امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران

نوع مقاله: مقاله پژوهشی

نویسندگان

1 دانشیار گروه کتابداری و اطلاعرسانی، دانشگاه آزاد اسلامی، واحد علوم و تحقیقات تهران

2 کارشناس ارشد کتابداری و اطلاعرسانی دانشگاه آزاد اسلامی، واحد علوم و تحقیقات تهران

چکیده

پژوهش حاضر با هدف شناخت وضعیت امنیت اطلاعات در کتابخانههای دیجیتالی ایران انجام شده است. روش پژوهش پیمایشی تحلیلی و ابزار گردآوری دادهها، پرسشنامهای است که بر مبنای استاندارد ISO/IEC 27002 تهیه شده و با یازده شاخص و 79 زیرشاخص، امنیت اطلاعات را مورد سنجش قرار میدهد. شاخصهای ارزیابی شامل خطمشی امنیت، سازماندهی امنیت اطلاعات، مدیریت داراییها، امنیت منابع انسانی، امنیت فیزیکی و محیطی، مدیریت ارتباطات و عملیات، کنترل دسترسی، تهیه، توسعه و نگهداری سیستمهای اطلاعاتی، مدیریت حوادث، امنیت اطلاعات، مدیریت تداوم کسب و کار، و انطباق است. 58 کتابخانه دیجیتالی فعال ایران جامعه پژوهش را تشکیل میدهند که از آن تعداد 45 کتابخانه به پرسشنامهها پاسخ دادهاند.
بر اساس یافتهها، میانگین امنیت اطلاعات کتابخانههای دیجیتالی ایران 79/0 (از میانگین کل 1) است و کتابخانهها از لحاظ امنیت اطلاعات در سطح قوی قرار دارند. آسیب پذیرترین نقاط امنیتی، «خطمشی امنیت» و «امنیت نیروی انسانی»، هر دو با میانگین 63/0 است. کتابخانههای دیجیتال مؤسسه نشر امام خمینی (ره)، پژوهشگاه نیرو، فرهنگستان هنر، کتابخانه دیجیتال علومانسانی شهرداری تهران، کتابخانه دیجیتال شرکت برق منطقهای خراسان، کتابخانه دیجیتال دانشگاه تبریز با میانگین 1،  بالاترین میانگین امنیت اطلاعات را دارند. در مجموع 55/75 % کتابخانههای دیجیتالی ایران از لحاظ امنیت اطلاعات در سطح قوی و 46/24 % در سطح متوسط هستند. شاخصهای امنیت اطلاعات از نظر رعایت در کتابخانههای دیجیتالی دارای تفاوت معناداری است، اما تفاوت معناداری بین کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی از نظر امنیت اطلاعات وجود ندارد.
 

کلیدواژه‌ها


مقدمه و بیان مسئله

مزایای ذخیره‌سازی اطلاعات به صورت الکترونیکی، کاربرد وسیع رایانه‎ها در فعالیتهای حرفه‎ای گوناگون را ناگزیر ساخته و استفاده از شبکه‎های رایانه‎ای و بویژه اینترنت، تغییرات اساسی در روند ارائه خدمات به وجود آورده است. این امکانات سبب شده حجم بسیار زیادی از اطلاعات تنها به اندازة یک سرانگشت با کاربران فاصله داشته باشد. ناگفته پیداست، در این محیط پیچیده با این ارتباطات وسیع، مخاطرات گسترده‎ای سیستمهای رایانه‎ای، سامانه‎های اطلاعاتی و فعالیتها و زیرساختهای حیاتی وابسته به آنها را تهدید می‎کند (س‍ادوسک‍ای و دیگران،1384: 9).

سازمانها اغلب در معرض انواع تهدید مانند دستکاری اطلاعات مرجع و یا سرقت اطلاعات حیاتی و سرمایه‎های اطلاعاتی قرار دارند. در چنین شرایطی، چنانچه عواملی که می‎توانند از مزایای سیستمها به شمار بروند (مثل سرعت و قابلیت دسترسی بالا) تحت کنترل نباشند، ممکن است باعث بروز آسیب‎پذیری شده، سوء استفادة افراد بد نیت از آنها به نفوذ و خرابکاری، کلاهبرداری و یا اخاذی بینجامد. علاوه بر این، مشکلات طبیعی و خطاهای غیرعمدی که توسط کاربران رایانه‎ای رخ می‎دهد، درصورت نبود روشهای صحیح برای حفاظت از اطلاعات، می‎تواند نتایج مخربی را به بار آورد. چنان که  «کریدا[1] و دیگران» (2005) تأکید می‎کنند، حفاظت سیستمهای اطلاعاتی از حملات امنیتی یک چالش مستمر است که بسیاری از سازمانها با آن مواجهند.

با این اوصاف، تدوین و اجرای تدابیر امنیتی در قبال این تهدیدهای گسترده، ضرورتی اجتناب ناپذیر برای سازمانهاست. اتخاذ تدابیر مناسب می‎تواند احتمال وقوع مخاطرات را به حداقل برساند و یا در صورت وقوع آنها، میزان خسارتهای وارده را در حد بسیار ناچیزی نگه دارد. این‎گونه تدابیر امنیتی، موجب افزایش قابلیت واکنش سریع و مؤثر می‎شود و به این ترتیب سازمانها قادر خواهند بود برای ترمیم خسارتها از فرایندهای از پیش تعیین شده استفاده کنند و بهره‎وری و ایمنی اطلاعات، افزایش یافته، کسب و کار به صورت مطمئن‎تری تداوم یابد (س‍ادوس‍ک‍ای‎ و دی‍گ‍ران، 1384: 9). امنیت اطلاعات عبارت است از حفاظت زیرساختهای فناوری اطلاعات و تضمین در دسترس بودن آن (ورمولن و سولمز[2]، 2002؛ هونان[3]، 2006). از همین‌رو، حیات کتابخانه‎های دیجیتالی، ارتباط نزدیکی با سیستمهای امنیت اطلاعات دارد.

قلمروِ توصیف شدة کتابخانه‎های دیجیتالی، برخلاف کتابخانه‎های سنتی، بسیار وسیع است. در کتابخانه‎های دیجیتالی، کاربر به مواد و منابع متنوعی دسترسی دارد و مجموعه‎ها و امکانات موجود، نسبت به کتابخانه‎های سنتی در معرض مخاطرات بیشتری قرار دارند. این کتابخانه‎ها نیازمند پیاده‎سازی برنامه‎های دقیقِ کنترل و سازوکارهای لازم برای نگهداری داراییهای اطلاعاتی خود در دراز مدت هستند. کتابخانة دیجیتالی، نهادی اجتماعی و چیزی بیش از مجموعه‎ای از فناوریهاست و باید از سازوکارهای جدید برای نگهداری مواد استفاده کند (شارما؛ ویشواناتان[4]، 1385).  دسترسی غیرمجاز به اطلاعات و حمله به کتابخانه‎های دیجیتالی، اتفاقهای محتملی هستند که به عنوان نمونه‎هایی از آنها می‎توان به دو رخنة امنیتی در دانشگاه ایندیانا در ایالات متحده آمریکا در تابستان 2002 و ماه می 2004 اشاره کرد که در هر دو مورد، زمان و تلاش زیادی برای بازگرداندن اطلاعات و ارتقای سیستم امنیتی جدید صرف شد (چنگ[5]، 2005). یک مورد دیگر از این‎گونه حمله‎ها، در یک کتابخانه در دانشگاه نوتردام رخ داد و در طی آن، اطلاعات موجود در معرض خطرهای امنیتی قرار گرفت (فاکس[6]، 2006). بی‎تردید، حفاظت بلند مدت دیجیتالی و ارتقای دسترس‎پذیری میراث مکتوب که هدفهای اساسی کتابخانه‎های دیجیتالی است، بدون لحاظ کردن مسائل امنیتی امکان تحقق نخواهد یافت. تحقیق جهانی امنیت اطلاعات «ارنست و یانگ[7]» در سال ۲۰۰۳ نشان می‎دهد ۹۰% سازمانها معتقدند امنیت اطلاعات برای دستیابی آنها به هدفهای کلی‎شان بسیار حایز اهمیت است (نقل در سادوسکای[8] و دیگران، 1384 : 121).

برخی از مهم‎ترین مسائل مربوط به امنیت در کتابخانه‎های دیجیتالی می‎تواند شامل امنیت سخت‌افزارها و دیتا سنترها، جایگاه فیزیکی دیتاسنترها و سرورها، امنیت تبادل اطلاعات، امنیت نرم‎افزارهای کاربردی مورد استفاده، امنیت نرم‎افزارهای ضد ویروس و فایروال، الگوی قوانین و مقررات حاکم بر سایت باشد. علاوه بر آن، دیجیتالی کردن آثار، خطر تجاوز به حقوق مؤلفان و پدیدآوران را نیز افزایش می‎دهد، زیرا یکی از مهم‎ترین ویژگیهای محیط دیجیتالی، شکل‎پذیری و قابلیت تغییر شکل آثار به میزان بالاست. ناشران الکترونیک و کتابخانه‎های دیجیتالی به عنوان نگهبانان حقوق معنوی، نقش فراوانی در جلوگیری از اخلال حقوق مؤلفان دارند؛ زیرا پس از انتشار یک اثر به صورت آنلاین، امکان نسخه‎برداری الکترونیکی آن و دسترسی به حجم عظیمی از اطلاعات وجود دارد. بدیهی است، چنین سرقتی در محیط چاپی امکان‎پذیر نیست (زایلینسکی، 1377). جلوگیری از ورود‎های غیرمجاز، از آن جهت  نیز اهمیت دارد که اشتراک پایگاه‎های اطلاعاتی دارای بار مالی است و مرکز اطلاع‎رسانی خود نیز اقدام به دریافت وجه در قبال اطلاعات ارائه شده به مراجعان می‎کند. علاوه بر آن، جلوگیری از آسیبهای احتمالی از سوی هکرها و نفوذگران به شبکة  اینترنت نیز  مسئله امنیت و حفاظت از منابع اطلاعاتی در کتابخانه‎های دیجیتالی را به عنوان یک امر حایز اهمیت مطرح می‎کند (علیپور حافظی؛ مطلبی، 1382).

نحوة استفاده و کنترل دستیابی به منابعی که به اشتراک گذاشته شده‎اند، از مهم‎ترین هدفهای یک سیستم امنیتی در شبکه است. هر سازمان برای حفاظت از اطلاعات ارزشمند، باید به یک راهبرد خاص پایبند باشد و بر اساس آن سیستم امنیتی را پیاده‎سازی و اجرا نماید(برینی[9]، 2001). با وجود اهمیت حفظ امنیت در محیطهای اطلاع‎رسانی، این امر مهم در مقایسه با موضوعهایی مانند  کمیّت و کیفیت سایتها و پایگاه‎های اطلاعاتی تحت وب، کمتر مورد توجه پژوهشگران قرار گرفته است. از همین رو، این پژوهش، مسائل امنیتی در کتابخانه‎های دیجیتالی ایران را بر اساس کنترلهای امنیتی استاندارد ISO/IEC 27002 که از پراستفاده‌ترین استاندارد‎های امنیت اطلاعات است، مورد مطالعه قرار می‎دهد.

سؤالهای پژوهش

  1. وضعیت امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران چگونه است؟
  2. آسیب‌پذیرترین نقاط امنیتی در کتابخانه‎های دیجیتالی ایران بر اساس شاخصهای مورد مطالعه کدامند؟
  3. رتبه‌بندی کتابخانه‎های دیجیتالی ایران بر حسب امنیت اطلاعات چگونه است؟

فرضیههای پژوهش

بین میانگین شاخصهای امنیت اطلاعات کتابخانه‎های دیجیتالی تفاوت معناداری وجود دارد.

بین کتابخانه‎های دیجیتالی دانشگاهی و غیردانشگاهی برحسب امنیت اطلاعات تفاوت معناداری وجود دارد.

پیشینة پژوهش

«محمودزاده و راد رجبی»(1385) در پژوهشی، مدیریت امنیت در سیستمهای اطلاعاتی و تأثیر عواملی که سیستمهای اطلاعاتی سازمانها را با خطر سرقت، نابودی و یا تغییر اطلاعات مواجه می‎سازند، مورد مطالعه قرار داد. نتایج پژوهش نشان داد مولفة آگاهی نداشتن کاربران بالاترین تهدید و پس از آن «امنیت نیروی انسانی» دومین تهدید برای امنیت اطلاعات سیستمهای رایانه‎ای است. «طاهری» (1386) چارچوبی برای نقش عوامل انسانی در امنیت سیستمهای اطلاعاتی ارائه داده است. به طور خاص، هدف پژوهش یادشده، شناسایی و مدل‎سازی سازه‎های مدیریتی مؤثر بر اثربخشی امنیت سیستمهای اطلاعاتی بود. در این راستا، سازه‎های حمایت مدیریت عالی، آموزش امنیتی، فرهنگ امنیتی، مهارت امنیتی، تقویت خط‎مشی امنیتی، تجربیات و خودباوری افراد به عنوان عوامل مؤثر بر اثربخشی امنیت سیستمهای اطلاعاتی معرفی شدند.

«آرام» (1388) شاخصهای مؤثر بر مدیریت امنیت اطلاعات در فناوری اطلاعات شرکت گاز پارس جنوبی را مورد سنجش قرار داد. در این پژوهش، ابتدا شاخصهای تأثیرگذار بر مدیریت امنیت اطلاعات تعیین گردید، سپس با استفاده از تحلیل اطلاعاتی که از طریق پرسشنامه جمع‎آوری شده بود، به رتبه‎بندی و تعیین جایگاه شاخصها و عوامل کلیدی موثر بر بهبود سیستم مدیریت امنیت اطلاعات و تعیین مؤثرترین شاخصها پرداخته شد. نتایج پژوهش حاکی از تأثیرگذاری بیشتر عوامل انسانی از دیدگاه کارشناسان فناوری اطلاعات بود و پس از آن شاخصهای مربوط به عوامل مدیریتی، فنی و مالی قرار داشت.

«زنده دل نوبری» (1389) مدلی برای رتبه‎بندی سازمانها بر مبنای اندازه‎گیری و شناسایی میزان بلوغ امنیت اطلاعات در آنها ارائه نمود. بدین منظور، پس از تعیین شاخصهای امنیت اطلاعات در قالب دو دستة کلیِ فنی و مدیریتی و با توجه به معیارهای سه‎گانة «امنیت»، «ایمنی» و «پایداری»، نظرهای خبرگان فناوری اطلاعات بخشهای انفورماتیک در سه سازمان مطالعه شد. با توجه به یافته‎ها، از نظر بلوغ امنیت، بانک پاسارگارد رتبة اول، دانشگاه تهران رتبة دوم و بانک تجارت رتبة سوم را به دست آوردند.

«چانگ و هو[10]»(2006) به عوامل سازمانی مؤثر در پیاده‎سازی مدیریت امنیت اطلاعات پرداختند. این پژوهشگران ضمن تأکید بر نیاز سازمانها به ساختارهای مدیریتی برای حفظ داراییهای اطلاعاتی، این‎گونه ساختارهای امنیتی را سلاحی مؤثر برای بقا در عرصة رقابت عنوان می‎کنند. بر‎اساس یافته‎های پژوهش، توانایی مدیران فناوری اطلاعات و نبود اطمینان محیطی، تأثیر مثبتی بر روی سازمانها در پیاده‎سازی مدیریت امنیت اطلاعات و استاندارد BS7799 داشته است. همچنین، یافته‎ها نشان داد عوامل سازمانی شامل اندازة سازمان و نوع صنعت، به نحو قابل‎توجهی کاربرد مدیریت امنیت اطلاعات را تحت تأثیر قرار می‎دهد. «کوزما»[11] (2010) به آسیب‎پذیری امنیت در کتابخانه‎های دیجیتالی اروپا پرداخت و با استفاده از یک نرم‎افزار آزمایش خطر‎پذیری وب سایت، مسائل امنیتی 80 کتابخانة دیجیتالی اروپایی را بررسی نمود. نتایج نشان داد اکثر کتابخانه‎های دیجیتالی نقص امنیتی جدی در برنامه‎های کاربردی تحت وب خود دارند. اکثر کتابخانه‎های اروپای غربی، مشکلات امنیتی بحرانی (25 %) و یا در سطح متوسط (40 %) داشتند که منجر به تجارت ناامن آن‎لاین  شده بود. همچنین، یافته‎ها حاکی از این بود که با وجود قوانین مربوط به حفاظت اطلاعات، کتابدارن اقدامهای لازم برای ایمن‎سازی سیستمهای اطلاعاتی آن‎لاین را اجرا نمی‎کنند.

«محابی[12]»(2010) آگاهی از امنیت اطلاعات از دیدگاه مدیران سیستم و کاربران نهایی در دانشگاه ایالتی فلوریدا را مطالعه نمود. نتایج نشان داد مدیران سیستم تأکید بیشتری بر تهدیدهای خارجی و فنی نسبت به تهدیدهای داخلی و غیر فنی ناشی از عوامل مختلف مانند دسترسی منابع، رفتار با کاربران و رضایت از ابزار فنی دارند. بخش دوم مطالعه که به بررسی کاربران نهایی مربوط بود، حاکی از نیاز به آموزش کاربران و ارتقای آگاهیهای آنها بود تا بتوانند از خود در برابر تهدیدهای امنیتی محافظت کنند. نتایج این مطالعه، اهمیت عوامل انسانی در امنیت اطلاعات را مورد تأکید قرار داد. «تینتاماسیک[13]»(2010) به بررسی رابطه بین سیستمهای سازمان و آگاهی امنیت اطلاعات پرداخت. تمرکز این پژوهش بر روی بررسی رابطة حیاتی بین سیستمهای سازمان در چارچوب نظریة رفتار سازمانی و آگاهی امنیت اطلاعات (ISA) در چارچوب نظریة امنیت اطلاعات بود. مسئله اصلی در این مطالعه، آگاهی  نداشتن کاربران از مسائل امنیتی به عنوان یک عامل بازدارنده برای سازمانها در دفاع در برابر حملات سایبر بود. بر اساس یافته‎ها، ارتباط معناداری بین آگاهی کاربران از امنیت اطلاعات و ابعاد ساختار سازمان رسمی، ابعاد فرهنگ سازمانی و روشها و سیاستهای منابع انسانی وجود دارد.

روششناسی پژوهش

روش پژوهش، پیمایشی تحلیلی و جامعة پژوهش، کتابخانه‎های دیجیتالی ایران است. در پژوهش حاضر، منظور از کتابخانه‎های دیجیتالی ایران، کتابخانه‎هایی هستند که  بر اساس خط‎مشی خاص و با بهره‎گیری از کارکنان متخصص، منابع اطلاعاتی دیجیتال را گردآوری و یا تولید کرده، به شکل دیجیتالی ذخیره، سازماندهی و از طریق ارائه خدمات به کاربران خود اشاعه می‎دهند. این کتابخانه‎ها شامل کتابخانه‎هایی هستند که از نرم‎افزارهای کتابخانه‎های دیجیتالی مانند نوسا، پارس آذرخش، پروان پژوه، پاپیروس، پیام مشرق، وستا و ارم استفاده می‎کنند. همچنین، کتابخانة دیجیتالی مانند نورلایب، تبیان، دید که دارای نرم‎افزارهای خود ساخته بودند، جزء جامعه آماری پژوهش هستند. پس از بررسیهای به عمل آمده، تعداد 58 کتابخانة دیجیتالی فعال در ایران در زمان پژوهش (تابستان 1390) شناسایی شد.

 با توجه به هدفهای پژوهش، بهترین راه جمع‎آوری اطلاعات، استفاده از پرسشنامه بود که بر مبنای استانداردISO/IEC 27002 تهیه گردید. پرسشنامه شامل 79 سؤال دو وجهی (یک برای بلی و صفر برای خیر) برای سنجش یازده شاخص امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران بود. این شاخصها عبارتند از: خط‎مشی امنیت، سازماندهی امنیت اطلاعات، مدیریت داراییها، امنیت منابع انسانی، امنیت فیزیکی و محیطی، مدیریت ارتباطات و عملیات، کنترل دسترسی، تهیه، توسعه و نگهداری سیستمهای اطلاعاتی، مدیریت حوادث امنیت اطلاعات، مدیریت تداوم کسب و کار و  انطباق.

اعتبار صوری و محتوایی پرسشنامه پس از بررسی دقیق متخصصان کتابداری و اطلاع‎رسانی و متخصصان و کارشناسان فناوری اطلاعات، تأیید شد. پایایی پرسشنامه نیز با محاسبه آلفای کرونباخ بررسی و با آلفای 92/. تأیید گردید. پرسشنامه‎ها توسط مسئولان فناوری اطلاعات و مدیران کتابخانه‎های دیجیتالی پاسخ داده شدند. (برای اطلاع از شاخصهای مورد بررسی در پژوهش، نمونة پرسشنامه در پیوست آمده است).

برای تعیین سطح امنیت در تحلیل داده‎ها، میانگین پاسخها در بازة صفر تا 1 به سه سطح تقسیم شده است؛ به این ترتیب که میانگین 0 – 34/0 نشانگر سطح ضعیف، 34/0- 67/0 سطح متوسط و 67/0- 1 سطح قوی است. برای آزمون فرضیۀ تفاوت معنادار بین میانگین شاخصهای امنیت کتابخانه‎های دیجیتالی از آنالیز واریانس و برای آزمون فرضیه وجود تفاوت معنادار بین امنیت اطلاعات در کتابخانه‎های دیجیتالی دانشگاهی و غیردانشگاهی، از آزمون t استفاده شد. تحلیل داده‎ها با استفاده از نسخه 16 نرم‎افزاری آماری SPSS انجام گرفت.

یافتههای پژوهش

یافته‎ها در مورد سیستم عامل مورد استفاده در سرور اصلی سایت کتابخانه‎های دیجیتالی ایران نشان داد بیشترین تعداد (4/84%) کتابخانه‎ها از ویندوز و کمترین تعداد (6/15%) از لینوکس استفاده می‎کنند. در بررسی نوع سرور نیز مشخص شد سرور  به صورت اختصاصی با 8/97 % بیشترین فراوانی و سرور به صورت اجاره‎ای با 2/2% کمترین فراوانی را دارد. همچنین، تمام سرورهای کتابخانه‎های دیجیتالی با درصد فراوانی 100 در داخل ایران مستقر بوده، 39 کتابخانه دیجیتالی با درصد فراوانی 7/86 دارای آی‎پی اختصاصی هستند.

برای کسب اطلاعات زمینه‎ای در مورد کتابخانه‎های دیجیتالی ایران، نرم‎افزارهای مورد استفاده در این کتابخانه‎ها نیز مورد پرسش قرار گرفت که یافته‎های مربوط، در جدول 1 نشان داده شده است.

 

جدول 1. توزیع فراوانی نرم‎افزارهای مورد استفاده کتابخانه‎های دیجیتالی

نرمافزار

فراوانی

درصد فراوانی

پیام مشرق

14

1/31

پارس آذرخش

14

1/31

نوسا

5

1/11

پروان پژوه

4

9/8

خود ساخته

4

9/8

پاپیروس

2

4/4

ارم

1

2/2

وستا

1

2/2

کل

45

100

 

جدول 1 نشان می‎دهد نرم‎افزار پارس آذرخش و پیام مشرق بالاترین فراوانی (1/31٪) و نرم افزار ارم و وستا کمترین فراوانی (2/2٪) را دارند.

سؤال اول پژوهش: وضعیت امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران چگونه است؟

 

جدول 2. شاخصهای میانگین و انحراف معیار امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران

شاخصهای آماری

متغیر

میانگین

انحراف معیار

تعداد

امنیت اطلاعات

79/0

165/0

45

 

در جدول 2 شاخصهای میانگین و انحراف معیار امنیت اطلاعات در کتابخانه‎های دیجیتالی نشان داده شده است. میانگین امنیت اطلاعات کل کتابخانه‎های دیجیتالی 79/0 است که در سطح قوی ارزیابی می‎شود.

سؤال دوم پژوهش: آسیب‎پذیرترین نقاط امنیتی در کتابخانه‎های دیجیتالی ایران بر اساس شاخص‎های مورد مطالعه کدامند؟

 

جدول3. میانگین و انحراف معیار شاخصهای امنیت اطلاعات کل کتابخانه‎های دیجیتالی ایران

شاخصها

میانگین

انحراف معیار

امنیت فیزیکی و محیطی

87/0

21/0

مدیریت تداوم کسب و کار

84/0

30/0

مدیریت داراییها

83/0

24/0

مدیریت ارتباطات و عملیات

82/0

20/0

کنترل دسترسی

79/0

18/0

تهیه، توسعه و نگهداری سیستمهای اطلاعاتی

78/0

23/0

انطباق

78/0

25/0

سازماندهی امنیت اطلاعات

71/0

27/0

مدیریت حوادث امنیت اطلاعات

70/0

27/0

خط‎مشی امنیت

63/0

42/0

امنیت منابع انسانی

63/0

30/0

 

در جدول3  مشاهده می‎شود که شاخصهای «خط‎مشی امنیت» با میانگین63/0 و «امنیت منابع انسانی» با میانگین 63/0 پایین‎ترین میانگین را دارند و آسیب‎پذیرترین نقاط امنیتی کتابخانه‎های دیجیتالی ایران هستند.

سؤال سوم پژوهش: رتبه‎بندی کتابخانه‎های دیجیتالی ایران بر حسب امنیت اطلاعات چگونه است؟

 

جدول4. شاخصهای میانگین و انحراف معیار امنیت اطلاعات کتابخانه‎های دیجیتالی ایران به ترتیب نزولی

کتابخانة دیجیتال

میانگین

انحراف معیار

کتابخانة دیجیتال مؤسسه نشر امام خمینی(ره)

1

0

کتابخانه دیجیتال پژوهشگاه نیرو

1

0

کتابخانه دیجیتال فرهنگستان هنر

1

0

کتابخانه دیجیتال علوم انسانی شهرداری تهران

1

0

کتابخانه دیجیتال شرکت برق منطقه‎ای خراسان

1

0

کتابخانه دیجیتال دانشگاه تبریز

1

0

کتابخانه دیجیتال مجلس

99/0

11/0

کتابخانه دیجیتال علوم پزشکی و خدمات بهداشتی درمانی شهید بهشتی

99/0

13/0

کتابخانه دیجیتال شرکت ملی مناطق نفت‌خیز جنوب

99/0

11/0

کتابخانه دیجیتال دانشگاه علوم پزشکی گیلان

97/0

22/0

کتابخانه دیجیتال شهرک علمی و تحقیقاتی اصفهان

96/0

27/0

کتابخانه دیجیتال  مرکز مخابرات ایران

91/0

30/0

کتابخانه دیجیتال مرکز اطلاعات و مدارک علمی ایران (ایران داک)

90/0

26/0

کتابخانه دیجیتال مرکزی تبریز

90/0

38/0

کتابخانه دیجیتال شهرداری تهران (کتابخانه مرکزی شهرداری تهران)

89/0

35/0

کتابخانه دیجیتال دانشگاه امیر‎کبیر

86/0

37/0

کتابخانه دیجیتال دانشگاه علوم پزشکی زنجان

85/0

36/0

کتابخانه دیجیتال دانشگاه علوم پزشکی شهید صدوقی یزد

84/.

43/0

کتابخانه دیجیتال دانشگاه علوم پزشکی تهران

83/0

38/0

کتابخانه دیجیتال شرکت ملی صنایع پتروشیمی تهران

82/0

42/0

کتابخانه دیجیتال پژوهشکده تحقیقات فضایی

82/0

38/0

کتابخانه دیجیتال دانشگاه صنعتی اصفهان

81/0

40/0

کتابخانه دیجیتال ارم

80/.

40/0

کتابخانه دیجیتال کتابخانه ملی ایران

80/0

43/0

کتابخانه دیجیتال دانشگاه علوم پزشکی بیرجند

79/0

42/0

کتابخانه دیجیتال دانشگاه علوم پزشکی شیراز

78/0

44/0

کتابخانه دیجیتال دانشگاه علوم پزشکی و خدمات درمانی ایلام

77/0

42/0

کتابخانه دیجیتال دانشگاه آزاد اسلامی واحد نجف‎آباد

77/0

45/0

کتابخانه دیجیتال دانشگاه یزد

76/0

46/0

کتابخانه دیجیتال دانشگاه صنعتی شریف

75/0

46/0

کتابخانه دیجیتال دانشگاه شیراز

74/0

39/0

کتابخانه دیجیتال آستان قدس احمدی و محمدی (شاه چراغ)

74/0

45/0

کتابخانه دیجیتال تبیان

74/0

47/0

کتابخانه دیجیتال شهرداری اصفهان

71/0

48/0

کتابخانه دیجیتال نور

67/0

50/0

کتابخانه دیجیتال معاونت توسعه و فناوری اطلاعات و تجارت الکترونیکی وزارت بازرگانی

65/0

48/0

کتابخانه دیجیتال مدیریت بحران شهرداری تهران

64/0

49/0

کتابخانه دیجیتال دانشگاه ولی‎عصر رفسنجان

62/0

49/0

کتابخانه دیجیتال دانشگاه ارومیه

60/0

50/0

کتابخانه دیجیتال سازمان بورس و  اوراق بهادار تهران

60/0

49/0

کتابخانه دیجیتال سازمان فرهنگی هنری شهری تهران(کتابخانه عمومی تهران)

59/0

50/0

کتابخانه دیجیتال پردیس علوم دانشگاه تهران

55/0

50/0

کتابخانه دیجیتال موسسه تحقیقات و نشر معارف اهل‎البیت

49/0

50/0

کتابخانه دیجیتال دانشگاه صنعتی جندی شاپور

41/0

50/0

کتابخانه دیجیتال دانشکده کارآفرینی تهران

37/0

49/0

 

چنان‎که در جدول 4 مشاهده می‎شود، کتابخانه‎های دیجیتال مؤسسه نشر امام خمینی، پژوهشگاه نیرو، فرهنگستان هنر، کتابخانه دیجیتال علوم‎انسانی شهرداری تهران، کتابخانه دیجیتال شرکت برق منطقه‎ای خراسان، کتابخانه دیجیتال دانشگاه تبریز با میانگین 1 بالاترین میانگین را داشته، در سطح قوی قرار ارزیابی می‎شوند. کتابخانه دیجیتال دانشکده کارآفرینی تهران با میانگین 37/. دارای پایین‎ترین میانگین است و در سطح متوسط ارزیابی می‎شود.

 

جدول5. توزیع فراوانی سطوح امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران

کتابخانههای دیجیتال

فراوانی

درصد فراوانی

سطح قوی

34

55/75

سطح متوسط

11

46/24

سطح ضعیف

0

0

جمع

45

100

 

جدول 5 نشان می‎دهد  بیشترین درصد (55/75 %) کتابخانه‎های دیجیتالی از نظر امنیت اطلاعات در سطح قوی قرار دارند. سطح امنیت در 46/24 % کتابخانه‎ها متوسط است.

فرضیه اول: بین میانگین شاخصهای امنیت اطلاعات کتابخانه‎های دیجیتالی تفاوت معنا‎داری وجود دارد.

 برای آزمون تفاوت معنادار بین شاخصهای امنیت اطلاعات، از آنالیز واریانس یک راهه در سطح اطمینان 95 % استفاده گردید. نتایج آزمون در جدول 6 نشان داده شده است.

 

جدول6. نتایج آزمون آنالیز واریانس برای مقایسة میانگینهای شاخصهای امنیت اطلاعات کتابخانه‎های دیجیتالی

شاخصها

تعداد

میانگین

انحراف معیار

مقدار آماره f

درجه آزادی

p-value

نتیجه آزمون

خط‎مشی امنیت

43

63/0

42/0

95/3

10

00/0

اختلاف

معنادار

سازماندهی امنیت اطلاعات

44

71/0

27/0

مدیریت داراییها

43

83/0

24/0

امنیت منابع انسانی

45

63/0

30/0

امنیت فیزیکی و محیطی

45

87/0

21/0

مدیریت ارتباطات و عملیات

45

82/0

20/0

کنترل دسترسی

45

79/0

18/0

تهیه، توسعه و نگهداری سیستمهای اطلاعاتی

45

78/0

23/0

مدیریت حوادث امنیت اطلاعات

44

70/0

27/0

مدیریت تداوم کسب و کار  

42

84/0

30/0

انطباق

43

78/0

25/0

 

چنان‎که در جدول 6 مشاهده می‎شود، مقدار سطح معناداری برابر صفر است و با توجه به اینکه این مقدار کمتر از 05/0 است، فرضیة اول پژوهش تأیید می‎شود و تفاوت میانگین در بین شاخصهای مختلف معنادار است. نتایج آزمون تعقیبی توکی نشان داد میانگین شاخص امنیت فیزیکی و محیطی به نحو معناداری بیش از سایر شاخصهاست و کتابخانه‎ها در این شاخص به نحو معناداری قوی‎تر هستند. همچنین، آزمون توکی حاکی از این بود که میانگین شاخص امنیت منابع انسانی به نحو معناداری کمتر از سایر شاخصهاست.

فرضیه دوم: بین کتابخانه‎های دیجیتالی دانشگاهی و غیردانشگاهی برحسب امنیت اطلاعات تفاوت معناداری وجود دارد.

برای آزمون فرضیه دوم، از آزمونt  برای دو نمونة مستقل در سطح اطمینان 95 % استفاده شد. نتایج در جدول 7 نشان داده شده است.

 

جدول7. نتایج آزمونt   برای مقایسه امنیت اطلاعات کتابخانه‎های دیجیتالی دانشگاهی و غیردانشگاهی ایران

متغیر

تعداد

میانگین

انحراف معیار

آمارهt

درجه آزادی

سطح معناداری

کتابخانه‎های دیجیتال دانشگاهی

20

75/0

17/0

46/1-

43

15/0

کتابخانه‎های دیجیتال غیردانشگاهی

25

82/0

15/0

 

چنان‎که در جدول 7 مشاهده می‎شود، با توجه به سطح معناداری که برابر 15/. شده و بیشتر از 05/. می‎باشد، فرض صفر آزمون پذیرفته می‎شود. به این ترتیب، وجود تفاوت معنادار بین دو گروه تأیید نمی‎شود و در نتیجه فرضیه دوم پژوهش رد می‎شود.

بحث و نتیجهگیری

یافته‎های پژوهش مبنی بر وضعیت امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران، نشان داد میانگین امنیت کل کتابخانه‎های دیجیتالی 79/0 است. با توجه به میانگین یادشده، امنیت اطلاعات در کتابخانه‎های دیجیتالی ایران در سطح قوی ارزیابی می‎شود. سایر یافته‎ها حاکی از این بود که آسیب‎پذیرترین نقاط امنیتی در کتابخانه‎های دیجیتالی ایران بر اساس شاخصهای مورد مطالعه، شاخص «خط‎مشی امنیت» با میانگین 63/0 است. وجود خط‎مشی امنیت از مهم‎ترین شاخصهای تعیین کنندة برنامه‎های سازمان برای حفظ امنیت منابع دیجیتالی است. «خط مشی امنیت گامهای لازم برای حفاظت سرمایه‎ها را تعریف می‎کند. نخست، مشخص می‎کند از چه چیزی حفاظت می‎شود و چرا. دوم، مسئولیت مربوط به تأمین این حفاظت را مشخص می‎کند. سوم، زمینه‎ای برای تفسیر و حل مشکلات آتی ارائه می‎دهد» (سادوسکای و دیگران، 1384: 150). با توجه به اهمیت تدوین خط‎مشی امنیتی در کتابخانه‎های دیجیتالی، یافته‎های پژوهش حاضر توجه مسئولان را به این شکاف امنیتی در کتابخانه‎های دیجیتالی ایران جلب می‎کند.

دومین شاخصی که بر اساس یافته‎ها، کمترین میانگین را در کتابخانه‎های دیجیتالی ایران دارد، «امنیت منابع انسانی» با میانگین 63/0 است که پس از شاخص خط‎مشی، آسیب‎پذیرترین نقاط امنیتی کتابخانه‎های دیجیتالی ایران است. یافته‎های این پژوهش با نتایج پژوهش «آرام» (1388)، «محمود‎زاده و راد رجبی» (1384) مبنی بر تعیین عوامل تأثیرگذار بر امنیت اطلاعات همخوانی دارد. در آن پژوهشها نیز، امنیت نیروی انسانی بالاترین تهدید برای امنیت اطلاعات سیستمهای رایانه‎ای بود. امنیت منابع انسانی، شامل تمامی موارد مربوط به کارکنان است. برخی مطالعات نشان داده است بیش از 80% جرایم سنگین رایانه‎ای را افرادی مرتکب می‎شوند که یا از دسترسی قانونی به داده‎ها برخوردارند و یا در گذشتة نزدیک از آن برخوردار بوده‎اند. از همین رو، بخش مهمی از یک طرح امنیتی خوب مربوط به ادارة کارکنان با دسترسیهای طبقه‎بندی شده است (سادوسکای و دیگران، 1384: 159). با توجه به ضعف امنیتی کتابخانه‎های دیجیتالی ایران در رابطه با امنیت نیروی انسانی، لازم است رده‎های مدیریتی کتابخانه‎های دیجیتالی تمهیدات لازم را برای تأمین امنیت اطلاعات از این جنبه اتخاذ نمایند.

رتبه‎بندی کتابخانه‎های دیجیتالی ایران به لحاظ امنیت اطلاعات، نشان داد کتابخانه‎های دیجیتالی مؤسسه نشر امام خمینی(ره)، پژوهشگاه نیرو، فرهنگستان هنر، کتابخانة دیجیتال علوم‎انسانی شهرداری تهران، کتابخانه دیجیتال شرکت برق منطقه‎ای خراسان، کتابخانه دیجیتال دانشگاه تبریز با میانگین 1 از حداکثر میانگین لازم برخوردار بوده، در سطح قوی قرار دارند. کتابخانه دیجیتال دانشکده کارآفرینی تهران با میانگین 37/0 پایین‎ترین میانگین را دارد و در سطح متوسط ارزیابی می‎شود. براساس یافته‎های پژوهش، بیشترین درصد کتابخانه‎های دیجیتالی (55/75 %) در سطح قوی قرار دارند و کتابخانه‎های دیجیتالی در سطح متوسط، 46/24% را تشکیل می‎دهند. با در نظر گرفتن این یافته‎ها و همچنین نتایج پژوهش «کوزما» (2010) مبنی بر نقصهای امنیتی کتابخانه‎های دیجیتالی اروپا، مشاهده می‎شود که کتابخانه‎های دیجیتالی ایران از نظر امنیت اطلاعات در مقایسه با کتابخانه‎های دیجیتالی اروپا وضعیت مناسب‌تری دارند. چنان‎که پیشتر اشاره شد، پژوهش «کوزما» (2010) نشان داد در 25 % کتابخانه‎های دیجیتالی اروپا، مشکلات امنیتی در سطح بحرانی و در 40 % کتابخانه در سطح متوسط بوده است.

بر اساس سایر یافته‎های پژوهش، مشخص شد تفاوت معناداری بین میانگین شاخصهای امنیت اطلاعات کتابخانه‎های دیجیتالی وجود دارد و با توجه به نتایج آزمون تعقیبی توکی، میانگین شاخص «امنیت فیزیکی و محیطی» به نحو معناداری بیشتر از سایر شاخصهاست و کتابخانه‎ها در این شاخص به نحو معناداری قوی‎تر و در شاخص «امنیت منابع انسانی» به نحو معناداری ضعیف‎تر هستند. همچنین، نتایج آزمون t نشان داد تفاوت معناداری بین کتابخانه‎های دیجیتالی دانشگاهی و غیردانشگاهی به لحاظ امنیت اطلاعات وجود ندارد. به نظر می‎رسد سطح دانش در خصوص امنیت اطلاعات محیط دیجیتالی در فضاهای دانشگاهی و غیر دانشگاهی دارای پراکندگی یکسانی است.

پیشنهادهای پژوهش

با توجه به نتایج به‎دست آمده از پژوهش، پیشنهادهایی برای رفع نقایص امنیتی کتابخانه‎های دیجیتالی ایران ارائه می‎شود. یافته‎های پژوهش نشان داد آسیب‎پذیرترین نقاط امنیتی کتابخانه‎های دیجیتالی «خط‎مشی امنیت» و «امنیت نیروی انسانی» است. با توجه به این یافته‎ها پیشنهاد می‎شود:

  1. کتابخانه‎های دیجیتالی سند خط‎مشی امنیت اطلاعات را با ذکر هدفهای بلند مدت، کوتاه مدت و مسئولیتهای هر یک از واحدها و به طور خاص مشاغل مختلف برای رسیدن به هدفها را ابلاغ نموده، با برگزاری جلسات پرسش و پاسخ، کارکنان را نسبت به وظایف خود در قبال اجرای سند خط‎مشی آگاه کنند. از موارد دیگر این که باید بازنگری در شرح وظایف مشاغل بخصوص در زمینه مسئولیتهای امنیتی، صورت گیرد.
  2. منابع انسانی از مهم‎ترین عوامل تأثیرگذار بر امنیت کتابخانه‎های دیجیتالی است، زیرا نیروی انسانی مهم‎ترین نقش را در نحوة استفاده از فناوری ایفا می‎کند. همچنین، خطاهای انسانی از مهم‎ترین عوامل در کاهش امنیت اطلاعات هستند. بدیهی است، دقت در این امر، موجب جلوگیری از بروز مشکلات جبران ناپذیر بسیار زیادی خواهد شد. با توجه به این امر، موارد زیر باید رعایت شود.

-           نقشها و مسئولیتهای امنیتی کارکنان، پیمانکاران و کاربران ثالث بر اساس خط‎مشی امنیت اطلاعات سازمان تعریف و مستندسازی شود.

-      اقدامهای نظارتی در خصوص تأیید پیشینة تمامی نامزدهای استخدامی، پیمانکاران و کاربران ثالث باید بر اساس قوانین، مقررات و معیارهای اخلاقی مربوط و متناسب با الزامهای تجاری، طبقه‎بندی اطلاعاتی که قرار است در دسترس قرار گیرند و ریسکهای شناخته شده‎، انجام شود.

-      کارکنان، پیمانکاران و کاربران ثالث ملزم شوند پیمان حفظ اسرار یا عدم افشای آن را به عنوان بخشی از تعهدات، شرایط و ضوابط قرارداد استخدامی قبول و امضا نمایند.

-      مسئولیتهای کارکنان، پیمانکاران و کاربران ثالث و سازمان در قبال امنیت اطلاعات باید به نحو روشن و دقیق در قرارداد استخدامی تصریح گردد.

-      مدیریت ملزم شود تا از کارکنان، پیمانکاران و کاربران ثالث بخواهد امنیت را بر اساس خط‎مشی‎های تعیین شده و روّیه‎های سازمان به مورد اجرا بگذارد.

-      تمامی کارکنان سازمان و بر حسب مورد پیمانکاران و کاربران ثالث ملزم شوند تا دوره‎های آموزشی و آگاه‎سازی در خصوص خط‎مشیها و روّیه‎های سازمان را در زمینة امنیت اطلاعات بر حسب نوع شغل‎خود طی کنند.

-           در مورد آن دسته از کارکنانی که مرتکب نقض امنیت می‎شوند، وجود یک فرایند تنبیهی رسمی الزامی باشد.

-           مسئولیتها در قبال فسخ استخدام یا تغییر آن باید به صراحت تعیین و واگذار گردد.

-      تمامی کارکنان، پیمانکاران و اشخاص ثالث ملزم باشند به محض فسخ استخدام، قرارداد یا موافقت‎نامه خود، نسبت به عودت داراییهای سازمان که در اختیارشان قرار داشته است، اقدام نمایند.

-      حق دسترسی تمامی کارکنان، پیمانکاران و کاربران ثالث به اطلاعات و مراکز پردازش اطلاعات باید به محض فسخ استخدام، قرارداد یا موافقت‎نامه حذف شده و یا به محض هر‎گونه تغییر، مورد تعدیل قرار گیرد.

پیشنهاد می‎شود مدیران کتابخانه‎های دیجیتالی ایران قبل از هر‎گونه اقدامی، برای توسعة منابع کتابخانه‎های خود برای حصول اطمینان بیشتر از امنیت نرم‎افزارها و سخت‎افزارهای مورد استفاده، با استفاده از تکنیکهای پدافند غیرعامل و با مشارکت تیمهای امنیتی نسبت به طراحی حملات هکری اقدام نموده و با شناسایی حفره‎های امنیتی، تلاش کنند تا آنها را ترمیم نمایند. 



[1]. Karyda.

[2]. Vermeulen & Solms.

[3]. Honan.

[4]. Sharma &Vishwanathan.

[5]. Cheng.

[6]. Fox.

[7]. Ernest & Young.

[8]. Sadowsky.

[9]. Briney.

[10]. Chang & Ho.

[11]. Kuzma.

[12]. Mahabi.

[13]. Tintamusik.

-   آرام، محمدرضا(1388). بررسی و سنجش مؤلفه‎های مؤثر بر مدیریت امنیت اطلاعات در فناوری اطلاعات شرکت گاز پارس جنوبی. پایان‎نامه کارشناسی ارشد، دانشگاه شهید بهشتی.

-   زایلینسکی، کریستوفر(1377). «عصر الکترونیک و فقرای اطلاعاتی: فرصت‎ها و مخاطرات». ترجمه عباس گیلوری. در گزیده مقالات نوزدهمین کنفرانس بین‎المللی اطلاع‎رسانی پیوسته. تهران: مرکز اطلاع‎رسانی و خدمات علمی جهاد سازندگی.

-   زنده دل نوبری، بابک(1389). ارائه مدلی جهت رتبه‎بندی سازمان‎ها بر مبنای اندازه‎گیری و شناسایی میزان بلوغ امنیت اطلاعات در آنها. پایان‎نامه کارشناسی ارشد دانشگاه آزاد اسلامی واحد علوم تحقیقات.

-   س‍ادوس‍ک‍ای، ج‍ورج‎ و دی‍گ‍ران‎(1384). راه‍ن‍م‍ای‎ ام‍ن‍ی‍ت‎ ف‍ن‍اوری‎ اطلاع‍ات‎. ترجمه م‍ه‍دی‎ م‍یردام‍ادی‎، زه‍را ش‍ج‍اع‍ی‎، م‍ح‍م‍دج‍واد ص‍م‍دی‎. ت‍ه‍ران‎: دب‍ی‍رخ‍ان‍ه‎ش‍ورای‎ ع‍ال‍ی‎ اطلاع‎رس‍ان‍ی‎.

-      شارما، آر.کی؛ ویشواناتان، کی.آر(1385). کتابخانه‎های دیجیتالی: توسعه و چالش. ترجمه مریم صابری.فصلنامه کتاب، ش 68.

-   طاهری، مهدی(1386). ارائه چارچوبی برای نقش عوامل انسانی در امنیت سیستم‎های اطلاعاتی. پایان‎نامه کارشناسی ارشد دانشگاه تربیت مدرس، دانشکده علوم انسانی.

-   علیپور حافظی، مهدی و داریوش مطلبی (1382). مجموعه مقالات همایش‎های انجمن کتابداری و اطلاع‎رسانی ایران. ج2.کتابخانه‎های دیجیتالی: مفاهیم و جنبه‎های فنی-اجرایی. تهران: انجمن کتابداری و اطلاع‎رسانی ایران، سازمان اسناد و کتابخانه ملی جمهوری اسلامی ایران.

-      محمودزاده، ابراهیم و مهدی رادرجبی (1385). مدیریت امنیت در سیستم‎های اطلاعاتی. فصلنامه علوم مدیریت ایران، دوره اول، شماره 4.

-      Briney, A. (2001) ‘ Industry Survey’, Information Security, pp. 34-47

-      Chang , Shuchih Ernest; Ho, Chienta Bruce (2006) "Organizational factors to the effectiveness of implementing information security management".

-      Cheng, K. (2005), “Surviving hacker attacks proves that every cloud has a silver lining”, Computers in Libraries, Vol. 25 No. 3, pp. 6-8, 52-6.

-      Fox, R. (2006), “Digital libraries: the systems analysis perspective, Vandals at the gates”, OCLC Systems & Services, Vol. 22 No. 4, pp. 249-55.

-      Honan, B., (2006), IT security-oommoditized, badly. lnfosecurity Today, Vol. 3, Iss: 5, pp. 41.

-       ISO/IEC 27002:2005, Information technology, Security techniques, Code of practice for information security management.

-      Karyda, M., Kiountouzis, E. & Kokolakis, S. (2005). Information systems security policies: a contextual perspective, Computers & Security, 24(3), 246-260.

-      Kuzma, Joanne (2010) "European digital libraries: web security vulnerabilities", Library Hi Tech, Vol. 28 Iss: 3, pp.402 – 413.

-      Mahabi, Victoria(2010). Information Security Awareness: System Administrators and End-User Perspectives at Florida State University. Dissertation for the degree of Doctor of Philosophy  in Library and  Information Studies . the  Florida State University.

-      Tintamusik, Yanarong(2010). Examining the Relationship between Organization Systems and Information Security Awareness. Dissertation for the degree of Doctor Of Business Administration. Northcentral University.

-      Vermeulen, c., Von Solms, R., (2002), the information security management toolbox-taking the pain out of security management, Information management & computer security, 10/3 119-125.

پیوست

پرسشنامة امنیت اطلاعات در کتابخانه‎های دیجیتالی

1. خطمشی امنیت

بلی

خیر

1. آیا سند خط مشی امنیت اطلاعات به طور مناسب، توسط مدیریت تهیه و تأیید گردیده و پس از انتشار به تمام کارکنان دست‎اندر‎کار سایت کتابخانه دیجیتالی ابلاغ شده است؟

 

 

2. آیا خط‎مشی امنیت اطلاعات، به طور منظم بازنگری می‎شود، تا مناسب بودن آن، تضمین گردد؟

 

 

 

2. سازماندهی امنیت اطلاعات

بلی

خیر

3. آیا مدیریت، امنیت را در درون سازمان از طریق جهت‎گیری شفاف، مکلّف کردن به صورت صریح و اعلام مسئولیتهای امنیت اطلاعات، حمایت می‌کند؟

 

 

4. آیا فعالیتهای امنیت اطلاعات، توسط افرادی از بخشهای مختلف سازمان با نقشها و کارکرد‎های شغلی مرتبط، هماهنگ می‎شوند؟

 

 

5. آیا تمامی مسئولیتهای امنیت اطلاعات،  به وضوح تعریف شده‎اند؟

 

 

6. آیا توافقنامه‎های محرمانگی و عدم افشای اطلاعات، ضمانت اجرایی دارند و به طور منظم بازنگری می‎شوند؟

 

 

7. آیا ارتباطات مناسبی با مسئولان مرتبط امنیتی و مدیران سایت برقرار و حفظ می‎شود؟

 

 

8. آیا ارتباطات مناسبی با گروه‎ها یا انجمنهای متخصص و حرفه‎ای در حوزه امنیت اطلاعات برقرار و حفظ می‎شود؟

 

 

9. آیا رویکرد سازمان به مدیریت امنیت اطلاعات و پیاده‎سازی آن، در فاصله‎های زمانی طرح‎ریزی شده بازنگری می‎شود؟

 

 

10. آیا مخاطرات امنیتی ناشی از ایجاد دسترسی راه دور با طرفهای بیرونی، پیش از اجازه دسترسی، شناسایی شده و کنترلهای مناسب، انجام می‎شود؟

 

 

11. آیا توافقنامه‎های مشخصی برای ایجاد امنیت در موارد بهره‎گیری از طرفها، پیمانکاران یا شرکتهای ثالث برای برنامه‎نویسی وجود دارد؟

 

 

 

3. مدیریت داراییها

بلی

خیر

12. آیا تمامی داراییها به وضوح شناسایی شده و سیاهه‎ای از تمام داراییهای مهم، تنظیم و نگهداری می‎شود؟ (شامل سخت‎افزار و نرم‎افزار‎های مورد استفاده مستقر در سازمان یا خارج از آن)

 

 

13. آیا تمامی اطلاعات و داراییهای مرتبط با امکانات پردازش اطلاعات (نظیر سرویس دهنده‎های وب) در تملک بخش معینی از سازمان(همانند واحد فناوری اطلاعات) می‎باشد؟

 

 

14. آیا قواعدی برای استفاده از اطلاعات و نرم‎افزارهای پردازش و به‎روزرسانی اطلاعات، تدوین و پیاده‎سازی شده است؟

 

 

15. آیا اطلاعات با توجه به ارزش آن، الزامهای قانونی، حساسیت و بحرانی بودن برای سازمان، طبقه‎بندی شده‎اند؟

 

 

 

4. امنیت منابع انسانی

بلی

خیر

16. آیا نقشها و مسئولیتهای امنیتی کارکنان، پیمانکاران و کاربران ثالث،  با توجه به خط‎مشی امنیت اطلاعات سازمان، تعریف و مشخص شده است؟

 

 

17. آیا برای تصدیق سوابق تمامی داوطلبان استخدام، پیمانکاران، و کاربران شخص ثالث، بررسیهایی با توجه به قوانین، آئین‎نامه‎ها و اصول اخلاقی مرتبط، و متناسب با الزامهای کسب و کار، طبقه‎بندی اطلاعاتی که در دسترس قرار می‎گیرد و مخاطرات دیده شده، انجام می‎شود؟

 

 

18. آیا کارکنان، پیمانکاران و کاربران شخص ثالث، برای انجام امور، توافقنامه‎های امنیتی مشخصی را قبول و امضا می‎کنند؟

 

 

19. آیا تمامی کارکنان سازمان و در صورت لزوم، پیمانکاران و کاربران ثالث، در خصوص امنیت اطلاعات به صورت مناسب آموزش می‎بینند و آگاه‎سازی در برابر مخاطرات صورت می‎پذیرد؟

 

 

20. آیا یک فرایند انضباطی رسمی، برای کارکنانی که مرتکب نقض امنیتی می‎شوند، وجود دارد؟

 

 

21. آیا دسترسی تمامی کارکنان، پیمانکاران و کاربران ثالث به اطلاعات و امکانات پردازش اطلاعات، به محض خاتمه خدمت، قرارداد یا تغییر شغل، حذف یا  بازنگری می‎شود؟

 

 

 

5. امنیت فیزیکی و محیطی

بلی

خیر

22. آیا نواحی امن، به منظور حصول اطمینان از اینکه فقط کارکنان مجاز، اجازه دسترسی دارند، توسط کنترلهای وردی مناسب، حفاظت می‎شوند؟

 

 

23. آیا برای مقابله با خسارت ناشی از آتش، سیل، زمین لرزه، انفجار، آشوب داخلی، و شکلهای دیگری از حوادث طبیعی یا مصنوعی، حفاظت فیزیکی طراحی  و به کار گرفته شده است؟

 

 

24. آیا تجهیزات در برابر قطع برق و سایر اختلالهای  ناشی از نقصهای امکانات پشتیبانی،  محافظت می‎شوند؟

 

 

25. آیا تجهیزات به منظور حصول اطمینان از تداوم دسترس‎پذیری و یکپارچگی‎شان، به درستی نگهداری می‎شوند؟

 

 

 

6. مدیریت ارتباطات و عملیات

بلی

خیر

26. آیا تغییر در امکانات و سیستمهای پردازش اطلاعات به لحاظ سخت‎افزاری و نرم‎افزاری تحت کنترل می‎باشد؟

 

 

27. آیا به منظور کاهش فرصتهای دستکاری غیرعمد یا غیرمجاز، یا استفاده نابجا، وظایف و حدود مسئولیت‎ها، تفکیک شده است؟

 

 

28. آیا خدمات، گزارشها و سوابق تهیه شده توسط پیمانکاران و اشخاص ثالث، به صورت قاعده‎مند پایش، بازنگری و نگهداری می‎شوند؟

 

 

29. آیا پیش از تهیه نرم‎افزار و سخت‎افزار جدیدی که به منظور ارتقای سیستم تهیه می‎شود، نظیر سرویس دهنده‎ها و نرم‎افزارهای تحت وب، برای اطمینان از صحت و کارایی، آزمایشهای مناسب انجام می‎پذیرند؟

 

 

30. آیا کنترلهای لازم برای تشخیص، پیشگیری و ترمیم به منظور حفاظت در برابر کدهای مخرّب رایانه‎ای و ویروسها، انجام می‎شود؟

 

 

31. آیا نسخ پشتیبان از اطلاعات و نرم‎افزارها، با توجه به خط‎مشی توافق شده، به صورت منظم تهیه می‎شوند؟

 

 

32. آیا برای مدیریت محیطهای ذخیره‎سازی قابل جابجایی همانند فلش دیسک و هارد اکسترنال و ...، روشهای اجرایی وجود دارد؟

 

 

33. آیا روشهای اجرایی جابجایی و ذخیره‎سازی اطلاعات، برای حفاظت این اطلاعات در برابر افشای غیرمجاز یا استفاده نابجا وجود دارد؟

 

 

34. آیا مستندات سیستم در برابر دسترسی غیرمجاز حفاظت می‎شوند؟

 

 

35. آیا برای تبادل اطلاعات و نرم‎افزار بین سازمان و طرفهای بیرونی، توافق‎نامه‎هایی ایجاد شده است؟

 

 

36. آیا اطلاعات انتقالی، به منظور پیشگیری از انتقال ناقص، مسیر‎یابی اشتباه، تغییر یافتن غیر مجاز پیغام، افشای غیر مجاز، بازگرداندن یا تکرار غیر مجاز پیغام حفاظت می‎شوند؟

 

 

37. آیا سوابق فعالیتهای کاربران، برای یک بازة زمانی توافق شده نگهداری می‎شوند تا در رسیدگیهای آتی و پایش کنترل دسترسی کمک نمایند؟

 

 

38. آیا وقایع خرابیها ثبت، تحلیل، و اقدام مناسبی انجام می‎شود؟

 

 

39. آیا ساعتهای تمامی سیستمهای پردازش اطلاعات کاربران و سرورها، با یک منبع زمانیِ توافق شده همزمان می‎شوند؟

 

 

 

7. کنترل دسترسی

بلی

خیر

40. آیا یک خط‎مشی کنترل دسترسی با توجه به شرایط کار و الزامهای امنیتی در خصوص دسترسی وجود دارد؟

 

 

41. آیا برای اعطا یا لغو دسترسی به سیستمها و خدمات اطلاعاتی،  یک روش اجرایی رسمی ثبت و حذف کاربر وجود دارد؟

 

 

42. آیا تخصیص و به کارگیری اختیارات ویژه، محدود و کنترل شده است؟

 

 

43. آیا تخصیص کلمات عبور، از طریق یک فرایند مدیریتی رسمی کنترل می‎شود؟

 

 

44. آیا مدیریت با استفاده از یک فرایند رسمی، حقوق دسترسی کاربران را در فاصله‎های زمانی منظم، بازنگری می‎کند؟

 

 

45. آیا کاربران در انتخاب و به کارگیری کلمه عبور، به پیروی از شیوه‎های امنیتی صحیح ملزم می‎شوند؟

 

 

46. آیا کاربران تنها به خدماتی که مشخصا استفاده از آنها برایشان مجاز شده، دسترسی دارند؟

 

 

47. آیا برای کنترل دسترسی کاربران راه دور، روشهای مناسب تصدیق هویت به کار گرفته می‎شود؟

 

 

48. آیا دسترسی فیزیکی و منطقی به درگاه‎های عیب‎یابی و پیکربندی، تحت کنترل است؟

 

 

49. آیا گروه‎های کاربری و سیستمهای اطلاعاتی، در شبکه با دسترسی تفکیک شده مشخص شده‎اند؟

 

 

50. آیا تمامی کاربران یک شناسه یکتا (شناسه کاربر) برای استفاده شخصی خودشان دارند و یک فن مناسب تصدیق هویت، به منظور اثبات هویت ادعا شده یک کاربر، انتخاب می‎شود؟

 

 

51. آیا سیستمهای مدیریت کلمات عبور، تعاملی بوده و کیفیت کلمات عبور را تضمین می‎نماید؟

 

 

52. آیا استفاده از برنامه‎های کمکی سیستم که ممکن است قادر به ابطال کنترلهای سیستم و برنامه کاربردی باشند، محدود و به شدت کنترل می‎شوند؟

 

 

53. آیا لایه‎های ارتباطی غیرفعال باید پس از یک بازة زمانی تعریف شده برای غیرفعال بودن، بسته و قطع می‎شوند؟

 

 

54. آیا به منظور فراهم‎آوری امنیت بیشتر برای برنامه‎های کاربردی پرمخاطره، محدودیتهایی در زمانهای اتصال اعمال می‎گردد؟

 

 

55. آیا مطابق با خط‎مشی کنترل دسترسی تعریف شده، دسترسی کاربران و کارکنان پشتیبانی کننده به اطلاعات و کارکردهای سیستم کاربردی، محدود می‎شود؟

 

 

56. آیا برای فعالیتهای کار از راه دور، خط‎مشی، طرحهای عملیاتی و روشهای اجرایی، ایجاد و پیاده‌سازی می‎شوند؟

 

 

57. آیا از آی‎پی اختصاصی برای دسترسی به سرویس دهنده استفاده می‎شود؟

 

 

58. آیا از پروتکلهای امن دارای مجوز برای ورود به محیط مدیریت سایت و سرور استفاده می‎شود؟

 

 

59. آیا پورتهای استاندارد و شناخته شده به منظور امنیت انتقال اطلاعات بر روی سرور، با پورتهای دیگر جایگزین شده‎اند؟

 

 

 

8. تهیه، توسعه و نگهداری سیستمهای اطلاعاتی

بلی

خیر

60.  آیا به منظور تشخیص هر نوع خرابی اطلاعات ناشی از خطاهای پردازشی یا اقدامهای عمدی، در برنامه‎های کاربردی، بررسیهایی صورت می‎پذیرد؟

 

 

61. آیا برای حفاظت از اطلاعات، یک خط‎مشی استفاده از کنترلهای رمز‎نگاری، ایجاد و پیاده‎سازی شده است؟

 

 

62. آیا به منظور پشتیبانی استفاده سازمان از فنون رمزنگاری، یک سیستم مدیریت کلید ایجاد شده است؟

 

 

63. آیا به منظور کنترل نصب نرم‎افزار بر روی سیستمهای عملیاتی و سرویس دهنده‎ها، روشهای اجرایی ایجاد شده است؟

 

 

64. آیا دسترسی به کد منبع  برنامه (source)، محدود شده است؟

 

 

65. آیا توسعة نرم‎افزارهای برون سپاری شده توسط سازمان، نظارت و پایش می‎شود؟

 

 

 

9 . مدیریت حوادث امنیت اطلاعات

بلی

خیر

66. آیا رویدادهای امنیت اطلاعات در کوتاه‎ترین زمان ممکن، از طریق مجاری مدیریتی مناسب گزارش می‎شود؟

 

 

67. آیا تمامی کارکنان، پیمانکاران و کاربران شخص ثالث سیستمها و خدمات اطلاعاتی، نسبت به یادداشت و گزارش‎دهی هر ضعف امنیتی مشاهده شده یا مورد سوء ظن در سیستمها یا خدمات، ملزم شده‎اند؟

 

 

68. آیا به منظور حصول اطمینان از یک پاسخ سریع، مؤثر و منظم به حوادث امنیت اطلاعات، مسئولیتهای مدیریتی و روشهای اجرایی ایجاد شده است؟

 

 

69. آیا برای اینکه نوع، حجم و هزینه‎های حوادث امنیتی، قابل اندازه‎گیری و پایش باشند، ساز و کارهای لازم ایجاد شده است؟

 

 

 

70. آیا هنگامی که پیگرد علیه یک فرد یا سازمان، پس از یک حادثه امنیت اطلاعات، منجر به اقدام قانونی (اعم از مدنی یا جنایی) می‎شود، شواهد منطبق با قواعد اقامة شواهد در حوزه (ها)ی قضایی مرتبط، گردآوری، نگهداری و ارائه می‎شوند؟

 

 

 

71. آیا آپتایم سرورها به صورت مستمر کنترل و بازبینی می‎شوند؟

 

 

 

10. مدیریت تداوم کسب و کار

بلی

خیر

72. آیا وقایعی که می‎توانند موجب وقفه در فرایندهای کسب و کار شوند، با توجه به احتمال بروز و آسیب ناشی از چنین وقفه‎هایی و پیامدهای آنها بر امنیت اطلاعات شناسایی می‎شوند؟

 

 

73. آیا در پی ایجاد وقفه یا بروز نقص در فرایندهای کار، به منظور نگهداری یا از سرگیری عملیات و اطمینان از دسترس‎پذیری اطلاعات در سطح و مقیاسهای زمانی مورد نیاز، طرحهایی ایجاد و پیاده‎سازی می‎شوند؟

 

 

 

11. انطباق

بلی

خیر

74. آیا سوابق مهم، با توجه به مقررات، الزامهای آئین نامه‎ای، قراردادی و کسب و کار، در برابر گم شدن، تخریب و تحریف، محافظت می‎شوند؟

 

 

75. آیا حفاظت داده‎ها و حریم خصوصی آن‎گونه که در قوانین و آئین‎نامه‎های مرتبط، و در صورت قابلیت اعمال، شرایط قراردادی، الزام شده، تضمین می‎شود؟

 

 

76. آیا کاربران از به کارگیری امکانات پردازش اطلاعات برای مقاصد غیرمجاز بازداشته می‎شوند؟

 

 

77. آیا کنترلهای رمزنگاری در انطباق با تمامی توافقنامه‎ها، قوانین و آئین‎نامه‎های مرتبط، به کار گرفته می‎شود؟

 

 

78. آیا برای حصول انطباق با خط‎مشی‎ها و استانداردهای امنیتی، مدیران از اینکه تمامی روشهای اجرایی امنیتی، در حیطه مسئولیت‎شان، به درستی اجرا می‎شوند، اطمینان حاصل می‌نمایند؟

 

 

79. آیا به منظور انطباق با استاندارد‎های پیاده‎سازی امنیت، سیستمهای اطلاعاتی به طور منظم بررسی می‎شود؟