ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC ۲۷۰۰۱

مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC ۲۷۰۰۱ نموده است. کسب تاییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب موجود در بخش ها و فرآیندهای اطلاعاتی، باعث افزایش اعتبار سازمان در محیط رقابتی و ایجاد مزیت رقابتی می گردد. هدف از این پژوهش ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC ۲۷۰۰۱ در سال ۱۳۹۰ خورشیدی بوده است.روش بررسی: این پژوهش کاربردی و از دسته مطالعات توصیفی-کیفی است. جامعه ی پژوهش کلیه ی بخش های فناوری اطلاعات دانشگاه علوم پزشکی اصفهان، شامل مراکز کامپیوتر دانشکده ها (۹ مرکز)، بیمارستان ها (۱۳ مرکز) و مرکز آمار و اطلاع رسانی (جمعا ۲۳ مرکز) در سال ۱۳۹۰ خورشیدی، می باشد. ابزار گردآوری اطلاعات در این پژوهش استاندارد ISO/IEC ۲۷۰۰۱: ۲۰۰۵ می باشد که در قالب چک لیست بین المللی ارائه شده است. چک لیست مورد استفاده دارای ۱۱ بخش اصلی است، که هر کدام در برگیرنده ی چندین بخش فرعی و سوال می باشد. داده ها از طریق مصاحبه و همچنین مشاهده و مستندات پژوهشگران، گردآوری و به کمک نرم افزار۲۰۱۰  Excel تجزیه و تحلیل گردید.  یافته ها: نتایج ممیزی مرکز آمار و اطلاع رسانی دانشگاه علوم پزشکی اصفهان نشان می دهد که این سازمان در حیطه های اصلی استاندارد که عبارتند از سیاست امنیتی، تشکیلات امنیت اطلاعات، مدیریت سرمایه، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات ها و ارتباطات، کنترل دسترسی، بکارگیری، توسعه و نگهداری از سیستم های اطلاعاتی، مدیریت رویداد امنیت اطلاعات، مدیریت استمرار کسب و کار و تطابق توانسته است به ترتیب ۳۱، ۴۰، ۲۸، ۶۵، ۷۳، ۵۴، ۵۴، ۴۴، ۵۸، ۳۸ و ۵۴ درصد از موارد مورد نظر را اجرایی نماید.نتیجه گیری: با توجه به اهمیت استاندارد جهانی ISO/IEC ۲۷۰۰۱ در استقرار فرآیندهای مبتنی بر امنیت اطلاعات و حفظ محرمانگی، یکپارچگی و دسترس پذیری، سازمان می بایستی تلاش بیشتری را نسبت به بکارگیری آن در فرآیندهای خود معطوف دارد. نتایج نشان دهنده ی این موضوع هستند که جز در حیطه های امنیت منابع انسانی و همچنین امنیت محیطی و فیزیکی، سازمان عملکرد خوبی در قبال مدیریت امنیت اطلاعات در فرآیندهای داخلی خود نداشته است.