه به هر نحو به امنيت دولت مربوط مي شود – مثل ارائه محصولات و خدمات ارتباط مخاطراتي – بايد متوجه باشند كه در چه زماني و چگونه مسئوليت قانون پايبندي به احكام دولتي بر عهده آنهاست. از شركت هايي كه با هر دو نوع مخاطره مواجه است.با اتصال مشتري به اينترنت ، براي داده ها و تجهيزات مشتري مخاطرات امنيتي به وجود مي آيد ، و با فراهم كردن محتويات در معرض احكام و مقررات ISP ، ديجيتالي و ابزار ارتباطي كشوري قرار مي گيرد. اگر كسي قابليت تجارت مراجعالكترونيكي را نيز به اين خدمات بيفزايد ، تهديدات بالقوه و كسب اطمينان از پايبندي به تعهدات ،تبديل به مشكلاتي بسيار و اساسي مي شوند. 1-3. سوال تحقيق سوال اصلی : آيا تفاوت معنی داری ، قبل و بعد از استقرار سیستم مدیریت امنیت اطلاعات (ISMS) در شرکت تالیا ، وجود دارد؟سوالات فرعی تحقیق :1-4. اهميت و ضرورت موضوع تحقيقدر عصر اطلاعات شاهد شل گيري فضايي هستيم كه در آن فعاليت هاي گوناگوني از قبيل اطلاع رساني ، داده ورزي ، كسب و كار ، مديريت ، كنترل و ارتباطات ،از طريق ساز و كارهاي الكترونيكي و مجازي انجام مي پذيرد. اين فضا كه از آن با نام "فضاي تبادل توليد و تبادل اطلاعات" ياد مي شود ، در معرض چالش ها ، آسيب ها و تهديدهاي گوناگوني نظير ارتكاب جرايم سازمان يافته ، تخريب بانك هاي اطلاعاتي ،حملات مختل كننده خدمات ، جاسوسي ، خرابكاري ،نقض حريم خصوصي و نقض حقوق مالكيت معنوي قرارداد ؛به طوري كه نپرداختن يا رويكرد نادرست به امنيت اين فاصله ، مانعي بزرگ پيش روي گسترش كاربرد فناوري ارتباطات و اطلاعات و ورود به جامعه دانش پايه خواهد بود. بسياري از كشورها به سبب اهميت اين فضا ، فعاليت عمده خود را به ايجاد امنيت نسبي بر روي اين فضا معطوف داشته اند. به نام استانداردISO كه تا سال 2005 داراي يك استاندارد در موسسه بين المللي يا BS استاندارد 7799 ارائه مي نمودBest Practice بود و آن را به عنوان يك راهنماي امنيتي ISO 17799 ، در اين سال دچار تحول عمده گرديد. اين نظام نمي تواند تنها با ايجاد در درون سازمان و ارائه خدمات امنيتي بصورت جزيره اي ، امنيت را بصورت كامل و تمام تضمين نمايد. دليل آن نيز كاملاً واضح و آشكار مي باشد.مهمترين دليل وجود تنوع رخداد ها در فضاي تبادل است كه با توجه به انواع سامانه هاي نرم افزاري و سخت افزاي ، و همچنين گوناگوني خدمات در عرصه فضاي توليد و تبادل اطلاعات ،داراي ويژگي هايي منحصر به فرد بوده و تنها سازمانهايي كه مورد هدف اين رخداد هاي امنيتي قرار گرفته اند ، با آنها آشنايي داشته و برخي نيز به آنها پاسخي مناسب داده اند. ( سعيد مهديون 1389 ،پيشگفتار) به تنهايي نشان دهنده برقراریISOهرچند بكارگيري نظام مديريت امنيت اطلاعات و اخذ گواهينامه 17799 امنيت كامل در يك سازمان نيست ، اما استقرار اين نظام مزايايي دارد كه مهمترين آنها چنين است (پورمند ، 1386) : 1. در سطح سازماني استقرار نظام ياد شده تضميني براي التزام به اثربخشي تلاشهاي امنيتي در همه سطوح و نمايشي از تلاشهاي مديران و كاركنان سازمان در اين زمينه است.2. در سطح قانوني ، اخذ گواهينامه به اولياي امور ثابت مي كند كه سازمان تمامي قوانين و قواعد اجرايي در اين زمينه را رعايت مي كند.3. در سطح اجرايي ، استقرار اين نظام باعث اطلاع دقيقتر از سيستمهاي اطلاعاتي و ضعف و قوت آنها مي شود. علاوه بر اين چنين استفاده مطمئن تر از سخت افزار و نرم افزار را تضمين مي كند.4. در سطح تجاري تلاشهاي موثر سازمان به منظور حفاظت اطلاعات در شركا و مشتريان اطمينان خاطر بيشتري را فراهم مي آورد.5. در سطح مالي اين اقدام باعث كاهش هزينه هاي مرتبط با مسائل امنيتي و كاهش احتمالي حق بيمه هاي مرتبط مي شود.6. در سطح پرسنلي ، افزايش آگاهي ايشان از نتايج برقراري امنيت اطلاعات و مسئوليتهاي آنها در مقابل سازمان از مزاياي بكارگيري چنين نظامي است.تحقيق جهاني امنيت اطلاعات ارنست و يانگ در سال 2003 نشان مي دهد كه (صدر آملي فريبا و بهروز ترك لاداني ،1388):90 درصد سازمان ها معتقدند امنيت اطلاعات براي دستيابي آنان به اهداف كلي شان بسيار حائز اهميت است.78 درصد سازمان ها عنوان كردند كه اولين هدفشان از تلاش براي تأمين امنيت اطلاعات كاهش مخاطرات مي باشد. اين سازمانها شامل 1000 شركت ثروتمند مي شدند كه بخشي از منابع خود را براي مبارزه با مسائل امنيتي اختصاص داده بودند. در ادامهْ اين تحقيق : بيش از 34 درصد از سازمان ها اظهار مي كنند كه قدرت كافي براي تشخيص اين كه آيا سيستم هايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.بيش از 33 درصد اظهار مي كنند كه توانايي ارائه عكس العمل مناسب در واكنش به رخداد هاي امنيتي را ندارند.تنها 34 درصد از سازمان ها ادعا مي كنند كه حاضر به اطاعت از ضوابط امنيتي اجرا هستند.56 درصد سازمان ها بودجهْ ناكافي را مانع اصلي تأمين موثر امنيت اطلاعات مي دانند.حدود 60 درصد از سازمان ها اظهار مي كنند كه بازگشت را براي امنيت اطلاعاتي به ندرت محاسبه مي كنند يا هرگز محاسبه نمي كنند.تنها 29 درصد سازمان ها آموزش و آگاهي كارمندان را به عنوان قسمتي كه بيشترين سرمايه گذاري براي امنيت اطلاعات را روي آن داشته اند ذكر مي كنند.در مقابل 83 درصد از فناوري به عنوان اولويت سرمايه گذاري خود در تأمين امنيت اطلاعات نام مي برند. تنها 35 درصد از سازمان ها اظهار مي كنند كه براي كاركنان برنامه هاي پيوستهْ اطلاع رساني و آموزشي دارند.اين آمار ها حاكي از اين هستند كه همهْ سازمان ها – چه كوچك و چه بزرگ – فشار هاي مالي و رواني تهديد هاي امنيت فناوري را حس مي كنند. به ياد داشتن نتايج تحقيق ارنست و يانگ به عنوان يك نماد از چالش هايي كه تعدادي از بنگاه هاي تجاري با آنها مواجه شده اند به نظر مفيد است. 1-5. اهداف تحقيقهدف كلي تحقيق : ارزيابي تفاوت هاي قبل و بعد از استقرار سيستم مديريت امنيت اطلاعات در شركت تاليااهداف علمي تحقيق عبارت از : 1- نتايج حاصل از این تحقیق به مدیران و کارشناسان شرکت های مخابراتی و ارتباطاتی به منظور انجام برنامهریزیهای لازم جهت اتخاذ سياستهاي مناسب براي استقرار سیستم مدیریت امنیت اطلاعات ، مورد استفاده قرار خواهدگرفت.2- نتایج این تحقیق نشان می دهد که استقرار سیستم مدیریت امنیت اطلاعات تا چه حد مناسب و اصولی در شرکت تالیا پیاده سازی شده است.3- نتایج این تحقیق باعث شود شرکت های مخابراتی و ارتباطاتی ، خود را ملزم به پیاده سازیISMS نمایند.1-6. چارچوب نظري تحقيقدر سالهاي اخير به يك چارچوب مرجع براي كنترل و امنيت در فناوري اطلاعات نياز بود ، همچنين نياز بيشتري وجود دارد براي اينكه كاربران از ارائه خدمات فناوري اطلاعات ، از راه مميزي خدمات ارائه شده توسط گروه هاي داخلي و شخص ثالث ، اطمينان حاصل كنند. همچنين براي دستيابي مزيت رقابتي و كارآمد بودن از نظر هزينه با تكيه بر تكنولوژي ، براي دستيابي به موفقيت در مديريت سازمان و مديريت فناوري اطلاعات و نظارت و ارزيابي بر عملكرد سازمان ، برآورده كردن هدفها و الزامات تجاري در جهت پاسخگويي به نيازها، از چارچوب مرجع به نام COBIT استفاده مي شود.فعاليت هاي فناوري اطلاعات را در يك مدل فرآيند كلي در4 حوزه تعريف مي كند. اين COBITحوزه ها عبارتند از (مرتضي علاءالديني ، 30 ، 1388)برنامه ريزي و سازمان دهيدستيابي و پياده سازيارائه و پشتيبانينظارت و ارزيابيبدينگونه که در حوزه برنامهريزي و سازماندهي، استراتژي و تاکتيک ها و نگرانيهاي مربوط به شناسايي IT را ميتوان براي دستيابي به هدفهاي تجاري به بهترين شکل جمعآوري کرد. در حوزه ايجاد و پيادهسازي براي شناخت و ايجاد استراتژي فناوري اطلاعات، امكانات بايد شناسايي، توسعه يافته و يا ايجاد شوند. در حوزه تحويل و پشتيباني، تحويل به موقع و ارائه خدمات مورد نياز، مورد توجه قرار ميگيرد و فرايندهاي پشتيباني مورد نياز بايد راهاندازي شوند. در حوزه نظارت، تمامي فرايندهاي IT لازم است که به طور منظم از نظر کيفيت و مطابقت با الزامات کنترل، مورد ارزيابي قرار گيرند.COBIT معمولاً فعاليتهاي تأييد شدهاي را براي مديريت و کنترل منابع اطلاعاتي و فناوري اطلاعات، ايجاد ميکند. COBIT براي سه گروه طراحي شده است:- براي مديران: COBIT کمک ميکند که تعادل را بين ريسكهاي سرمايه گذاري و کنترل آنها در اغلب محيطهاي غير قابل پيشبيني برقرار ميکند.- براي کاربران: COBIT کمک ميکند که اطمينان يافتن از امنيت و کنترل خدمات IT ارائه شده، توسط گروههاي داخلي و شخص ثالث.- براي مميزان: COBIT کمک ميکند که مستند کردن و ارائه نظرات و عقايدشان در مورد کنترلهاي داخلي فناوري اطلاعات براي اطلاع و آگاهي مديران، مؤثر باشد. 1-7. مدل تحليلي تحقيقمتغير وابستهسازماندهي امنيت اطلاعات8-1-1متغير هاي مستقل (استاندارد 27001) 8-1-2مديريت دارايي هاامنيت منابع انسانيمديريت تداوم كسب و كارخط مشي امنيتيامنيت محيطي و فيزيكيمديريت ارتباطات و عملياتتهيه وتوسعه و نگهداري سيستم هاي 1-8. فرضيه هاي تحقيقفرضیه اصلي :تفاوت های معنی داری ، قبل و بعد از استقرار سیستم مدیریت امنیت اطلاعات (ISMS) در شرکت تالیا ، وجود دارد.فرضیه های فرعی :1-9. تعاريف مفهومي متغير ها8-1-1امنيت سازمانيامنيت سازماني بر استقرار مديريت امنيت اطلاعات در كليت نظام مديريت سازمان اشاره دارد (معتمدي فر ،26 ،87).8-1-2 طبقه بندي و كنترل دارايي ها طبقه بندي و كنترل دارائيها عبارتست از مديريت دارائي هاي اطلاعاتي و اطمينان از وجود حفاظت هاي لازمه (معتمدي فر ، 87،36).8-1-3 امنيت كاركنانبه معناي كاهش ريسك ناشي از خطا ها ،سوء استفاده ها و عدم آگاهي كارمندان مي باشد (معتمدي فر ،39،87).8-1-4 مديريت تداوم فعاليتمديريت تداوم فعاليت به معناي پيشگيري از ايجاد وقفه در فعاليت سازمان مي باشد (معتمدي فر ، 87 ، 122).8-1-5 خط مشي امنيتيبه معناي حمايت مديريت ارشد سازمان و جهت گيري سازمان در برنامه امنيت اطلاعات است (معتمدي فر ،24 ، 87).8-1-6 امنيت فيزيكي و محيطيامنيت فيزيكي و محيطي بر تامين امنيت فيزيكي و محيطي اطلاعات در سيستم هاي اطلاعاتي نظر دارد (معتمدي فر ، 87 ، 45).8-1-7 مديريت ارتباطات و عملياتمديريت ارتباطات و عمليات عبارتست از اطمينان از صحت علكرد ابزارهاي پردازش اطلاعات ، سرويس ها (معتمدي فر ،87 ،56).8-1-8 ايجاد و نگهداري سيستمايجاد و نگهداري سيستم عبارتست از اطمينان از امن بودن فرآيند توليد و استفاده برنامه هاي كاربردي (معتمدي فر ،87 ، 106).8-1-9 مديريت حوادث مربوط به امنيت اطلاعاتحصول اطمينان از اينكه يك رويكرد مدام و مؤثر براي مديريت حوادث امنيتي بكار برده مي شود ( معتمدي فر ،87 ،118).8-1-10 انطباقبر پيشگيري از نقض قوانين و تعهدات رسمي سازماني دلالت دارد ( معتمدي فر ،87،128)8-1-11 كنترل دسترسيكنترل دسترسي به معناي جلوگيري از انواع دسترسي هاي غيرمجاز به اطلاعات و ابزار هاي مربوطه است. (معتمدي فر ،87 ،79). فصل دوم ادبيات تحقيق بخش اول : مباني امنيت اطلاعات2-1. مقدمه"زندگي بشر از عصر توليد انبوه به عصر ارتباط و اطلاعات ارتقاء يافته و حركت تكاملي كشورهاي جهان به سوي جوامع اطلاعاتي و دانش بنيان كليه فرآيند ها و فعاليت هاي اقتصادي ، فرهنگي ، صنعتي ، سياسي و روابط اجتماعي را تحت تاثير قرار داده است. چهارچوب ساختاري تشكيل دهنده اين عصر را توليد ، انتقال و مديريت اطلاعات و ارتباطات به منظور ايجاد پايگاه هاي دانش و معرفت فردي، گروهي ، سازماني و كشوري تشكيل مي دهد و لذا فناوري اطلاعات را كه شامل فناوري هاي به كار گرفته شده در فرآيند مذكور مي باشد براي جوامع بشري به عنوان عامل حياتي و تعيين كننه مطرح ساخته است(عبدالمجيد رياضي،1388،پيشگفتار).مطالب فوق كه عيناً از پيش گفتار سند راهبردي " نظام جامع فناوري طلاعات كشور" نقل شده است گوياي توجه به اهميت و تاثير فناوري هاي اطلاعات در سطوح عالي راهبردي و مديريت كشور مي باشد. در بخش ديگري از سند مذكور گفته شده است : " در دنياي امروز اطلاعات نه تنها به عنوان يكي از منابع و دارايي هاي اصلي سازمان شناخته مي شوند ، بلكه در حكم وسيله و ابزاري براي مديريت اثربخش بر ساير منابع و دارايي هاي سازمان ( منابع مالي ،نيروي انساني ،غيره) نيز محسوب مي شود و لذا از اهميت و ارزش ويژه اي برخوردار گشته است. اما اين ارزش ها تنها در صورتي محقق و دست يافتني خواهد بود كه اطلاعات بتواند در زمان مناسب، با كيفيت مطلوب و امنيت قابل قبول در اختيار افراد مناسب قرار گيرد و ارتباطات به صورت مطلوب و بهينه در سازمان برقرارگردد. " (عبدالمجيد رياضي ،4،1388)امنيت اطلاعات نمي تواند ، ايمني سازمان ، اطلاعات يا سيستم هاي رايانه اي شما را ضمانت نمايد . امنيت اطلاعات به تنهايي نمي تواند چتر حمايتي را بر روي اطلاعات شما بگستراند. همچنين امنيت اطلاعات ،جادو نيست هيچ سحر و جادويي در بكاربردن امنيت اطلاعات وجود ندارد و مفاهيم امنيت اطلاعات، علم موشكي نيستند. در بسياري از موارد ، امنيت اطلاعات يك طرز فكر است. طرز فكري كه در حال بررسي تهديد ها و آسيب پذيري هاي سازمان بوده و آنها را بطور شايسته اي مديريت مي كند. متاسفانه تاريخچه امنيت سرشار از تجربه هاي تلخ است كه سازمان ها از مديريت بحران مناسب منحرف كرده است.بعضي ا توليد كنندگان با اين ادعاكه محصولاتشان راه حلي جامع براي مسائل امنيتي است ، در منحرف كردن سازمان ها مساعدت نموده اند (اريك ميوالد ،5،1385).2-2. اطلاعات در سازمانبراي نيل به عملكرد برتر ، كسب و كار سازمان ها بايد در سرمايه گذاري و چيدمان فناوري اطلاعات (جمع آوري ،سازماندهي و حفظ اطلاعات) و همچنين در جلب توجه نيروي انساني سازمان در پذيرش رفتار و ارزش هاي درست براي كار كردن با اطلاعات برتري داشته باشند (علي احمدي ، 4،1383).2-2-1. اهميت اطلاعات در سازماناطلاعات مانند خوني مي باشد كه در رگه اي سازمان جاري است بدون اين اطلاعات روساي سازمان ها يا هيئت مديره نمي تواند تصميمات كليدي بگيرد. قسمت هاي خريد و پرسنلي و مالي نمي توانند منابع مورد نياز خود را براي ادامه حياط سازمان بدست آورند. هر سازمان كه داده هاي صحيح ، دقيق ،به هنگام و جامع را در اختيار داشته باشد . موفق تر است. نقش داده و اطلاعات در مديريت سازمان ها نقش حياتي و اساسي است. هرچه فضاي اطلاعاتي يك سازمان دقيق تر ، شفاف تر ، منسجم تر و سيستماتيك تر باشد. سازمان بهتر مي تواند به اهداف ش نايل آيد. بنابراين امروزه ،اطلاعات به عنوان منبع مهم استراتژيك براي سازمان ها مطرح مي باشد. (علي احمدي،4،1383).