موضوع:

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

Organizational Gap Analysis Model to Implement the Requirements for Continuity and Hardening of Operations Based on BS 25999

نویسندگان:

محمدرضا تقوا- عضو هیات علمی دانشگاه علامه طباطبایی- taghva@gmail.com

میلاد یداللهی- مدیر فنی شرکت آشناایمن – m.yadollahi@ashnasecure.com

ارائه شده در:

مجله علمی ـ پژوهشی علوم و فناوری‌های پدافند نوین – دانشگاه امام حسین (ع) – سال پنجم- شماره 2- 1393

چکیده
روند بی‌وقفه و فراهم بودن اطلاعات و فرآیند‌های کلیدی مرتبط با خدمات زیرساختی فناوری اطلاعات از طریق مقاوم‌سازی سامانه‌ها در مقابل حملات به عنوان یکی از اصول پدافند غیرعامل، همواره یکی از مهم‌ترین دغدغه‌های سازمان‌ها در پدافند‌های غیرعامل الکترونیکی و دفاع سایبری بوده که معمولاً از طریق استقرار استانداردهای امنیتی مدیریت می‌شوند. در این پژوهش پس از مطالعه گسترده ادبیات موضوع، مهم‌ترین عوامل حیاتی موفقیت در پیاده­ سازی سامانه مدیریت تداوم کسب و کار استخراج گردید. این عوامل در پرسش‌نامه‌ای برای 83 نفر از خبرگان ارسال شد که پس از جمع‌آوری اطلاعات از 64 خبره، 36 شاخص شناسایی‌شده، با استفاده از تحلیل عاملی اکتشافی و آزمون دوجمله‌ای در 9 دسته عامل قرار گرفته و تأیید شدند. توسط روش میانگین موزون، وزن هر یک از گویه‌ها و عوامل محاسبه شد و مدل پیشنهادی شامل عوامل مؤثر به همراه میزان اهمیت هر یک در تعیین میزان فاصله برای پیاده‌سازی سامانه مذکور ایجاد گردید. مدل پیشنهادی در دو شرکت ارائه دهنده خدمات فناوری اطلاعات اجرا و آزمایش شد.

کلید واژه‌ها: تداوم عملیات‌ها، تحلیل فاصله، پدافند غیرعامل، امنیت اطلاعات، بازیابی از حادثه، تداوم کسب و کار.

Organizational Gap Analysis Model to Implement the Requirements for Continuity and Hardening of Operations Based on BS 25999

Mohammad Reza Taghva*, Milad Yadollahi

Allameh Tabataba’i University

(Received: 12/03/2014; Accepted: 25/06/2014)

Abstract

Availability and continuity of information and key processes that support the core IT services by hardening the computer systems against the attacks as a passive defence principle, has been one of the most important issues facing companies in electronic passive defences and cyber defence that are generally managed by implementing the relevant security standards. In this research, 36 critical success factors for implementing business continuity management were extracted from the comprehensive study of literature. These indicators were sent to 83 experts, among which 64 were collected, analyzed and categorized in 9 factors after exploratory factorial analysis and also they were all approved by binomial test. Harmonic mean was used to calculate the weight of factors and components and finally a model including the effective factors and weight of their importance for organizational gap analysis to implement business continuity management system, was proposed. The proposed model was implemented and tested in two IT service provider companies.

Keywords: Continuous Operations, Gap Analysis, Passive Defence, Information Security, Disaster Recovery, Business Continuity

1.مقدمه

محیط رقابتی تجارت در قرن بیست و یک از یک‌سو و چالش‌ها و تهدیدهای این محیط از سوی دیگر، کسب و کار سازمان‌های امروزی را در معرض مخاطره‌های مختلفی قرار داده است. این مخاطره‌ها در گستره‌های وسیعی اتفاق می­ افتند و از جمله آن‌ها می‌توان به بلایای طبیعی، حمله‌های تروریستی و اشتباه‌های سهوی یا عمدی کارکنان اشاره کرد. همچنین مخاطره می‌تواند در پی تغییرات درونی سازمان، متوجه آن شود. مواردی مانند تغییر راهبردهای سازمان، کوچک‌سازی شرکت، مهندسی مجدد یا برون‌سپاری کردن فرآیندها و خدمات که هرکدام تبعات خاص خود را دارد [1]. وقوع این رخدادها ممکن است سبب اختلال در عملیات روزانه کسب و کار، ناراضی شدن مشتریان و به خطر افتادن اعتبار سازمان و ایجاد وقفه در جریان درآمدی گردد
[2 و 3]. کمتر از 60 ثانیه لازم است تا کل اعتبار یک سازمان از بین به رود و کسب و کار آن نابود شود. خرابی سرویس دهنده به مدت یک دقیقه یا حمله هکرها ممکن است تبعاتی برای کسب و کار داشته باشد که جبران آن ماه‌ها و سال‌ها به طول بینجامد و شاید هرگز نتوان آن را جبران نمود [4] به طوری که آن دسته از حوادث فناوری اطلاعات و سایبری که موجب عدم دسترسی به اطلاعات می‌شوند، ممکن است کسب و کارها را با مشکلاتی از قبیل از دست دادن مشتریان، اعتبار و سهم بازار مواجه سازد [5].

از اصول پدافند غیرعامل، حفاظت از مراکز حیاتی و مهم و مقاوم‌سازی آن‌ها در برابر حملات احتمالی است و همچنین تأمین امنیت و حصول اطمینان از عدم دسترسی‌های غیرمجاز به اسرار و اطلاعات کشور و ایمن‌سازی و حصول اطمینان از پایداری و خلل‌ناپذیری در فعالیت‌های شبکه‌های الکترونیکی مدیریت و کنترل کشور را می‌توان از اهداف پدافند غیرعامل در حوزه فناوری اطلاعات دانست [6]. تحقیقات مؤسسه [BSI 7] نشان می‌دهد که 63 درصد از شرکت‌ها در زمینه فناوری اطلاعات کاملاً آسیب­ پذیر هستند. با وجود محیط مخاطره‌ای و همراه با تهدیدهای فناوری اطلاعات، معمولاً مدیران سازمان‌ها به دنبال تضمین تداوم سرویس‌ها و فعالیت‌های سازمانی خود با بهره‌گیری از طرح‌های تداوم کسب و کار و بازیابی از حادثه برای حفظ حالت دفاعی خود می‌باشند. توانایی وفق ­پذیری و پاسخگویی به بحران‌ها و همچنین موقعیت‌ها و فرصت‌ها به منظور حفظ تداوم عملیات‌های کسب و کار با قابلیت اطمینان بالاتر و همچنین ایجاد بستر رشد و توسعه را تداوم کسب و کار گویند [8].

واژه پدافند غیرعامل، به کلیه تدابیر، عملیات و روش‌های مختلف که موجب جلوگیری و کاهش از خسارات در ابعاد متفاوتی می‌شود، اطلاق می‌گردد که کشورها، دستگاه ­های اجرایی کشور در شرایط بحران ناشی از تهاجم دشمن به این مجموعه اقدامات غیر مسلحانه نیازمند می‌باشند تا منجر به استمرار تولید و تداوم خدمات، کاهش آسیب‌پذیری، پایداری ملی و تسهیل مدیریت بحران برای ادامه حیات حداقلی مردم باشد [9].

مدیریت تداوم کسب و کار، فرآیندی را در اختیار سازمان قرار می‌دهد که توسط آن بتواند مأموریت‌های اساسی کسب و کاری خویش را در زمان و پس از شناسایی وقایع، همراه با مخاطره انقطاع، ادامه دهد [10].

از سویی، همان‌گونه که متخصصان حوزه تغییر بیان می‌کنند، تحلیل شکاف و آمادگی سازمانی برای تغییر، یک پیش‌نیاز مهم برای پیاده‌سازی و اجرای موفقیت ­آمیز تغییر است [11]. به گفته دیگر، سازمان‌هایی که برای هدایت و ناوبری تغییر، آمادگی بیشتری نشان می‌دهند، دوره گذار را اثربخش‌تر و موفق‌تر پشت سر خواهند گذاشت [12]. با توجه به اهمیت تداوم کسب و کار و همچنین نیاز به یک چارچوب مناسب برای پیاده‌سازی آن در قالب سامانه مدیریت تداوم کسب و کار، برای تضمین تداوم فعالیت‌های کلیدی و محوری سازمان می‌بایست تمامی ابعاد امنیت و تداوم کسب و کار را مورد نظر قرار داد. سازمان‌های مختلف بنا به نیاز و اصول کسب و کار خود، شروع به برنامه­ ریزی جهت مدیریت تداوم کسب و کار و بازیابی حوادث می‌کنند. اما همان‌گونه که گفته شد، جهانی شدن کسب و کارها و شبکه‌های ارتباطی مانند اینترنت و ارتباط کسب و کارهای مختلف با یکدیگر، نیاز به داشتن برنامه‌ای با اصول یکسان و بر پایه استانداردی جهانی و فراگیر که بتواند تمامی انواع کسب و کار را تحت پوشش قرار دهد را بیش از پیش نمایان و گریزناپذیر می‌سازد. در این راستا مؤسسه‌های معتبر بین‌المللی، استانداردهایی را تدوین کرده‌اند تا تمامیت و یکپارچگی این موضوع را پوشش دهند. مهم‌ترین و معتبرترین استاندارد جهانی در این زمینه از ابعاد امنیت داده‌ها و پدافند، استاندارد جهانی BS 25999 می‌باشد که در دو بخش و در سال‌های 2006 و 2007 توسط مؤسسه استاندارد انگلستان و بر پایه استاندارد PAS56 تدوین شده است و به عنوان یک نقطه آغاز قابل اعتماد در این مقوله به کار می‌رود [13]. در سال 2012 نیز استاندارد جهانی مؤسسه استاندارد، ISO 22301 به عنوان نسخه معادل BS 25999-2 انتشار یافت. این استاندارد نیاز سازمان در تدوین، پیاده‌سازی، اجرا، نظارت، بازنگری، نگهداری و بهبود یک سامانه مستند شده مدیریت تداوم کسب و کار را مشخص می‌سازد [14].

باید توجه داشت که مطابق با تعاریف پایه‌ای امنیت اطلاعات و داده‌ها مطابق با الگوهای جهانی نظیر نسخه سال 2013 استاندارد سامانه مدیریت امنیت اطلاعات ISMS که با عنوان ISO 27001 شناخته می‌شود، امنیت اطلاعات گرداگرد 3 مفهوم دردسترس بودن، صحت و محرمانگی اطلاعات تعریف می‌گردد که تداوم عملیات‌ها و مشخصاً تداوم کسب و کار، بعد اول آن، یعنی دردسترس بودن و فراهم بودن داده‌ها، اطلاعات و خدمات را پوشش می‌دهد. با توجه به اهمیت این بعد از امنیت اطلاعات، مدیریت تداوم کسب و کار یکی از 14 حوزه کنترل‌های استاندارد ISMS را با 4 الزام کنترلی به خود اختصاص داده است. همان‌گونه که گفته شد، با توجه به اهمیت این مقوله در فضای مخاطره‌ای امروزی، این حوزه آنقدر گسترش یافت تا استاندارد جدید و مجزایی با عنوان BS 25999 و در ادامه ISO 22301 را به نام خود ثبت کرد. با پیاده‌سازی این استاندارد می‌توان آسیب‌پذیری‌های کلیه دارایی‌های سازمانی نظیر خدمات بنیادین، نیروی انسانی، ساختمان‌‌ها، تأسیسات، تجهیزات، اسناد و شریان‌ها را در سطح سازمانی و حتی ملی، در مقابل مخاطرات غیر عمدی و یا موارد عمدی نظیر عملیات‌های خصمانه و مخرب مدیریت نمود و آمادگی خود را حفظ کرد. بدین ترتیب با عنایت به مفهوم پدافند غیرعامل، می‌توان این استاندارد را اصلی‌ترین و معتبرترین استاندارد جهانی در حوزه آمادگی برای تداوم عملیات‌ها، مقاومت پایدار و پدافند غیرعامل در نظر گرفت.

با توجه به شروع حرکت بسیاری از سازمان‌ها به سوی پیاده‌سازی سامانه مدیریت تداوم کسب و کار و اهمیت یافتن موضوعاتی همچون پدافند غیرعامل و حفظ و تداوم کسب و کار سازمان‌ها، این پژوهش به دنبال یافتن معیارهایی برای اندازه­ گیری سطح تداوم فعالیت‌های سازمان‌ها جهت پیاده‌سازی سامانه مدیریت تداوم کسب و کار و همچنین تعیین میزان فاصله و بلوغ سازمان‌هایی که قصد پیاده‌سازی این سامانه را بر مبنای استاندارد جهانی BS 25999 و یا استانداردهای معتبر معادل آن نظیر ISO 22301 را دارند، می‌باشد. بنابراین سؤال‌های پژوهش به شرح زیر مطرح شد:

  1. مقیاس و شاخص‌های ارزیابی تحلیل شکاف برای پیاده‌سازی سامانه مدیریت تداوم کسب و کار در سازمان چیست و هر یک به چه میزان تأثیرگذار می‌باشند؟
  2. وضعیت تداوم فعالیت‌ها شرکت‌های ماموت فناوری اطلاعات و توسعه و نوآوری شهر با توجه به شاخص‌های شناسایی شده، چگونه است و آیا آمادگی لازم برای پیاده‌سازی سامانه مدیریت تداوم کسب و کار را دارند؟

در رابطه با تحلیل شکاف و ارزیابی آمادگی سازمان‌ها در زمینه­ های مختلف، مطالعات مختلفی در سطوح متفاوت صورت پذیرفته است. در حقیقت ارزیابی آمادگی کسب و کار، فعالیتی است که در ابتدای پروژه پیاده‌سازی و به عنوان عاملی برای ادامه و یا عدم ادامه فعالیت در نظر گرفته می‌شود [15]. در مجموعه پژوهش‌های انجام شده توسط [16]، دسته‌بندی مناسبی از مدل‌ها و روش‌های معروف در این زمینه مطرح شده است. هرکدام از این مدل‌ها، با توجه به روش مورد استفاده، ابعاد خاصی از سازمان شامل فرآیندها، فناوری، سازمانی و اطلاعاتی را مورد مطالعه خود قرار می‌دهند. از طرفی هر گونه پیاده‌سازی و استقرار سامانه مدیریتی نیز خود، یک تغییر سازمانی محسوب می‌شود که می‌بایست با توجه به ماهیت سامانه مورد نظر، قابلیت سازمان برای پذیرش آن را اندازه­ گیری کرد. در حقیقت آمادگی همواره با خود مفهوم تغییر را به همراه دارد. آمادگی از یک احساس موضوعی و یا یک توانایی قابل قبول نشئت می‌گیرد. بدین ترتیب آمادگی می‌بایست به نحوی مفهوم ­سازی گردد که یک سازمان را به صورت آماده و یا غیر آماده دسته­ بندی نماید [17]. در تحقیق انجام شده توسط [18] دسته‌بندی مناسبی از عوامل مؤثر و نحوه اندازه‌گیری آن‌ها در ارزیابی آمادگی سازمان در برابر تغییرات عنوان شده‌اند که عبارتند از: عوامل انگیزشی برای تغییر، تناسب منابع به­ کار گرفته شده، ویژگی کارکنان و بلوغ و شرایط سازمان.

در حوزه مدیریت تداوم کسب و کار نیز مؤسسه [19,20 IBM] مطالعاتی گسترده همراه با ارائه فناوری‌های نوین و تجهیزات خاص را انجام داده است که مشهودترین ثمره آن‌ها ارائه چارچوب‌ها و سطح‌بندی‌های تداوم کسب و کار با عنوان 7 لایه تداوم کسب و کار، به ویژه در حوزه فناوری‌های مربوط به ذخیره­ سازی داده‌ها و چگونگی بازیابی آن‌ها پس از حادثه می‌باشد. هر کدام از این لایه‌ها، دارای مقادیر مختلفی برای مشخصه‌های زمان بازیابی، هزینه و میزان از بین رفتن و یا صدمه دیدن داده‌ها هستند که در بهترین حالت، یعنی سطح هفتم، زمان بازیابی داده‌ها آنی، هزینه حداکثر و میزان صدمه دیدن داده‌ها صفر و یا نزدیک به صفر است [8]. همچنین مؤسسه استاندارد انگلستان، به عنوان متولی استاندارد این سامانه به همراه انتشارات [23,21 IT Governance] روش‌های پیاده‌سازی بهینه را برای درک بهتر مدیریت تداوم کسب و کار و پوشش الزامات استاندارد، در مجموعه کتب خود مورد بررسی قرار می‌دهند. با این وجود با توجه به نوظهور بودن مفاهیم مذکور، تا به حال پژوهشی در رابطه با تحلیل شکاف یا سنجش میزان آمادگی سازمان‌ها برای پیاده‌سازی استانداردهای این حوزه و به طور کلی نگاه سامان ه­ای به این مقوله صورت نپذیرفته است و بیش‌تر مطالعات، جنبه فناوری و تجهیزات را در بر می‌گیرند. بنابراین پژوهش پیش‌رو سعی در بررسی میزان آمادگی سازمان‌ها برای پیاده‌سازی نظام‌مند تداوم کسب و کار را دارد، تا بدین وسیله سازمان‌ها را برای پیاده‌سازی بهینه این سامانه و بیش‌تر کردن شانس موفقیت اجرا، یاری نماید.

در زمینه تحلیل شکاف برای پیاده‌سازی نظام‌های مدیریتی بر اساس استانداردها، سامانه‌های اطلاعاتی، فناوری و به طور کلی آمادگی برای تغییر، پژوهش‌های مختلفی انجام پذیرفته است. در تحقیق انجام شده برای سنجش میزان آمادگی سازمان به منظور پیاده‌سازی سامانه مدیریت امنیت اطلاعات [24]، پس از بررسی مجموعه‌ای از عوامل مؤثر در میزان آمادگی سازمان در پیاده‌سازی ISMS و استفاده از استاندارد ISO/IEC 27001 به عنوان مرجع این سامانه مدیریتی، به ارائه عوامل مؤثر در سنجش میزان آمادگی و بلوغ سازمان جهت پیاده‌سازی ISMS پرداخته شده است. همچنین در پژوهش [14] که با هدف ارزیابی وضعیت مدیریت تداوم کسب و کار در پایانه‌های فروش فروشگاه‌های زنجیره‌ای انجام شده است، به بررسی وضعیت مدیریت تداوم کسب و کار و میزان تطابق آن با استاندارد مرجع این حوزه در 6 حوزه محدوده و پشتیبانی از سامانه مدیریت، شناسایی کسب و کار، مشخص نمودن راهبرد تداوم کسب و کار، تمرین، بازبینی و نگهداری سامانه، نهادینه­ سازی مدیریت تداوم کسب و کار در فرهنگ سازمانی و گواهینامه تطابق با استاندارد پرداخته شده است. اما در یک سطح بالاتر و در حوزه ارزیابی آمادگی فناوری‌های مختلف که ارتباط تنگاتنگی با استقرار سامانه‌های مدیریتی دارند، تحقیقات صورت گرفته گسترده و متنوع‌تر هستند. با نگاه به سیر تاریخی و جمع­ بندی ارزیابی آمادگی در حوزه فناوری مطابق با پژوهش انجام شده توسط منکینز [25] که در آن سطوح مختلف مرتبط با آمادگی فناوری مورد بررسی قرار می‌گیرد و سیر تاریخی آن بحث می‌شود، برای آمادگی حوزه فناوری، 7 سطح در نظر گرفته شده است که شامل مواردی چون: استقرار اصول اولیه، قاعده‌مند شدن مفاهیم یا کاربرد فناوری، انجام شدن تحلیل‌ها و پژوهش‌ها برای اثبات مفاهیم، تأیید نمونه‌ها در محیط آزمایشگاهی، تأیید نمونه‌ها در محیط‌های مربوطه، اثبات الگوی سامانه در محیط‌های مربوطه، اثبات الگوی سامانه در محیط‌های برنامه‌ریزی شده و عملیاتی، تکمیل شدن سامانه واقعی و تأیید شدن سامانه واقعی از طریق انجام موفقیت­ آمیز مأموریت‌ها، می‌شوند. همچنین با بررسی پژوهش انجام شده توسط کواک و لی [26] می‌توان به درک خوبی در اصول تئوریک و اثبات عملی در آمادگی برای تغییر دست یافت. در پژوهش انجام شده، آمادگی برای تغییر و همچنین تأثیر آن بر ارزش ایجاد شده از طریق کاربرد سامانه‌های ERP بررسی شده است. ابتدا مدل پژوهش با استفاده از TAM و TPB ایجاد شد و سپس با استفاده از داده ­های گردآوری شده از یک سامانه ERP در کره جنوبی، مورد آزمون قرار گرفته و در نهایت تحلیل معادلات ساختاری با استفاده از ابزار لیزرل انجام شده است. نتایج این پژوهش، تأثیر غیر مستقیم آمادگی برای تغییر بر روی رفتار کاربران برای استفاده از سامانه را نشان می‌دهد و از طرفی تأکید می‌کند که آمادگی برای تغییر توسط دو عامل تعهد سازمانی و شایستگی کارکنان افزایش می‌یابد. در زمینه آمادگی فناوری، تحقیقات انجام شده توسط آهونن [27] و رعنایی و قهرمانی‌فرد [28] نیز در زمینه موضوعی اینترانت اجتماعی، همسو با استقرار سامانه‌های مدیریتی می‌باشند. در پژوهش اول، مدل آمادگی سازمان برای تغییر وینر [11] شامل عوامل زمینه‌ای، ارزش‌گذاری تغییر و ارزیابی اطلاعاتی مورد استفاده قرار گرفته که پس از تحلیل داده‌ها از طریق رگرسیون خطی چند متغیره، هیچ‌گونه ارتباط معنی‌داری بین متغیرهای اشاره شده وجود نداشت، از طرفی در پژوهش دوم، ویژگی‌های سازمانی مورد نیاز جهت آمادگی برای پیاده‌سازی اینترانت اجتماعی، شامل فرهنگ سازمانی، سیاست‌ها و رویه‌ها، تجربه شخصی، منابع سازمانی، ساختار سازمانی مشخص و ابزاری شامل 48 گویه برای اندازه­ گیری ویژگی‌های سازمانی طراحی و در نهایت 43 گویه پایا و معتبر به دست آمد و این یافته در شرکت برق منطقه‌ای فارس مورد آزمون قرار گرفت.

همان‌طور که پیشینه پژوهش نشان می‌دهد، پژوهش‌های اول و دوم، اختصاص به دو استاندارد اصلی و جهانی امنیت اطلاعات و تداوم کسب و کار، یعنی ISO/IEC 27001 و BS 25999 دارند که با توجه به جدید بودن دید نظام‌مند و استانداردی به حوزه تداوم عملیات‌ها و سنجش آن، محدودیت پژوهش‌ در این حوزه بسیار مشهود است.

2.روش تحقیق

پژوهش حاضر از منظر هدف، کاربردی است و روش آن نیز توصیفی-پیمایشی به شمار می‌رود. مشخصات دیگر این پژوهش در جدول (1) آورده شده‌اند.

جدول 1. خلاصه اطلاعات مربوط به روش پژوهش

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

جامعه آماری این پژوهش جهت تعیین شاخص‌های مطلوب وزن­ها مربوط به ابعاد سطح آمادگی برای پیاده­سازی سامانه مدیریت تداوم کسب و کار شامل اساتید، خبرگان و محققین با زمینه فعالیت یا پژوهش در حوزه امنیت اطلاعات، کارشناسان حوزه تداوم کسب و کار و بخش سامانه­ای امنیت اطلاعات در شرکت‌های مشاور امنیتی و برخی از مدیران امنیت در سازمان‌ها و شرکت‌های بزرگ تهران می‌باشند. برای 83 نفر از این خبرگان جهت استخراج نظر آن‌ها جهت میزان موافقت با اجزای مدل، پرسش‌نامه‌ای با بهره‌گیری از طیف لیکرت ارسال شد که 64 پرسش‌نامه برگشت داده شده، به عنوان نمونه آماری به صورت تصادفی مورد پیمایش قرار گرفتند. پرسش‌نامه مذکور از دو قسمت اصلی شامل مشخصات فردی پاسخ‌دهنده و شاخص‌های مرتبط با تداوم کسب و کار تشکیل شده است. در قسمت اول پرسش‌نامه، اطلاعاتی همچون نوع سازمان محل خدمت (شامل دانشگاه، مرکز تحقیقاتی، سازمان دولتی یا خصوصی)، جایگاه سازمانی (شامل مدیر ارشد، مدیر میانی و کارشناس اجرایی)، میزان تحصیلات (شامل دکتری، کارشناسی ارشد، کارشناسی و سایر موارد)، میزان آشنایی با مفاهیم و الزامات استاندارد هدف (شامل آشنایی خیلی کم، کم، متوسط، زیاد و خیلی زیاد) و همچنین مدت زمان فعالیت در حوزه امنیت اطلاعات و یا تدوام کسب و کار و پدافند غیرعامل، دریافت گردید. در قسمت دوم پرسش‌نامه، 36 شاخص نهایی برای ارزیابی که از‌ ادبیات موضوع و استاندارد هدف مستخرج شده بودند، مورد سوال قرار گرفتند.

تحلیل جمعیت شناختی نمونه از منظر میزان تحصیلات، نوع سازمان محل خدمت، جایگاه سازمانی و سابقه فعالیت در حوزه امنیت اطلاعات یا تداوم کسب و کار، در جدول­ های (5-2) نشان داده شده است. همان­طور که در جداول مرتبط با تحلیل جمعیت شناختی نمونه دیده می‌شود، پاسخ­ دهندگان از سطح تجربه قابل توجهی در حوزه امنیت اطلاعات و تداوم کسب و کار برخوردار هستند (حدود 72 درصد آن‌ها دارای سابقه بیش از 3 سال در این حوزه هستند) و از طرفی میزان تحصیلات و جایگاه سازمانی این افراد در سطح مناسبی برای پاسخگویی به سؤالات پرسش‌نامه قرار می‌گیرد.

از طرفی باید توجه داشت که تعداد 64 نفر، حجم مطلوبی برای تحلیل عاملی به نظر نمی‌رسد و با توجه به تعداد عامل‌ها، این تعداد می‌بایست حداقل 108 باشد. ولی با توجه به عدم دسترسی به افراد خبره این حوزه و نوظهور بودن موضوع، محقق به این ضعف در اندازه نمونه اشعار می‌دارد. در این پژوهش برای تجزیه تحلیل داده‌ها از نرم ­افزار SPSS استفاده شده است.

   جدول 2. ویژگی‌های جمعیت شناختی نمونه – میزان تحصیلات

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

   جدول 3: ویژگی‌های جمعیت شناختی نمونه – نوع سازمان محل خدمت

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

   جدول 4: ویژگی‌های جمعیت شناختی نمونه – جایگاه سازمانی

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

   جدول 5: ویژگی‌های جمعیت شناختی نمونه – سابقه در حوزه امنیت

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

تعیین پایایی پرسش‌نامه با استفاده از آلفای کرونباخ انجام شد و برای اندازه‌گیری روایی ظاهری و محتوایی پرسش‌نامه، از نظر خبرگان و اساتید مربوطه استفاده شد و اشکالات ساختاری آن شناسایی و اصلاحات لازم جهت برآورده ساختن روایی محتوا انجام شد. برای اندازه­ گیری روایی سازه از تحلیل عاملی اکتشافی و تأییدی استفاده شده است. پس از آن برای آزمون فرضیه‌ها از آزمون دوجمله‌ای استفاده می‌شود و جهت تعیین وزن و اهمیت هر شاخص و همچنین وزن عوامل نهایی نیز از روش میانگین موزون استفاده شده است. در پایان، دو شرکت ماموت فناوری اطلاعات و توسعه و نوآوری شهر که قصد پیاده‌سازی سامانه مدیریت تداوم کسب و کار را دارند، به عنوان نمونه انتخاب شدند. وضعیت موجود این شرکت‌ها به منظور مقداردهی شاخص‌های به دست آمده با به‌کارگیری مدل 5 سطحی مهندسی امنیتی بلوغ قابلیت‌های امنیتی [SSE-CMM 29] و استفاده از مصاحبه ساخت‌یافته با مدیران این مجموعه‌ها، استخراج شده و میزان فاصله برای پیاده‌سازی این سامانه در آن شرکت‌ها تعیین گردید.

3. نتایج و بحث

با توجه به دریافت 64 پرسش‌نامه از پاسخ‌دهندگان، پایایی پرسش‌نامه با استفاده از ضریب آلفای کرونباخ، 0/950 به دست آمد که با توجه به بیشتر بودن از 0/7 و اختلاف زیاد آن، رقمی بسیار قابل قبول است. بر روی داده‌های جمع ­آوری شده با استفاده از روش مؤلفه‌های اصلی تحلیل عاملی صورت گرفت و نتیجه آزمون KMO ،0/768 محاسبه شد که با توجه به اینکه بیشتر از 0/5 است، نمایانگر کفایت نمونه‌گیری و درجه تناسب داده‌ها برای اجرای تحلیل عاملی می‌باشد. همچنین آزمون کرویت بارتلت که نشان دهنده همبستگی داده‌های ماتریس می‌باشد نیز با ضریب اهمیت 0/0001 مورد تأیید قرار گرفت. به علاوه، مقدار آزمون بارتلت برابر با 1462 است و معنی‌داری آن در سطح 99 درصد، نشان می‌دهد از یک سو بین گویه‌های داخل هر عامل همبستگی بالایی وجود دارد و از سوی دیگر، بین گویه‌های یک عامل با گویه‌های عامل دیگر، هیچ‌گونه همبستگی مشاهده نمی‌شود.

با توجه به جدول (6)، ماتریس همبستگی داده‌ها که با روش مؤلفه­ های اصلی به دست آمده است، نشان می‌دهد که از مجموع 36 گویه پرسش‌نامه، 9 گویه دارای مقدار ویژه بالاتر از 1 می‌باشند و این 9 عامل می‌توانند حدود 71 درصد از واریانس متغیر کمی را تبیین کنند و در واقع نشان‌دهنده روایی سؤالات می‌باشد.

تحلیل سنگ ریزه که در شکل (1) نشان داده شده است، نشان دهنده مقدار ویژه عوامل شناسایی‌شده می‌باشد. این نمودار نشان می‌دهد که
9 عامل از گویه‌ها استخراج شده است. در نهایت برای دسته‌بندی عوامل از چرخش پروماکس استفاده شد که در ماتریس چرخش‌یافته برای متغیرهای سامانه مدیریت تداوم کسب و کار (BCMS)، در مجموع
9 عامل کلی شناسایی و با توجه به ادبیات پژوهش نام‌گذاری شد. این عوامل عبارتند از: 1. شناخت سازمان، 2. بهبود مستمر، 3. ایجاد و مدیریت سامانه، 4. ایجاد واکنش و طرح تداوم، 5. بازبینی و کنترل سامانه، 6. تعبیه سامانه در فرهنگ سازمانی، 7. مستندسازی سامانه،
8. تعیین راهبردهای تداوم و 9. تمرین، نگهداشت و بازنگری سامانه.

جدول 6. ماتریس همبستگی داده‌ها و اطلاعات توصیفی

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999شکل 1. تحلیل سنگ ریزه

پس از تحلیل عاملی بر روی متغیرها و تعیین متغیرهای نهایی و عامل‌های شناسایی‌شده، فرضیه‌های پژوهش که نظر موافق پاسخ دهندگان در مورد تأثیر عوامل کشف شده بر روی آمادگی سازمان برای پیاده‌سازی سامانه مدیریت تداوم کسب و کار را مورد آزمون قرار می‌دهد، با استفاده از توزیع دوجمله‌ای مورد بررسی قرار گرفتند. همان‌طور که در جدول (7) نشان داده شده است، کلیه عوامل اصلی و همچنین کلیه گویه‌ها، با نسبت بالاتر از 0/6 درصد و سطح معناداری 0/000 مورد تأیید قرار گرفتند. در این آزمون، میزان خطا 05/0و تعداد نمونه 64 در نظر گرفته شد که افراد در آن به 3 گروه موافق (منتخبین گزینه 4 و 5 طیف لیکرت)، مخالف (منتخبین گزینه 1 و 2 طیف لیکرت) و حذف شده (منتخبین گزینه 3 طیف لیکرت) تقسیم شدند.

برای محاسبه وزن هر یک از شاخص‌ها از روش میانگین موزون استفاده می‌شود. بدین منظور، ارزش هر گویه که بر اساس طیف لیکرت، عددی بین 1 تا 5 است، در فراوانی نسبی هر یک از گویه‌ها ضرب می‌شود. مجموع این حاصل‌ضرب‌ها، ارزش هر شاخص را تشکیل می‌دهد. از آنجایی که برای تحلیل ارزش هر عامل لازم است تا این اعداد بین صفر و 1 باشند، این ارزش‌ها باید نرمال­ سازی شوند. بدین منظور، مجموع ارزش همه شاخص‌های هر عامل، جمع شده و عددی به دست می‌آید که ارزش هر شاخص بر این عدد تقسیم می‌شود. بدین ترتیب، ارزش هر یک از شاخص‌ها نرمال شده و می‌توان از آن‌ها برای محاسبه ارزش هر عامل استفاده نمود. نتایج حاصل‌شده در جدول (8) نشان داده شده‌اند.

جدول 7. نتایج آزمون دوجمله ای بر روی عوامل و شاخص‌ها

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

 جدول 8. وزن عوامل و گویه‌های استخراج شده

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

با توجه به نتایج حاصل شده مطابق با جدول (8)، در مورد عامل شناخت سازمان، شاخص تعیین الزامات استمرار، بیشترین امتیاز را به خود اختصاص داده است. همچنین مواردی همچون ارزیابی مخاطره و تحلیل اثرات کسب و کار دارای ارزشی برابر بوده و از درجه اهمیت بالایی در مدل برخوردار می‌باشند. با توجه به اهمیت خاصی که استاندارد برای این دو مبحث در قسمت برنامه‌ریزی سامانه قائل است، به نظر می‌رسد که در این مورد، پاسخ دهندگان نیز نظری یکسان با استاندارد را دارند. در مورد عامل بهبود مستمر، با توجه به مکمل بودن دو شاخص اقدامات اصلاحی و پیشگیرانه، امتیازات نزدیک به هم را از دید خبرگان کسب کرده‌اند. با توجه به نتایج حاصل‌شده برای عامل ایجاد و مدیریت BCMS، شاخص تدارک منابع بیشترین امتیاز را به خود اختصاص داد. بدین ترتیب پاسخ‌دهندگان بر این باورند که تدارک منابع از ابعاد مختلف می‌تواند نقشی اساسی در شروع پیاده‌سازی را به خود اختصاص دهد. کنترل مستندات و رکوردهای مربوط به سامانه مدیریت تداوم کسب و کار نیز در عامل هفتم قرار می‌گیرند. این دو مبحث به عنوان دو فعالیت مستمر و بنیادین در سامانه در نظر گرفته می‌شوند که با توجه به استاندارد بودن اهداف، مستندسازی بسیار مهم و حیاتی می‌باشد. از این نتایج می‌توان دریافت که پاسخ دهندگان تفاوت محسوسی بین این دو شاخص قائل نگردیده‌اند.

عامل هشتم شامل راهبرد برای استمرار منابع مختلف سازمان نظیر: افراد، محل کار، فناوری، اطلاعات، موجودی و ذینفعان می‌باشد که در بررسی نظر پاسخ دهندگان، تفاوت زیادی بین اهمیت این شاخص‌ها مشاهده نمی‌شود، ولی می‌توان راهبرد تداوم برای سایت کاری را پررنگ‌تر دید که با مقایسه این یافته با اصول پدافند غیرعامل، ساخت و مقاوم­ سازی سازه‌های نظامی، صنعتی، تجاری و مسکونی به عنوان راهکاری مناسب برای کاهش خسارات جانی و مالی در اثر وقوع حوادث و بلایای طبیعی و یا انفجار در داخل یا خارج این سازه‌ها به دلیل حملات تروریستی اهمیت بیشتری پیدا کرده [30] و از طرفی نشان می‌دهد ، اصل وجودی راهبرد مناسب در این حوزه، جدا از نوع راهبرد مورد استفاده دارای اهمیت بیشتری است.

در مجموع با توجه به نتایج حاصل‌شده مطابق با جدول (8)، همان‌طور که در شکل (2) نشان داده شده است، عامل ایجاد واکنش و طرح تداوم با اختلاف نسبتاً زیادی به عنوان مهم‌ترین عامل از سوی خبرگان در مدل پیشنهادی برای تحلیل شکاف سازمانی سامانه مدیریت تداوم فعالیت‌ها شناسایی شد. این نتیجه بیانگر این است که تمامی خبرگانی که در این پژوهش مورد سؤال قرار گرفته‌اند، بر عملی و مشهود بودن فعالیت‌های صورت گرفته نگاهی ویژه دارند. همچنین دو عامل شناخت سازمان و تعیین راهبردهای تداوم که جزء مراحل اولیه پیاده‌سازی سامانه می‌باشند در رتبه بعدی قرار گرفتند که باز هم نتیجه‌گیری فوق را تأیید می‌نمایند.

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999شکل 2. وزن ها مدل برای عوامل مرتبط با تحلیل شکاف پیاده‌سازی BCMS

3-1. نتایج حاصل از اجرای مدل پیشنهادی

برای آزمودن مدل به دست آمده، شرکت ماموت فناوری اطلاعات (شرکت الف) و شرکت توسعه و نوآوری شهر (شرکت ب) به عنوان دو شرکت ارائه دهنده خدمات فناوری اطلاعات که قصد پیاده‌سازی سامانه مدیریت تداوم کسب و کار را دارند، انتخاب شدند. در مورد شرکت الف، با توجه به اینکه ارائه خدمات مشاوره در زمینه استقرار سامانه‌های مدیریتی از جمله سامانه مدیریت امنیت اطلاعات، جزء سبد محصول این شرکت می‌باشد و از طرفی سامانه مذکور در این شرکت پیاده‌سازی شده است، برخی از فعالیت‌های مشترک میان سامانه‌های مدیریتی دیگر و سامانه مدیریت تداوم کسب و کار در این شرکت از پیش پیاده‌سازی شده‌اند، از طرفی شرکت ب نیز با توجه به اینکه در حوزه بانکداری و پرداخت الکترونیکی فعالیت می‌کند و حساسیت خاص این بخش، برخی از نیازمندی‌های این سامانه را پوشش داده است.

با توجه به شاخص‌ها و وزن های که در مدل به دست آمد، جهت سنجش میزان پیاده‌سازی این شاخص‌ها در شرکت‌های مذکور از طریق مصاحبه با مدیران میانی و ارشد، برای هر کدام از شاخص‌ها مطابق با روش CMM سطوح پنج‌گانه‌ای شامل: 1- اولیه، 2- تکرارپذیر، 3- تعریف شده، 4- مدیریت شده و 5-بهبودیافته [29]، در نظر گرفته شد. امتیاز موزون هر شاخص از ضرب سطح CMM در وزن آن مطابق مدل، به دست می‌آید. سطح CMM هر عامل در شرکت از میانگین سطوح CMM شاخص‌های آن عامل به دست می‌آید. از ضرب این سطح در وزن عامل مطابق مدل، امتیاز موزون عامل در شرکت به دست می‌آید. نتایج حاصل شده در جدول (9) آورده شده‌اند.

برای درک بهتر میزان شکاف و فاصله شرکت‌های مورد بررسی، می‌توان از شکل­های 3 و 4 استفاده نمود. در این نمودار می‌توان سطح CMM هر یک از عامل‌ها در مقایسه با امتیاز موزون آن را در قالب نمودار رادار برای هر یک از شرکت‌ها مقایسه نمود.

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999شکل 3. وضعیت تحلیل شکاف تداوم فعالیت‌ها در شرکت الف

جدول 9: سطح CMM در شرکت‌های مورد بررسی و نتایج اجرای مدل پیشنهادی

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

همان‌طور که در شکل (3) مشاهده می‌شود، در مورد شرکت الف، سطح CMM اظهار شده برای عامل پنجم که مواردی همچون بازنگری مدیریت و ممیزی داخلی را شامل می‌شود، با توجه به پیاده‌سازی دیگر سامانه‌های مدیریتی در شرکت، امتیاز بالاتری را معادل4/50، به خود اختصاص داده است و دیگر عامل‌ها در بازه امتیازیِ 1/85 تا 2/83 قرار گرفته‌اند. پس از اعمال مدل پیشنهادی، مشاهده می‌شود که عامل اول- شناخت سازمان، به همراه عوامل چهارم- ایجاد واکنش و طرح‌های تداوم و هشتم- تعیین راهبردهای تداوم، به دلیل برخورداری از وزن ها بالاتر و یا همچنین وضعیت CMM بهتر در شرکت، امتیازات بهتری را کسب کرده‌اند.

از سوی دیگر مطابق با شکل (4) در مورد شرکت ب، عوامل ایجاد و مدیریت سامانه و همچنین تعبیه سامانه در فرهنگ سازمانی دارای سطح CMM مناسب و بیشتر از 4 می‌باشند. پس از اعمال مدل، عامل هشتم که به تعیین راهبردهای تداوم اختصاص دارد، توانست بالاترین امتیاز را در این شرکت کسب نماید.

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

شکل 4. وضعیت تحلیل شکاف تداوم فعالیت‌ها در شرکت ب

4.نتیجه‌گیری

در عصر فناوری اطلاعات و محیط رقابتی امروز، در بسیاری از کسب و کارها و به ویژه کسب و کارهای مرتبط با فضای دیجیتال، فرآیندهای کلیدی و محوری سازمان شدیداً به زیرساخت‌های فناوری اطلاعات وابسته می‌باشند و از کارافتادگی سامانه‌های بنیادین و اساسی، سازمان‌ها و حتی در بعضی موارد کشورها را با مشکلات جدی و هزینه­ های بالایی روبرو خواهد کرد. در این بین، بسیاری از مدیران   به منظور حصول اطمینان از عدم بروز انقطاع در فرآیندهای سازمانی و به دنبال آن عدم بروز اختلال در ارائه خدمات و محصولات خود، سعی در به‌کارگیری روش‌ها، چارچوب‌ها و استانداردهای مرتبط با امنیت داده‌ها و مدیریت تداوم کسب و کار را دارند. با توجه به لزوم شناخت مناسب از وضعیت فعلی سازمان، قبل از شروع پروژه ­های پیاده‌سازی سامانه مدیریت تداوم کسب و کار، جهت بهینه شدن منابعی همچون هزینه و زمان پیاده‌سازی، نیاز به ابزار اندازه‌گیری مناسب برای سنجش میزان آمادگی سازمان و یا میزان فاصله سازمان با الزامات استاندارد در این حوزه احساس می‌شود. در این راستا، پس از بررسی ادبیات موضوع و استخراج ویژگی‌ها و فرآیندهای مورد نیاز در این سامانه، در نهایت 36 گویه پایا و معتبر حاصل شد که با توجه به محاسبه میزان تأثیرگذاری هر یک در تعیین میزان فاصله سازمان با الزامات استاندارد از طریق اختصاص وزن به آن‌ها، ابزاری جهت میزان آمادگی سازمان برای پیاده‌سازی سامانه مدیریت تداوم کسب و کار بر مبنای استاندارد جهانی BS 25999 تهیه شد. نتایج وزن ها مدل پیشنهادی برای هر عامل در جدول (10) نشان داده شده است.

با استفاده از ابزار ایجادشده، تحلیل شکاف برای دو شرکت ارائه دهنده خدمات فناوری اطلاعات در مورد الزامات تداوم فعالیت‌ها بر مبنای استاندارد مذکور اندازه‌گیری شد. با توجه به نتایج پژوهش، مبنای بررسی امتیازات و نتیجه‌گیری‌ها در هر عامل، امتیاز موزون کسب شده توسط آن عامل خواهد بود. بدین ترتیب عامل اول- شناخت سازمان با کسب امتیاز0/475 در شرکت الف و عامل هشتم- تعیین راهبردهای تداوم با کسب امتیاز 0/559 در شرکت ب دارای بالاترین آمادگی می‌باشند. می‌توان نتیجه گرفت دو شرکت در مهم‌ترین عامل شناسایی‌شده با ضریب 0/195، امتیاز نسبتاً بالایی معادل 0/361 و 0/445 را دریافت کرده و نتیجتاً در مدل، در سطح خوبی قرار می‌گیرند. از سوی دیگر مواردی همچون عامل ششم-تعبیه سامانه در فرهنگ سازمانی با امتیاز 0/14 و عامل هفتم- مستندسازی سامانه با امتیاز 0/112 در شرکت الف و همچنین عوامل پنجم- بازبینی و کنترل سامانه با امتیاز 0/081 و هفتم- مستندسازی سامانه با امتیاز 0/084 در شرکت ب، برای پیاده سازی موفق‌تر سامانه در این شرکت‌ها باید بیش‌تر مورد توجه قرار گیرند. از حاصل جمع امتیاز موزون 9 عامل می‌توان به یک عدد واحد دست یافت که میزان آمادگی نهایی سازمان را نشان می‌دهد و قابلیت اندازه گیری مجدد در طول زمان و یا مقایسه وضعیت آمادگی سازمان‌های مختلف را امکان‌پذیر می‌سازد. نتیجتاً دو شرکت ماموت فناوری اطلاعات و توسعه و نوآوری شهر به ترتیب با کسب امتیازات نهایی 2/46 و 2/66، مطابق با مدل CMM بین سطوح دوم (تکرار پذیر) و سوم (تعریف شده) قرار گرفتند که در مجموع وضعیت مناسبی برای پیاده‌سازی سامانه را می‌توان برای آن‌ها متصور شد.

جدول 10. وزن‌ها مدل پیشنهادی

مدل تحلیل شکاف سازمان برای پیاده‌سازی الزامات تداوم و مقاوم‌سازی عملیات‌ها مطابق استاندارد BS 25999

در پایان برای پژوهش‌های آتی این حوزه، پیشنهاد می‌شود تا مدل اندازه‌گیری طراحی‌شده در دیگر شرکت‌ها و سازمان‌های متعلق به بخش خصوصی و دولتی مورد اعتباریابی قرار گرفته و نتایج حاصل از سازمان‌های مختلف با یکدیگر مقایسه گردند. همچنین با توجه به نوظهور بودن مفاهیم این حوزه و تعریف پروژه‌های جدید استقرار این سامانه در سازمان‌های مختلف، پیشنهاد می‌شود اثربخشی به‌کارگیری سامانه مدیریت تداوم کسب و کار، ارائه مدلی تلفیقی از ITIL، ISMS و BCMS برای پیاده‌سازی سامانه مدیریت خدمات فن‌آوری اطلاعات در بستری امن و مداوم و همچنین نقش استانداردهای حوزه سامانه مدیریت امنیت اطلاعات در مدیریت و بهینه‌سازی فعالیت‌های مرتبط با پدافند غیرعامل و یا تعمیم مدل پیشنهادی برای استانداردهای هم‌خانواده نظیر استانداردهای سری 27000، 22301 و 22302 نیز مورد مطالعه قرار گیرد.

      • Gibb, F.; Buchanan, S. “A Framework for Business Continuity Management”; J. Inf. Manag. 2006, 26, 128-141.
      • Ernest-Jones, T. “Business Continuity Strategy – The Life Line”; Network Security, 2005, 2005, 5-9.
      • Gibb, F.; Buchanan, S.; Shah, S. “An Integrated Approach to Process and Service Management”; J. Inf. Manag. 2006, 26, 44-58.
      • Stanton, R. “Beyond Disaster Recovery: The Benefits of Business Continuity”; Fraud. Secur. 2005, 18-19.
      • Jarvelainen, J. “IT Incidents and Business Impacts: Validating a Framework for Continuity Management in Information Systems”; Manag. 2013, 33, 583-590.
      • Khosravi, M.; Parsa, S. “Design and Implementation of a Metamorphic Engine Malware with Evaluation of Identifying Techniques Performance Approach”; Passive Defence Sci. & Tech. 2013, 3, 145-155 (In Persian).
      • Pritchard, S. “Continuity in A Disaster”; Infosecurity, 2007, 4, 24-25.
      • Brooks, C.; Clem, L.; Aslam, M.; Neal, C.; Qiu, Y. L.; Sing, J.; Wong, F. Th.; Wright, I. R. “IBM System Storage Business Continuity: Part 1 Planning Guide”; Business Machines Corporation Press: United States, 2007.
      • Hosseini, S. A.; Eskandari, M. “Iran’s Passive Defence Organization Study of Organizational Commitment Officers”; Dev. & Mgmt. Hum. Res. 2011, 20, 103-130 (In Persian).
      • Smith, C. L.; Brooks, D. J. “Business Continuity Management”; Cont. Manag. 2013, 2013, 192-223.
      • Weiner, B. J.; Amick, H.; Lee, S. Y. D. “Review: Conceptualization and Measurement of Organizational Readiness for Change: A Review of the Literature in Health Services Research and Other Fields”; Care. Res. Rev. 2008, 65, 379-436.
      • Discovery Learning “Research Summary 14-Development of the Change Readiness Gauge”; http://www. discoverylearning. com/images/document/Research%20Summaray14%20CRG.pdf, 2005.
      • Frankland, J. “IT Security Metrics: Implementation and Standards Compliance”; Network Security 2008, 6-9.
      • Dehmoubed, B. “Assessing Organizational Readiness in Chain Stores POSes Base on BS 25999”; Master Thesis, Department of Management, Tehran University 2009 (In Persian).
      • Bottrell, E. G. “Business Rediness Assessment Plan-Project Implementation”; http://www.docstoc.com/docs/37728080/ ERP -Deliverables-Series, 2008.
      • Khalfan, M. M. A.; Anumba, C. J.; Siemieniuch, C. E.; Sinclair, M. A. “Readiness Assessment of the Construction Supply Chain for Concurrent Engineering”; J. Purch. Supp. Manage. 2001, 7, 141-153.
      • Mrayyan, M. T.; Modallal, R.; Awamreh, K.; Atoum, M.; Abdullah, M.; Suliman, S. “Readiness of Organizations for Change, Motivation and Conflict-Handling Intentions: Senior Nursing Students’ Perceptions”; Educ. Pract. 2008, 8, 120-128.
      • Lehman, W. E. K.; Greener, J. M.; Simpson, D. D. “Assessing Organizational Readiness for Change”; Subt. Abuse. Treat. 2002, 22, 197-209.
      • Brooks, C.; Clem, L.; Aslam, M.; Neal, C.; Qiu, Y. L.; Sing, J.; Wong, F. Th.; Wright, I. R. “IBM System Storage Business Continuity Solutions Overview”; Business Machines Corporation Press: United States, 2007.
      • Bedernjak, M. J.; Merryman, J. I. “Disaster Recovery Strategies with Tivoli Storage Management”; Business Machines Corporation Press: United States, 2002.
      • Drewitt, T. “A Manager’s Guide to BS25999 A Practical Guide to Developing and Implementing A Business Continuity Management System”; IT Governance : London, 2008.
      • Sharp, J. “The Route Map to Business Continuity Management: Meeting the Requirements of BS 25999”; British Standards Institute BSI: London, 2008.
      • Calder, A. “Business Continuity and BS25999 A Combined Glossary”; IT Governance Pub: U.K. 2008.
      • Shahidi, S. E. “A proposed Model for Assessing Organizational Readiness to Implement Information Security Management System”; Master Thesis, Department of Management & Accounting, Allameh Taba Tabaei University 2007 (In Persian).
      • Mankins, J. C. “Technology Readiness Assessments: A Retrospective”; Astronaut. 2009, 65, 1216-1223.
      • Ahonen, J. “Implementing a Social Intranet: A Study of Organizational Readiness for Change”; Master Thesis, Dep. of Management and International Business (Johtamisen ja kansainvälisen liiketoiminnan laitos), Aalto University 2011.
      • Kwahk, K. Y.; Lee, J. N. “The Role of Readiness for Change in ERP Implementation: Theoretical Bases and Empirical Validation”; Manag. 2008, 45, 474-481.
      • Ranaei, H.; Ghahremanifard, M. “Generate and Validating an Scale to Assess Organizational Readiness to Implementing Social Interanet”; Inf. Tech. Manag. 2013, 5, 37-60 (In Persian).
      • Paulk, M. C.; Curtis, B.; Chrissis, M. B.; Weber, C. V. “Capability Maturity Model, Version 1.1”; IEEE Software, 1993, 10, 18-27.
      • Sadrnejad, S. A.; Ziaei, M. “Behaviour of Bolted Beam-Column Connections Under Blast”; Passive Defence Sci. & Tech. 2013, 2, 93-101 (In Persian).