مدیریت امنیت اطلاعات mis

[Managerr 1616]

مدیریت امنیت اطلاعات

 

مفاهیم سیستمها

 

سیستم، گروهی از عناصر می باشد كه به خاطر خواسته مشترك رسیدن به یك هدف با هم تركیب شوند (Mcleod 1998,12) .مثلاً دریك مركز اطلاعاتی، منابع انسانی، رایانه‌ای واطلاعاتی برای رسیدن به هدف مشترك كه همان ارائه اطلاعات به كاركنان یا مدیران آن موسسه می باشد باهم تركیب می شوند. درهرسیستمی پنج عنصر درونداد، برونداد، تبدیل، مكانیسم كنترل ودرنهایت اهداف وجود دارند. بطوریكه حركت سیستم بطوری است كه درونداد به برونداد، تبدیل می‌شود. دراین میان مكانیسم كنترل، فرایند تبدیل رابرای اطمینان از رسیدن به اهداف سیستم، زیرنظر قرار می دهد. مكانیسم كنترل توسط حلقه بازخود به جریان منابع متصل می شود. بطوریكه حلقه بازخورد اطلاعات رااز برونداد سیستم كسب می كند وآن رابرای مكانیسم كنترل قابل دسترسی قرار می دهد. مكانیسم كنترل، علائم بازخورد را با اهداف تطبیق داده ومنجر به علائمی به عنصر دررونداد می شود تا وقتی كه سیستم لازم است عملیاتش راتغییر دهد (Mcleod l998,12). وقتی سیستم ما یك مركز اطلاعاتی چون كتابخانه می باشد دروندادها، كتابها، مجلات، منابع الكترونیك و….می باشند وفرایند خدمات فنی، منابع كتابخانه ای مذكور را به برونداد كه همان موادقابل دسترسی برای ارائه خدمات بهتر وكارآمدتر به مراجعان وكاربران می باشد، تبدیل می كند .مكانیسم كنترل دراینجا رئیس یا شخصی است كه آن ارتباط میان این مراكز خدمات فنی ومجموعه سازی و خدمات عمومی را به عهده دارد وحلقه بازخورد دراینجا ارتباطات وروابطی است كه شخص رئیس رابا قسمتهای مختلف كتابخانه مذكور مرتبط می كند.

هر سیستمی می تواند عملیات خود را كنترل كند. یك سیستم بدون مكانیسم كنترل، حلقه بازخورد وعناصر اهداف یك سیستم حلقه بازنامیده می‌شود. یك سیستم با سه عنصر كنترل (اهداف، مكانیسم كنترل وحلقه بازخورد) یك سیستم حلقه بسته نامیده می شود (Mcleod 1998,12-13) وهمانطوركه می دانیم حلقه‌ای كه بازباشد، حلقه نیست. حال سیستم ها رااز جهت ارتباط با محیط پیرامون خود به دودسته تقسیم می كنند: سیستمی كه با محیط پیرامون خود ارتباط داشته باشد را سیستم باز گفته وسیستمی كه با محیط پیرامون خودارتباط نداشته باشد یك سیستم بسته است. البته قابل ذكراست كه سیستم كاملاً بسته وجود ندارد. یك زیرسیستم بطور ساده، سیستمی درون سیستم دیگر می باشد. مثلاً دریك اتومبیل یك سیستم كلی وجود داردبنام اتومبیل وچندین سیستم فرعی وشاید درون آن سیستم های فرعی، سیستم های فرعی تری وجودداشته باشند مثلاً موتور خودرو یك سیستم دیگر است كه درون آن هم سیستم دیگری بنام كاربراتور قرار دارد. وقتی كه یك سیستمی، جزء سیستم بزرگتر می باشد، سیستم بزرگتر سوپرسیستم یا فوق سیستم نامیده می شود. برای مثال سیستم دولتی یك شهر یك سیستم است، امادرعین حال قسمتی ازیك سیستم بزرگتر بنام سیستم دولتی یك استان یا ایالت می باشد كه آن هم خود یك زیرسیستم دولت ملی می باشد. یك شركت تجاری یك سیستم فیزیكی می باشد. این شركت ازمنابع فیزیكی تشكیل یافته است. یك سیستم ادراكی، سیستمی است كه از منابع ادراكی (فكری) چون اطلاعات وداده ها برای نشان دادن یك سیستم فیزیكی استفاده می كند. یك سیستم ادراكی عموماً یك تصویر ذهنی درذهن مدیر می باشد مانند تصاویر یا خطوطی كه برروی یك برگه كاغذ یا درشكل الكترونیكی ذخیره شده دررایانه (Mcleod 1998,23-24) .

 

 

روش سیستم ها ودیدگاه سیستمی

 

بطوركلی هرموسسه ای برای تداوم جریان كاری خود نیازبه یك دید سیستمی دارد. دیدسیستمی كه همه بخش های درونداد وبرونداد وفرآیند تبدیل را ازطریق مكانیسم كنترل وحلقه بازخورد ، زیرنظرداشته ویك نوع یكپارچگی درتصمیم‌گیری، كه لازمه موفقیت یك مؤسسه می باشد، بوجود می آورد كه اثرات هرتصمیم رادردیگر بخش های به ظاهر غیرمرتبط هم درنظرداشته باشد. افراد ماهر درحل مسائل كسانی هستند كه محیط خودرا شناخته وسیستم های موثر جمع آوری اطلاعات رابوجود آورند آنان لزوم معیارهای عملكرد وشبكه های ارتباطی خوب را با كارمندان خودتشخیص داده اند. تمام اینها اجزاء پذیرش یك تفكرسیستمی است . اصطلاح مفهوم سیستمی برای نشان دادن این دیدگاه استفاده می شود. (مك لوید 1378، 136).

حل كنندگان مسائل بازرگانی جزواولین كسانی نبودند كه به بررسی فرآیند حل مسأله پرداختند. این افتخار به دانشمندان علوم فیزیكی چون فیزیك‌دانان وشیمی‌دانان ودانشمند علوم رفتاری چون روانشناسان وجامعه شناسان باز می گردد. این دانشمندان حل نمودن مسأله رابه عنوان ابزاری جهت انجام آزمایشات كنترل شده مطالعه كردند (مك لوید 1378،200). مدیران برای حل مسائل مربوطه به موسسات نیازمند نوع نگرش ودیده سیستمی می باشند كه به روش سیستمی مشهوراست دراین روش اولین اقدام مدیردرشكل گرفتن موسسه به عنوان یك سیستم می باشد درمرحله دوم باید ازآنجا كه هرسیستمی با محیط خود ارتباط دارد، محیط موسسه درك شود. درمرحله سوم سیستمهای فرعی وزیرسیستمهای موسسه باید شناسایی شوند بعدازاین مراحل یافاز تجزیه وتحلیل مسأله می رسیم یعنی درمراحل قبلی شناخت كلی وداده های موردنیاز به دست آمد وهرحال باید آنها راپردازش كرد. اولین مرحله از این فاز گذراز سیستم به سطح زیرسیستم می باشد. دومین مرحله تحلیل ترتیبی اجزاء سیستم می باشد وحال به سومین فاز یعنی فاز طراحی وتركیب می رسیم. اولین مرحله این فاز شناسایی راه‌حل های گوناگون، دومین مرحله ارزیابی راه حل های شناخته شده، سومین مرحله انتخاب بهترین راه حل، مرحله بعدی اجرای راه حل وآخرین مرحله هم پیگیری جهت حصول اطمینان از تاثیر گذاری راه حل می باشد كه همان مكانیسم كنترل در روش سیستمی می باشد. متخصصان مدیریت اغلب معتقدند كه اگریك مدیرسازمان خودرابه عنوان یك سیستم درنظرگیرد، مكانیسم حل مسأله آنها آسانتر وكارآمدتر خواهدبود (Mcleod1998,11). باید متذكر شد كه ایده مشاهده هرچیری به عنوان یك سیستم، منحصر به اقتصاد نیست. درواقع یك نهضتی برای استفاده از مفهوم سیستم به عنوان یك وسیله فهم بهتر هرپدیده ای بوجودآمده است. این ایده اولین باردرسال 1937 توسط لودویگ وان برتالانفی( Ludwig von Bertallanffy) یك زیست شناس آلمانی ارائه شد. او این روش جدید راكه اشاره به فرمالیته كردن اصولی كه درسیستم ها عموماً بكارمی روند ،چه ماهیت عناصر شكل دهنده یا روابط یا نیروهای بین آنها، تئوری عمومی سیستم ها، نامگذاری كرد. بعدها درسال 1956 كنث بولدینق (Kenneth boulding) تئوری عمومی سیستم‌ها را به یك روش دیگر ارائه كرد. بولدینق دورویكرد درتوصیف تئوری عمومی سیستم ها درنظرگرفت(Mcleod1998,152).حاصل نگرش سیستمی استفاده از مدلهابرای توصیف پدیده هامی باشد. یك مدل چكیده چیزی است كه یك موجود (entity) نامیده می شود. چهارنوع مدل وجوددارند. فیزیكی، داستان وار، گرافیكی وریاضی، همه این مدلها به كاربر اجازه فهم بهتر وارتباط برقرار كردن با «موجود» رامی دهد، كه ازاین طریق ،دیگر عناصرهم درك می شوند. یك مدل عمومی سیستم های شركت می تواند برای تحلیل هرنوع سازمانی بكاررود، اما نمی‌توان انتظارداشت كه یك مدل برای یك سازمان خاصی ساخته شود. ارزش واقعی مدل عمومی سیستم ها، وقتی كه فردتازه فارغ التحصیل شده وكارش را شروع كند، آشكار می شود. مدل به فردبرای تنظیم شركتش كمك خواهد نمود. درآغاز، هرچیزی تازه خواهدبود:چهره های جدید، تسهیلات جدید، واژگان (ترمینولوژی) جدید، هیچ فرد را شگفت زده نخواهد كرد،به این علت كه مدل یك تصویر ذهنی ازآنچه مورد انتظاراست رابرای فرد، فراهم خواهدكرد (Mcleod1998,155-154). باید به یادداشته باشیم كه بهترین سیستم ها درصورتیكه كاربران آن را بكارنبرند توفیقی نخواهد داشت. وامروز سیستم هاومدلها با ابزارهای وسیستم های رایانه‌ای طرح ریزی شده وبه ندرت ازروشهای دستی برای یك سیستم یا مدل استفاده می‌شود.

[Managerr 1616]

چرخه حیات سیستم

 

هرزیرسیستمی در سیستم‌های های اطلاعاتی رایانه‌محور مانند یك ارگانیسم زنده می باشد:آن متولد می شود، رشدمی كند، تا به بلوغ می رسد، عمل می كند ونهایت می میرد. این فرآیند تحول چرخه حیات سیستم[2] (SLC) نامیده می‌شود وشامل مراحل ذیل می باشد: برنامه ریزی، تحلیل، طراحی، اجرا، به كاربردن.دوره حیات یك سیستم مستلزم گذراز مراحل استانداردی است كه هریك به فعالیتهای مدیریتی نیازدارد. سیستم ممكن است به دلایل فنی یا سایر اشتباهات یاعدم مطابقت با تغییر محیط كمترمفید وموثر واقع شود. همچنین احتمال دارد زمانی كه برای یك سیستم جدید برنامه ریزی می شود، نقایص زیادترگردد. مرحله نهایی دوره حیات یك سیستم، جایگزینی آن است. طول حیات هریك ازاین مراحل درسیستم ها متفاوت است (رولی 1380،9-198). البته قابل ذكراست چون كه امروزه اكثرسیستم ها بصورت رایانه‌ای طرح ریزی می شوند ورشد رایانه وفن‌آوریها واطلاعات وارتباطات زیاداست دوره حیات سیستمهای رایانه‌ای نسبتاً كوتاه می باشد. اصل اساسی تجزیه وتحلیل یك سیستم وطراحی، عبارت است ازتشخیص نیازیك سیستم به تجدید نظرویا جانشینی آن واصل دوم سلسله مراتب واولویت وآمادگی جانشین سازی سیستم قبلی است (مومنی1370 ،313). امروز برای نشان دادن چرخه حیات یك سیستم ازمنحنی ها استفاده می كنند وبه آن منحنی عمومی حیات یك سیستم می گویند این مدل دارای چهارجزء ومرحله متفاوت است كه دركارآیی هرسیستمی تأثیر بسزایی دارد:1-بسط وگسترش (development) 2-رشد (growth) 3-اشباع(Saturation) 4-استهلاك (deterbation) (مومنی 72-314)

 

 

اطلاعات

 

برای فهم واقعی معنی اطلاعات وعدم اختلاط آن باداده ها ماابتدا تعریفی ازاین دوراارائه می نماییم:داده ها شامل واقعیتها واشكالی هستند كه برای كاربر، بی‌معنی می باشند. وقتی كه این داده ها پردازش شدند تبدیل به اطلاعات می شوند. پس اطلاعات، داده های پردازش شده یا داده هایی با معنی می باشند. تبدیل داده ها به اطلاعات توسط یك پردازنده اطلاعات انجام می شود. پردازنده اطلاعات یكی از عناصر كلیدی سیستم ادراكی است. پردازنده اطلاعات می تواند شامل عناصر رایانه‌ای، عناصر غیررایانه‌ای یا تركیبی ازآن دوباشد (Mcleod1998,15-16). اطلاعات درسیستم های سازمانی مختلط انسان وماشین ازمنابع زیرتغذیه می شود:1-دستیابی اطلاعات محیط عملكرد مدیریت2-روشهای ذخیره اطلاعات جهت عملكرد سیستم‌های های عامل3-روشهای انتقال اطلاعات ونحوه ایجاد ارتباط وذخیره‌سازی وبازیابی .

امروزه اطلاعات برگ‌برنده شركتهای بزرگ تجاری می باشد. ازآنجا كه گردآوری اطلاعات به روش دستی ومعمولی برای شركتهای چتد ملیتی بزرگ غیرممكن می باشد پس از آنها به سیستم های اطلاعاتی برای پركردن این خلاء روی آورده اند. اطلاعات لازمه تصمیم گیری است وامروزه پدیده ای چون انفجار اطلاعات ،آلودگی اطلاعات وآنارشی اطلاعات مطرح است كه لازمه استفاده مفیداز اطلاعات دراین آشفته بازار وجود سیستم های اطلاعاتی یكپارچه ومنسجم برای تنظیم ومنظم كردن اطلاعات برای استفاده كاوشگران اطلاعات می باشد. مدیران، همچنین به یكی از دوسبك متفاوت استفاده از اطلاعات به عنوان راههایی برای استفاده از اطلاعات برای حل مشكل استفاده می كنند. سبك سیستماتیك (systematic): مدیرتوجه خاصی برای پیگیری روش از پیش توصیه شده حل مشكل ،مانند روش سیستمها دارد. سبك حسی (intuitive) مدیر به هیچ روش قطعی توجهی نداشته اما روشی رابرای وضعیت خاص، تغییر می دهد (Mcleod 1998,179). ازآنجا كه نیاز مادر اختراع است ابتداباید نیازهای اطلاعاتی سازمان یا موسسه رایافته سپس به فراهم آوری وجمع آوری اطلاعات بپردازیم. مدیرآشنابه اطلاعات می داند كه اطلاعات باید قبل از استفاده تأیید شود، یعنی درستی ودقت آن كنترل شود. اطلاعات به صرف اینكه بوسیله رایانه چاپ شده است درست نیست. آشنایی یك مدیر به اطلاعات ودانستن ارزش اطلاعات درحل مسأله باعث تشویق مدیران درتقسیم اطلاعات با دیگران می شود زمانی كه مدیری دارای اطلاعات با ارزش برای دیگران می باشد این اطلاعات باید منتقل شود. آشنایی با اطلاعات درنهایت منجر به استفاده ازاطلاعات درحل مسائل است. دانش اطلاعات ماورای دانش رایانه‌ای واستفاده ازاطلاعات ایجاد شده ازطریق رایانه است (مك لوید 1378،34).

افزونگی بطور اجمال عبارت است از اطلاعات اضافی كه درمورد داده ها وجود دارد، لیكن افزونگی درفرایند ارتباطات مانعی درمقابل بروز خطاست. یك نكته مهم درطراحی سیستم های اطلاعات مدیریت یا بهره وری اطلاعات قطعی یا احتمالی درتصمیم گیری است. ارزیابی عنصراطلاعات، كارمشكلی است اما طراحی سیستم ها بهترین وسیله در ارزیابی واقعی عنصراطلاعات دریك مجموعه است.

 

 

سیستمهای اطلاعاتی

 

همانطور كه ذكرشد به علت گستردگی وپیچیدگی موجوددرسیستمها، مدیران اطلاعات ومتخصصان اطلاعاتی از سیستمهای اطلاعاتی یعنی سیستمهایی كه به كمك ابزارهای رایانه‌ای وفن آوری اطلاعات به گردآوری اطلاعات وپردازش سیستم های می پردازند روآورده اند. البته سیستم های اطلاعاتی به آن نقطه نرسیده اند كه بتوانند فكركنند، برنامه ریزی كنند وبه چگونگی تغییرات واكنش دهند. هنوز چندین اتاق برای افراد كه این سیستم هارا اداره می كنند وجود دارد. وباید توجه داشت كه فقط یك اقلیت كوچكی ازاین افراد عملاً سیستم های رایانه‌ای یا سیستم های فن‌آوری اطلاعات را طراحی می كنند. تعداد زیادی از این افراد كاربر نهایی هستند مانند مدیران، كاركنان اداری ودیگران كه از رایانه در زمینه های شغلی خود استفاده می كنند (Curtin et al 1998,23). انبوه اطلاعاتی كه درپایگاههای داده شركتها ذخیره می شود اكثراً آنقدرزیادهستند كه برای مدیران، بی معنی (وغیرقابل استفاده ) می شوند. این آنارشی وهرج ومرج درحجم انبوه اطلاعات نیازبه یك سیستم اطلاعاتی برای رده بندی وتقسیم بندی آن برای استفاده هرچه بیشتر ازآن می باشد.

سیستمهای اطلاعاتی ریشه درتصاویر غارها دارند واعضای یك قبیله با استفاده ازاین سیستمهای بسیار اولیه دادوستدهای خود را انجام می دادند. وقتی میزان دادوستدها اندك وتعداد افرادی كه بایكدیگر ارتباط برقرارمی كنند، انگشت شمارباشد، می توان كارهارابا استفاده ازاین سیستمها انجام داد، اماچنانچه میزان معاملات افزایش پیداكند وافراد بیشتری نیزدراین فعالیتها درگیر شوند سیستمهای مورد استفاده باید به مراتب پیشرفته ترباشد (بهان 1377،6).

باتوجه داشت كه سیستم های اطلاعاتی بامدیریت اطلاعات تفاوت دارند بطوریكه سیستم های اطلاعاتی درخدمت مدیریت اطلاعات تحت عنوان سیستم های اطلاعات مدیریت قرارگرفته وازآن استفاده می كند. سیستمهای اطلاعاتی به معنی گردآوری، ذخیره، پردازش اشاعه و استفاده ازاطلاعات است این مسأله به نرم افزارویا سخت افزار محدود نمی شود بلكه اهمیت انسان وهدفهایش را در استفاده از فن‌آوری، ارزشها ومعیارهایی كه دراین انتخاب به كار می رود، همچنین ارزیابی نهایی از اینكه این ابزار وسیله ای برای رسیدن به هدفهایش بوده اند یاخیر رادربرمی گیرد. درصورتی كه هدف ازمدیریت اطلاعات ارتقای كارآیی سازمان ازطریق تقویت تواناییهای آن برای برآورد نیازهای درونی وبرونی آن در یك وضعیت فعال وپویا، تثبیت شده است. امروزه مدیران ارزش رقابتی واستراتژیكی سیستمهای اطلاعاتی رابه خوبی تشخیص می دهند. درمیان سرمایه های یك سازمان اعم از نیروی انسانی، سرمایه های مالی، ماشین آلات و تجهیزات، اطلاعات، باارزشترین آنهاست واین مساله به این دلیل است كه تمام امكانات فیزیكی ومحیطی ازطریق اطلاعات توجیه می شوند. اطلاعات ممكن است بصورت استراتژیكی مورد استفاده قرارگیرد وامتیازات قابل رقابت برای سازمان كسب كند یا زمینه های رقابت را بین سازمانها تغییر دهد وامتیازات قابل‌توجهی برای سازمان كسب كند یا زمینه های رقابت را بین سازمانها گسترش دهد یا صنایع رامتحول سازد وفرصتهای جدید بازرگانی برای آنها پدید آورد. یك سازمان باید بتواند سیستم اطلاعاتی ایجاد كند كه قادرباشد نیازهای اطلاعاتی اكثریت رادردرون سازمان برآورد، سازد. چنین سیستم اشتراكی فواید زیررا داراست:

كاهش كارهای تكراری درنگهداری پایگاههای اطلاعاتی، ارائه داده های دقیقتر، (زیراداده ها دریك محل نگهداری می شوند وفقط نیازاست كه روز آمد شوند)؛ ایجاد ارتباطات بهتردردرون سازمان به طوری كه هرفرد به اطلاعات موردنیاز دسترسی داشته باشد؛ برخورد هماهنگ بانیازهای اطلاعاتی داخل سازمان (رولی 1380، 11-9 ،7)

امروز استفاده از سیستمهای اطلاعاتی (IS) دربیشتر شركتهای جهان رایج است. طبق آماری، بیش از 70 درصد شركتهای آمریكایی وكره ای یك طرح سیستم اطلاعاتی دارند این مورد درشركتهای مكزیكی بیش از 90 درصد می باشد. بیش از 60 درصد شركتهای مكزیكی وبیش از 80 درصد شركتهای آمریكایی وكره ای شخصی به عنوان رئیس كاركنان اطلاعات داشته اند (Mcleod 1998,583-584).