موضوع:

ارائه مدل کارا جهت بکارگیری استاندارد بین­المللی مدیریت امنیت اطلاعات

(ISO 27001:2005) در امنیت کسب و کار الکترونیک

Applicable Model for using ISO20071:2005 (ISMS Standard)i

in e-business Security

نویسندگان:

محمد جواد صمدی راد- مدیرعامل گروه آشنا m.samadi@ashnasecure.com

امیر خوانی- کارشناس ارشد امنیت اطلاعات شرکت آشناایمن a.khani@ashnasecure.com

بیژن ده موبد- کارشناس ارشد امنیت اطلاعات bijan.dsh@gmail.com

ارائه شده در:

کنفرانس تجارت الکترونیک، تجارت جهانی. آبان 86

1.چکیده

این مقاله با بررسی آمارهای جهانی، نقش امنیت را در راه­اندازی، گسترش، حفظ و تداوم کسب و کار الکترونیک تبیین می­کند و با معرفی مختصر استاندارد بین­المللی امنیت اطلاعات (ISO27001:2005)، مدلی کارا را جهت بکارگیری این استاندارد در تامین و تضمین امنیت کسب و کار الکترونیک ارائه می­دهد. مدل ارائه­شده نیازمندی­های امنیت اطلاعات (محرمانگی، صحت و در دسترس بودن) را در سه فاز انجام یک فرآیند کسب و کار الکترونیک (گرفتن اطلاعات، مذاکره و تحویل و پرداخت) از دیدگاه دو طرف معامله (فروشنده و مشتری) مورد بررسی و تحلیل قرار می­دهد. در ادامه همپوشانی کنترل­های استاندارد بین­المللی امنیت اطلاعات و مکانیزم­های امنیتی مورد نیاز در فازهای مختلف یک فرآیند کسب و کار الکترونیک طی جدولی ارائه شده است.

واژگان کلیدی: امنیت اطلاعات، فرآیند کسب و کار الکترونیک، سیستم مدیریت امنیت اطلاعات (ISMS)

2.مقدمه

در دو دهه اخیر دنیای تجارت با یک انقلاب تکنولوژیک روبرو شده است که کسب و کارهای امروزی را به سمتی سوق داده است که پیش از دو دهه اخیر دور از ذهن بودند و امروزه این انقلاب را با نام تجارت الکترونیک می‌‏شناسیم [6] . در عصر حاضر فناوری اطلاعات و ارتباطات با در هم شکستن محدودیت­ ها و مرزهای فیزیکی و به وجود آوردن یک فضای رقابتی، کسب وکارها را نیز از حالت سنتی خارج نموده و استفاده از اینترنت و فعالیت در دنیای مجازی تبدیل به یکی از لازمه ­های بقا و تداوم کسب و کار شده است. بدیهی است در گذر از دنیای سنتی به دنیای دیجیتال، جهش کسب وکارهای امروزی به سمت تجارت الکترونیک، نیاز به سکویی امن و قابل اتکا دارد. در این راستا مهمترین دغدغه و اولین چیزی که ذهن صاحبان کسب و کار را به خود مشغول می­کند، امنیت آن می­ باشد. از آنجا که شبکه جهانی اینترنت در ابتدا با دید تجارت ایجاد نشده است، بنابراین در طراحی آن به امنیت نقل و انتقال اطلاعات نیز توجهی نشده است.

با نگاهی کلی به آمارهای منتشره از سوی سازمان­ های بین­ المللی نظیر CSI/FBI در مورد خسارات وارده به کسب و کارهای الکترونیک، به این نتیجه می­رسیم که عمده این خسارات ناشی از ضعف امنیتی سیستم­ هایی می‏ باشد که خدمات مورد نظر را به مشتریان ارائه می­ دهند. لذا تامین و تضمین امنیت در کسب و کار الکترونیک علاوه بر حفظ سرمایه‏ های سازمانی و کاهش هزینه‏‏ ها، موجب جلب رضایت و اعتماد مشتریان، شرکت ‏‏های همکار و سرمایه‏ گذاران خواهد شد و توسعه و تداوم کسب و کار را تضمین خواهد کرد.

با توجه به اینکه اطلاعات در دنیای دیجیتال همانند خونی در رگ‏ های این سیستم، حیات آن را تضمین می‏‏ کنند، استانداردهای جهانی امنیت اطلاعات نیز در این زمینه تدوین شده­ اند که با یک نگرش فراگیر، همانند چتری کل کسب و کار سازمان را از ابعاد مختلف تحت پوشش قرار می ‏دهند و سلامت این خون در گردش را تضمین کنند[7] . برجسته­ ترین استانداردی که در این زمینه وجود دارد، استاندارد ISO 27001 می­ باشد که در سال 2005 از سوی سازمان بین­ المللی استانداردها (ISO)، ثبت شده است.

3.نقش امنیت در کسب و کار الکترونیک

کسب و کار الکترونیک غالباً از طریق سازمان­ های مجازی یا نیمه­ مجازی صورت می­گیرد. اطلاعات و فرایندهای پشتیبان، سیستم­ ها و شبکه‌ها، دارایی­ های مهم تجاری این سازمان ­ها هستند. تضمین امنیت اطلاعات به منظور جهت­ دهی به سمت و سوی رقابت، گردش نقدینگی، سوددهی، متابعت‌های قانونی و چهره تجاری کسب و کار الکترونیک، ضروری به نظر می‌رسد.

سازمان­ های مجازی، شبکه‌ها و سیستم­ های اطلاعاتی آن­ها به صورت فزاینده‌ای با تهدیدهای امنیتی با منشأهای متنوع شامل کلاهبرداری از طریق کامپیوتر، جاسوسی، کارشکنی، خرابکاری، آتش‌سوزی و سیل، رو در رو هستند. همچنین آسیب‌های با منشأ ویروس کامپیوتری، نفوذ[1] و حملات تخریب خدمت[2] متداول ­تر و پیچیده‌تر شده‌اند. نتیجه تحقیقات صورت­ گرفته توسط موسسه Ponemon نشان می­ دهد که شرکت­ هایی که کسب وکار الکترونیک دارند، پس از وقوع یک بحران امنیتی بیش از 2.5% مشتریان فعلی خود را از دست می­دهند. همچنین 40% از مشتریان بالقوه سازمان نیز از شروع تجارت با این سازمان منصرف می­شوند.

همچنین بر اساس تحقیقات صورت­ گرفته توسط موسسه CSI/FBIدر سال 2007 روی بیش از 400 شرکت فعال در زمینه فناوری اطلاعات انجام شد، می­ توان مشاهده نمود که 46% این شرکت ­ها در 12 ماه گذشته با بحران امنیتی روبرو شده ­اند.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

همچنین بسیاری از بحران­ های این شرکت­ ها مربوط به وب سایت آن­ها بوده است:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

در نمودار زیر می­ توان مشاهده نمود که بالاترین میزان ضرر و زیان متوجه سازمان­ ها در سال 2007 مربوط به کلاهبرداری ­های مالی از آن­ها و بیش از 21 میلیون دلار بوده است:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

جالب است نگاهی به این آمار در سال 2006 بیندازیم:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

همانگونه که در نمودار مشاهده می­ شود، کلاه برداری مالی در سال 2006 با حدود 2 میلیون دلار خسارت، در رتبه ششم قرار دارد که این رشد، نشان­ دهنده ارتباط شدید و روزافزون تجارت با دنیای دیجیتال می­ باشد.

با توجه به آمارهای ارائه ­شده می­ توان به نقش امنیت در ایجاد، توسعه و تداوم کسب و کارهای الکترونیک پی برد. بالطبع این پیشرفت و تغییرات سریع در شیوه کسب و کارهای امروزی، همراه با خود ریسک ­هایی را نیز به ارمغان آورده است که عدم توجه به آسیب­پذیری­ ها و رفع آن­ها می­ تواند زمینه­ ساز بهره­ برداری تهدیدات از آن­ها باشد و احتمال وقوع بحران­ های امنیتی و خسارت به کسب و کار الکترونیکی را افزایش می ­دهد.

4.معرفي استاندارد بين المللي سيستم مديريت امنيت اطلاعات (ISO 27001:2005)

همانگونه که در شکل زیر مشخص است، امنیت اطلاعات از ابعاد مختلفی تشکیل شده است که عبارتند از: افراد، فرآیندها و تکنولوژی. برخلاف تصوری که تا چندی پیش وجود داشت، امروزه ثابت شده است که تکنولوژی تنها یکی از این ابعاد است و تامین امنیت تکنولوژیک به تنهایی، هیچ تضمینی برای امنیت کسب وکار ارائه نمی­ دهد. بنابراین جهت تضمین امنیت کسب وکار به دیدگاهی جامع و کامل نیازمندیم.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

این دیدگاه جامع در مورد امنیت اطلاعات همراه با مفهوم سیستم ­های مدیریت امنیت اطلاعات (ISMS) برای اولین بار در دهه 1990 با معرفی استاندارد BS-7799 به جهانیان معرفی شد. قبلا استانداردهای مرتبط با کیفیت مانند BS-5750 و ISO-9000 برای کمک به سازمان ­ها در جهت بهبود فرآیندهای سازمانی معرفی­ شده و بعضاً برای برنامه­ های امنیت اطلاعات هم به کار گرفته شده بودند. استاندارد BS-7799 اولین استاندارد همه‌گیری بود که فقط برای امنیت اطلاعات تهیه شده بود.

BS-7799 که توسط موسسه BSI انگلستان تدوین شده است، دارای دو بخش می­باشد. بخش دوم آن در سال 2005 با عنوان ISO 27001 در موسسه بین­المللی استانداردها به ثبت رسیده است و مرجعی جهانی جهت پیاده‏سازی سیستم مدیریت امنیت اطلاعات در سازمان­های مختلف و ممیزی و ارائه گواهی می­باشد.

استانداردISO 27001 ، استانداردی منحصر به فرد در زمینه امنیت اطلاعات می ­باشد و تمامی جنبه ­های مرتبط با امنیت اطلاعات را با اعمال کنترل­ های امنیتی مختلف پوشش می­ دهد.

امنیت اطلاعات در این استاندارد، حفظ و صیانت از محرمانگی، صحت و در دسترس بودن اطلاعات تعریف­ شده است [1]:

  • محرمانگی: تضمین این که اطلاعات تنها در دسترس افراد مجاز قرار دارد.
  • صحت: حراست از صحت و کامل‌ بودن اطلاعات و جلوگیری از بروز تغییرات ناخواسته در اطلاعات
  • در دسترس بودن: تضمین این که افراد مجاز در وقت لزوم به اطلاعات و دارایی­ های مشترک دسترسی دارند.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

هدف استاندارد BS ISO/IEC 27001:2005 فراهم نمودن مبانی پیاده­ سازی استاندارد امنیت سازمانی، مدیریت امنیت و اطمینان از ارتباطات بین سازمانی است.

در راستای کاهش ریسک­ های کسب وکار، اعم از ریسک­ های تکنولوژیک یا ریسک­ های مربوط به افراد و فرآیندها، می­توان از کنترل­ های زیرمجموعه حوزه­ های کنترلی استاندارد ISO 27001:2005 استفاده نمود. این استاندارد دارای 11 حوزه کنترلی می­ باشد. شمایی از حوزه ­های کنترلی این استاندارد در زیر نشان داده شده است:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

5.المان هاي كسب و كار الكترونيك

کسب و کار الکترونیکی به ارتباطات تجاری اطلاق می ­شود که با استفاده از فناوری اطلاعات و ارتباطات انجام می­ شود. [9] یکی از مهمترین مشخصه­ های این نوع کسب و کار این است که طرفین لزومی به شناخت یکدیگر قبل از ارتباط تجاری با یکدیگر ندارند[10].

به طور معمول در یک رابطه تجاری دو طرف با هم در تعامل هستند:

  • فروشنده: به فرد حقیقی یا حقوقی اطلاق می ­شود که خدمات یا محصولات خود را از طریق فناوری اطلاعات و با استفاده از وب­ سایت ارائه می دهد.
  • مشتری: به فرد حقیقی یا حقوقی اطلاق می­ شود که خواستار خرید محصول یا خدمت از طریق فناوری اطلاعات می ­باشد.

انجام یک معامله از طریق کسب و کار الکترونیک، دارای مراحلی است که می ­تواند بر اساس نوع کسب و کار متفاوت باشد. اما در حالت کلی یک فرآیند معامله از طریق کسب و کار الکترونیک دارای مراحل زیر است [11]:

  1. گرفتن اطلاعات: در فاز جمع ­آوری اطلاعات، دو طرف معامله سعی در یافتن طرف مقابل، بررسی و مقایسه آن­ها و مشخص کردن نوع خدمت یا محصول مورد معامله دارند.
  2. مذاکره: در این فاز طرفین با یکدیگر به توافق می­ رسند و پس از مذاکره و تبادل اطلاعات، قرارداد ارائه محصول یا خدمت را امضا می­ کنند (به صورت مجازی).
  3. تحویل و پرداخت: در این فاز کالا یا خدمت خریداری­ شده توسط مشتری، تحویل او می­ شود و هزینه آن توسط فروشنده دریافت می ­شود.

بسته به نوع کسب و کار، ممکن است این دو مرحله فاز انتهایی، به صورت همزمان یا یکی پس از دیگری انجام شود.

6.مدل كارا جهت بكارگيري استاندارد بين المللي مديريت امنيت اطلاعات (ISO27001:2005) در امنيت كسب و كار الكترونيك

تاکنون تحقیقات پراکنده ­ای در مورد امنیت فرآیند کسب و کار الکترونیک انجام شده است که از جمله می­ توان به [12] و [14] و [15] اشاره نمود. در [2] چارچوبی برای ساختاردهی امنیت در فرآیند کسب و کار الکترونیک ارائه شده است.

برای نمایش مدل امنیتی فرآیند کسب و کار الکترونیک مطابق با استاندارد ISO 27001:2005، باید از سه دید زیر به این مقوله بنگریم:

  • اهداف (نیازمندی­ های) امنیتی
  • طرفین معامله
  • فازهای انجام یک فرآیند کسب و کار

شکل زیر معیارهای در نظر گرفته­ شده را برای این مدل امنیتی نشان می­ دهد:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

•مکانیزم ­های امنیتی مورد نیاز در فازهای یک فرآیند کسب و کار الکترونیک

به طور کلی جهت نیل به اهداف امنیت و برآورده ساختن نیازمندی­ های امنیتی، مکانیزم­ های امنیتی مختلفی در فازهای یک فرآیند کسب و کار الکترونیک باید دیده شود. مکانیزم ­ها و نیازمندی­ های مورد نیاز در هر فاز، در شکل زیر آورده شده است [15]:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

•اهمیت معیارهای امنیت اطلاعات در فازهای مختلف از دید مشتری و فروشنده

اهمیت معیارهای امنیت اطلاعات از دید فروشنده و مشتری، به نوع و ماهیت کسب و کار الکترونیک بستگی دارد. برای روشن­ تر شدن این موضوع همچنین مکانیزم های امنیتی مطرح ­شده در هر فاز، نتیجه مطالعاتی که به عنوان یک مطالعه موردی روی شرکت “ایران بین [16] انجام شده است، را مورد تجزیه و تحلیل قرار می دهیم.

شرکت ایران بین به عنوان بزرگ ترین فروشگاه اینترنتی و آن­لاین کتاب و کالا در ایران، کلیه محصولات خود را از طریق وب سایت خود را به مشتریان ارائه می­ دهد.

جهت مشخص نمودن اهمیت نیازمندی ­های امنیتی در هر فاز، از سه معیار بالا، متوسط و پایین استفاده می ­کنیم. معیار بالا نشان از حیاتی بودن مولفه امنیتی برای شرکت ایران بین یا خریدار محصول می ­باشد و بالعکس، معیار پایین نشان­ دهنده بی­ اهمیت بودن مولفه امنیتی از دیدگاه طرف معامله می­ باشد.

در فاز گرفتن اطلاعات مشتری سعی دارد تا مشخصات محصول مورد نظر خود را از طریق وب سایت شرکت ایران بین مشاهده کند و با دیگر وب سایت­ های ارائه دهنده این محصولات مقایسه کند. اطلاعات موجود در این فاز اطلاعاتی می ­باشد که در وب سایت شرکت وجود دارد و چون یک وب سایت عمومی می­ باشد، محرمانگی آن از سوی مشتری یا فروشنده از اهمیت بالایی برخوردار نم ی­باشد. اما اطلاعاتی که مشتری از این طریق جمع ­آوری می­کند، مبنای تصمیم­ گیری او می باشد. در نتیجه صحت این اطلاعات از دیدگاه مشتری و فروشنده بسیار مهم و حائز اهمیت است. اگر مشتری نتواند به وب سایت شرکت ایران بین دسترسی داشته باشد، برای او مهم نیست. چون خرید خود را از طریق وب سایت ­های دیگری انجام می ­دهد. اما در صورت وقوع چنین حالتی، ایران بین یکی از مشتریان خود را از دست می ­دهد.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعاتمثال: اهمیت معیارهای امنیت اطلاعات در فاز گرفتن اطلاعات

در فاز مذاکره، مشتری کالای خود را به سبد خرید اضافه نموده و خرید خود را تایید می­کند. در نتیجه مشتری باید برخی از اطلاعات شخصی خود (همانند نام، محل سکونت و آدرس، نوع پرداخت و …) را نیز در سایت وارد نماید. در نتیجه محرمانه ماندن این اطلاعات برای مشتری از اهمیت بالایی برخوردار است. در حالیکه محرمانگی این اطلاعات برای فروشنده به این میزان مهم نیست و اجبارهای قانونی، میزان آن را تعیین می­ کنند. صحت اطلاعات وارده در هنگام تایید قرارداد برای دو طرف از اهمیت بالایی برخوردار است. چون فروشنده محصول را برای مشتری با نام و آدرس واردشده ارسال خواهد نمود. همچنین در دسترس بودن سایت در این فاز، برای شرکت ایران بین بسیار مهم است. اما مشتری می­تواند خرید خود را از طریق سایت­ های دیگری نیز انجام دهد.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعاتمثال: اهمیت معیارهای امنیت اطلاعات در فاز مذاکره

در فاز پرداخت و تحویل، مشتری مبلغ کالا را پرداخت می­ کند و کالا را دریافت می­ کند. در سایت ایران بین پرداخت می­ توان از طریق کارت­ های اعتباری (همانند آریا کارت) و زودتر از تحویل کالا صورت گیرد و یا می ­تواند به صورت همزمان با تحویل کالا و به صورت نقدی صورت گیرد. چون مبنای پرداخت در کسب و کار الکترونیک، استفاده از کارت­ های اعتباری می­ باشد، لذا حالت اول در اینجا مورد بررسی قرار می­ گیرد. محرمانگی اطلاعات کارت اعتباری مشتری که در سایت وارد می­ شود، از نظر خود مشتری بسیار بالا می ­باشد. اما سایت ایران بین فقط تحت تاثیر اجبارهای قانونی این فاز قرار دارد. صحت اطلاعات وارده از نظر مشتری از اهمیت بالایی برخوردار نمی ­باشد، چون در صورتی که اطلاعات اشتباه باشد، مشتری اطلاعات را دوباره وارد خواهد کرد. اما از نظر سایت ایران بین صحت اطلاعات بسیار حائز اهمیت است، چون در صورتی که این فرآیند کامل نشود، پرداخت به شرکت دیرتر صورت می ­گیرد و روی سود شرکت تاثیر خواهد داشت. در مورد در دسترس بودن سایت، نیز همین موضوع صدق می ­کند. یعنی در صورتی که در دسترس بودن سایت، تحت تاثیر قرار گیرد، مشتری زمان دیگری جهت پرداخت اقدام خواهد نمود و شرکت ایران بین هزینه کالا را دیرتر دریافت می­ کند.

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعاتمثال: اهمیت معیارهای امنیت اطلاعات در فاز پرداخت و تحویل

•همپوشانی کنترل­ های ISO 27001:2005 با مکانیزم ­های امنیت کسب و کار الکترونیک
مکانیزم ­های امنیتی مورد نیاز در فازهای یک فرآیند کسب و کار الکترونیک، در بالا مطرح شد. همچنین اهمیت سه معیار امنیت اطلاعات از دید استاندارد بین ­المللی امنیت اطلاعات (ISO 27001:2005) در فازهای مختلف یک فرآیند خرید از طریق کسب و کار الکترونیک با ارائه یک مثال کاربردی مورد بررسی قرار گرفت. حال به این موضوع می­ رسیم که مکانیزم ­هایی که امنیت کسب و کار الکترونیک را تامین می­ کنند، چه ارتباطی با استاندارد بین‏ المللی امنیت اطلاعات دارند و پیاده سازی سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO 27001:2005 و پیرو آن، اخذ گواهینامه ­های استقرار و یا انطباق، چگونه می­ تواند امنیت کسب و کار الکترونیک سازمان­ ها را تضمین نماید.

همان گونه که گفته شد، این استاندارد جنبه­ های مختلف امنیت اطلاعات را با اعمال کنترل­ های امنیتی در یازده حوزه مشخص شده، تامین و تضمین می ­کند. با توجه به عمومی بودن این استاندارد، کنترل­ های مطرح­ شده توسط آن، تکنولوژی یا ابزارخاصی را پیشنهاد نمی ­دهند و هدفی را مشخص می­ کنند که باید توسط مکانیزم ­های امنیتی خاص هر سازمان پوشش داده شود. این یک رابطه پیوسته می ­باشد، یعنی در صورت پیاده­ سازی کنترل­ ها در سازمان، امنیت کسب و کار الکترونیک نیز پوشش داده خواهد شد.

در جدول زیر ارتباط مکانیزم ­های امنیتی مورد نیاز جهت تامین و تضمین امنیت کسب و کار الکترونیک و کنترل‏ های استاندارد آمده است:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

در جدول زیر توضیحات مربوط به کنترل­ های مختلف بر اساس متن استاندارد آمده است:

ارائه مدل کارا جهت بکارگیری استاندارد بین المللی مدیریت امنیت اطلاعات

7.نتیجه گیری

حرکت پرشتاب کسب و کارهای قرن بیست و یکم به سمت دنیای الکترونیک و گره­ خوردگی کلیه مسائل زندگی بشری با چیزی که از آن به عنوان انقلاب انفورماتیک یاد می­ شود، مفهوم کسب و کار و تجارت را با پارادایم جدیدی در قرن بیست و یکم روبرو کرده است. امنیت اطلاعات به عنوان یکی از اساسی­ ترین زیرساخت ‏های این نوع کسب و کار، نقش مهمی را در موفقیت آن ایفا می­ کند. امروزه اثبات شده است که امنیت اطلاعات فراتر از امنیت تکنولوژیک می­ باشد و نیاز به نگرشی جامع، کامل و سیستماتیک دارد. در این راستا سازمان بین­المللی استانداردها استاندارد BS7799-2 را به عنوان استاندارد مرجع پیاده­ سازی سیستم مدیریت امنیت اطلاعات و با شماره ISO 27001 در سال 2005 پذیرش و ثبت نمود.

سازمان­هایی که کسب و کار و تجارت الکترونیک انجام می ­دهند، جهت تضمین موفقیت و تداوم کسب وکار خود، نیازمندی­ های امنیتی خاصی را می­ طلبند. از سوی دیگر، امروزه سیستم مدیریت امنیت اطلاعات در سازمان ‏های مختلف بر اساس این استاندارد پیاده ­سازی می ­شوند و سازمان بر اساس الزامات این استاندارد مورد ممیزی امنیتی قرار می ­گیرد.

با مطالعه این مقاله و مدل ارائه ­شده در آن، به این نتیجه می­ رسیم که کنترل­ های امنیتی موجود در ISO 27001:2005، لازمه ­های امنیتی کسب وکار الکترونیک را به طور کامل پوشش می­دهد و لذا پیاده ­سازی سیستم مدیریت امنیت اطلاعات بر اساس استاندارد ISO 27001:2005 و پیرو آن اخذ گواهینامه­ های استقرار و یا انطباق، می ­تواند بهترین تضمین برای وجود امنیت در کسب و کار الکترونیک سازمان ­ها و موفقیت آن­ها در بازار رقابتی کسب و کار الکترونیکی باشد.

مراجع:

  1. BS ISO/IEC 27001:2005, Information technology _ Security techniques _Information security management systems Requirements, BSI, 2005
  2. Konstantin Knorr, Susanne Röhrig, Security Requirements for E-Business processes, Department of Information Technology, University of Zurikh
  3. Robert Richardson, COMPUTER CRIME AND SECURITY SURVEY, Computer Security Institute, 2007
  4. Eben Otuteye, A SYSTEMATIC APPROACH TO E-BUSINESS SECURITY, Faculty of Administration, University of New Brunswick, Fredericton, Canada
  5. FRÉDÉRIQUE BIENNIER, HERVÉ MATHIEU, Security Management: Technical Solutions vs. Global BPR Investment, PRISMa, Bat. B. Pascal, INSA de Lyon, 69621 Villeurbanne Cédex, France
  6. Mehdi Khosrow-Pour, E-Commerce Security — Advice from Experts, D.B.A., Executive Director and President, Information Resources Management Association, USA
  7. FRÉDÉRIQUE BIENNIER, HERVÉ MATHIEU, Security Management: Technical Solutions vs. Global BPR Investment, PRISMa, Bat. B. Pascal, INSA de Lyon, 69621 Villeurbanne Cédex, France
  8. Ramachandran Kuttath, Data Privacy Legislation, Patni Computer Systems Ltd, September, 2003
  9. Zwass, Vladimir. Electronic Commerce: Structures and Issues.       International Journal of Electronic Commerce, 1(1):3-23, 1996.
  10. Nabil, Adam R.; Yesha, Yelena (Eds.). Electronic Commerce: current research Issues and Applications. LNCS 1028, Springer, Heidelberg, 1996.
  11. Schmid, B.: Electronic Market. Wirtschaftsinformatik 35(1993)5: 465-480.
  12. Abrams, M.D., Jajodia, S., Podell, H.J. (eds.).Information Security: An Integrated Collections of Essays. IEEE Computer Society Press, 1995.
  13. Knorr, Konstantin; Röhrig, Susanne.Security of Electronic Business Applications_ Structure and Quantification. UK, Sep. 2000.
  14. Röhrig, Susanne; Knorr, Konstantin. Towards a Secure Web-based Healthcare Application. July 2000
  15. Damm, D.; Kirsch, P.; Schlienger, T.; Teufel, S.; Weidner, H.; Zurfluh, U. Rapid Secure Development. Institutsbericht Nr. 99.01, Institut für Informatik der Universität Zürich, Februar 1999.
  16. http://www.iranbin.com/