نوع مقاله : مقاله پژوهشی
نویسندگان
1 مربی، صنایع، دانشگاه علوم پزشکی اصفهان، اصفهان، ایران
2 کارشناس، فناوری اطلاعات سلامت، دانشگاه علوم پزشکی اصفهان، اصفهان، ایران
چکیده
مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC 27001 نموده است. کسب تأییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب موجود در بخش ها و فرآیندهای اطلاعاتی، باعث افزایش اعتبار سازمان در محیط رقابتی و ایجاد مزیت رقابتی می گردد. هدف از این پژوهش ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001 در سال 1390 خورشیدی بوده است.روش بررسی: این پژوهش کاربردی و از دسته مطالعات توصیفی-کیفی است. جامعه ی پژوهش کلیه ی بخش های فناوری اطلاعات دانشگاه علوم پزشکی اصفهان، شامل مراکز کامپیوتر دانشکده ها (9 مرکز)، بیمارستان ها (13 مرکز) و مرکز آمار و اطلاع رسانی (جمعا 23 مرکز) در سال 1390 خورشیدی، می باشد. ابزار گردآوری اطلاعات در این پژوهش استاندارد ISO/IEC 27001: 2005 می باشد که در قالب چک لیست بین المللی ارائه شده است. چک لیست مورد استفاده دارای 11 بخش اصلی است، که هر کدام در برگیرنده ی چندین بخش فرعی و سؤال می باشد. داده ها از طریق مصاحبه و همچنین مشاهده و مستندات پژوهشگران، گردآوری و به کمک نرم افزار2010 Excel تجزیه و تحلیل گردید. یافته ها: نتایج ممیزی مرکز آمار و اطلاع رسانی دانشگاه علوم پزشکی اصفهان نشان می دهد که این سازمان در حیطه های اصلی استاندارد که عبارتند از سیاست امنیتی، تشکیلات امنیت اطلاعات، مدیریت سرمایه، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات ها و ارتباطات، کنترل دسترسی، بکارگیری، توسعه و نگهداری از سیستم های اطلاعاتی، مدیریت رویداد امنیت اطلاعات، مدیریت استمرار کسب و کار و تطابق توانسته است به ترتیب 31، 40، 28، 65، 73، 54، 54، 44، 58، 38 و 54 درصد از موارد مورد نظر را اجرایی نماید.نتیجه گیری: با توجه به اهمیت استاندارد جهانی ISO/IEC 27001 در استقرار فرآیندهای مبتنی بر امنیت اطلاعات و حفظ محرمانگی، یکپارچگی و دسترس پذیری، سازمان می بایستی تلاش بیشتری را نسبت به بکارگیری آن در فرآیندهای خود معطوف دارد. نتایج نشان دهنده ی این موضوع هستند که جز در حیطه های امنیت منابع انسانی و همچنین امنیت محیطی و فیزیکی، سازمان عملکرد خوبی در قبال مدیریت امنیت اطلاعات در فرآیندهای داخلی خود نداشته است.
کلیدواژهها
عنوان مقاله [English]
Evaluation of Information Management Systems in Isfahan University of Medical Science by ISO/IEC 27001 Standard
نویسندگان [English]
- Rouhollah Sheikh Abumasoudi 1
- Sahar Koohi Habibi 2
- Maryam Ataei 2
- Nazila Esmaeili 2
1 Instructor, Industrial engineering, Isfahan University of Medical sciences, Isfahan, Iran.
2 BSc, Health Information Technology, Isfahan University of Medical sciences, Isfahan, Iran
چکیده [English]
Introduction: considering the information threats and the need to procedures for develop and improve security and confidentiality, international standard organization (ISO) established information security standard ISO/IEC 27001. Getting ISO/IEC 27001 standard certificate helps the organization to identify the problems and defeats in its departments and processes, in addition to promoting organization’s competitive position and giving the organization the competitive advantage that it needs. The goal of this study is to evaluate information management systems in Isfahan University of Medical Science using ISO/IEC 27001 standard.Methods: This applied research is a descriptive study. Research community is all departments of information technology at Isfahan University of Medical Science, computer centers of faculties and hospitals, in 2011. In this research we used ISO/IEC 27001:2005 international checklist as a tool for collecting the information. The checklist includes 11 primary parts and each part includes several additional parts and questions. The information was gathered through interviewing, observation and documents of researchers and was analyzed by Excel 2010.Results: the assessment results indicates that in standard main parts including security policy, organization of information security, asset management, human resources security, physical and environmental security, communications and operations management, access control, information system acquisitions, development and maintenance, information security incident management, business continuity management and compliance, the organizations implemented 31, 40, 28, 65, 73, 54, 54, 44, 58, 38 and 54 percent of the requirements.Conclusion: considering the importance of developing information security management in organizations that deliver information technology services and also the importance of international standard ISO/IEC 27001 in establishing the organization’s processes based on information security and confidentiality protection, integrity and accessibility, the organization should put more effort into implementing this standard in its processes. The results indicate that except for the human resources security and physical and environmental security areas, the organization didn’t develop information security management requirements properly in its internal processes.
کلیدواژهها [English]
- Evaluation
- Management Information Systems
- Standards