موضوع: مدل تحلیل شکاف سازمان برای پیادهسازی الزامات تداوم و مقاومسازی عملیاتها مطابق استاندارد BS 25999 Organizational Gap Analysis Model to Implement the Requirements for Continuity and Hardening of Operations Based on BS 25999 |
نویسندگان: محمدرضا تقوا- عضو هیات علمی دانشگاه علامه طباطبایی- taghva@gmail.com میلاد یداللهی- مدیر فنی شرکت آشناایمن – m.yadollahi@ashnasecure.com |
ارائه شده در: مجله علمی ـ پژوهشی علوم و فناوریهای پدافند نوین – دانشگاه امام حسین (ع) – سال پنجم- شماره 2- 1393 |
چکیده
روند بیوقفه و فراهم بودن اطلاعات و فرآیندهای کلیدی مرتبط با خدمات زیرساختی فناوری اطلاعات از طریق مقاومسازی سامانهها در مقابل حملات به عنوان یکی از اصول پدافند غیرعامل، همواره یکی از مهمترین دغدغههای سازمانها در پدافندهای غیرعامل الکترونیکی و دفاع سایبری بوده که معمولاً از طریق استقرار استانداردهای امنیتی مدیریت میشوند. در این پژوهش پس از مطالعه گسترده ادبیات موضوع، مهمترین عوامل حیاتی موفقیت در پیاده سازی سامانه مدیریت تداوم کسب و کار استخراج گردید. این عوامل در پرسشنامهای برای 83 نفر از خبرگان ارسال شد که پس از جمعآوری اطلاعات از 64 خبره، 36 شاخص شناساییشده، با استفاده از تحلیل عاملی اکتشافی و آزمون دوجملهای در 9 دسته عامل قرار گرفته و تأیید شدند. توسط روش میانگین موزون، وزن هر یک از گویهها و عوامل محاسبه شد و مدل پیشنهادی شامل عوامل مؤثر به همراه میزان اهمیت هر یک در تعیین میزان فاصله برای پیادهسازی سامانه مذکور ایجاد گردید. مدل پیشنهادی در دو شرکت ارائه دهنده خدمات فناوری اطلاعات اجرا و آزمایش شد.
کلید واژهها: تداوم عملیاتها، تحلیل فاصله، پدافند غیرعامل، امنیت اطلاعات، بازیابی از حادثه، تداوم کسب و کار.
Organizational Gap Analysis Model to Implement the Requirements for Continuity and Hardening of Operations Based on BS 25999
Mohammad Reza Taghva*, Milad Yadollahi
Allameh Tabataba’i University
(Received: 12/03/2014; Accepted: 25/06/2014)
Abstract
Availability and continuity of information and key processes that support the core IT services by hardening the computer systems against the attacks as a passive defence principle, has been one of the most important issues facing companies in electronic passive defences and cyber defence that are generally managed by implementing the relevant security standards. In this research, 36 critical success factors for implementing business continuity management were extracted from the comprehensive study of literature. These indicators were sent to 83 experts, among which 64 were collected, analyzed and categorized in 9 factors after exploratory factorial analysis and also they were all approved by binomial test. Harmonic mean was used to calculate the weight of factors and components and finally a model including the effective factors and weight of their importance for organizational gap analysis to implement business continuity management system, was proposed. The proposed model was implemented and tested in two IT service provider companies.
Keywords: Continuous Operations, Gap Analysis, Passive Defence, Information Security, Disaster Recovery, Business Continuity
1.مقدمه
محیط رقابتی تجارت در قرن بیست و یک از یکسو و چالشها و تهدیدهای این محیط از سوی دیگر، کسب و کار سازمانهای امروزی را در معرض مخاطرههای مختلفی قرار داده است. این مخاطرهها در گسترههای وسیعی اتفاق می افتند و از جمله آنها میتوان به بلایای طبیعی، حملههای تروریستی و اشتباههای سهوی یا عمدی کارکنان اشاره کرد. همچنین مخاطره میتواند در پی تغییرات درونی سازمان، متوجه آن شود. مواردی مانند تغییر راهبردهای سازمان، کوچکسازی شرکت، مهندسی مجدد یا برونسپاری کردن فرآیندها و خدمات که هرکدام تبعات خاص خود را دارد [1]. وقوع این رخدادها ممکن است سبب اختلال در عملیات روزانه کسب و کار، ناراضی شدن مشتریان و به خطر افتادن اعتبار سازمان و ایجاد وقفه در جریان درآمدی گردد
[2 و 3]. کمتر از 60 ثانیه لازم است تا کل اعتبار یک سازمان از بین به رود و کسب و کار آن نابود شود. خرابی سرویس دهنده به مدت یک دقیقه یا حمله هکرها ممکن است تبعاتی برای کسب و کار داشته باشد که جبران آن ماهها و سالها به طول بینجامد و شاید هرگز نتوان آن را جبران نمود [4] به طوری که آن دسته از حوادث فناوری اطلاعات و سایبری که موجب عدم دسترسی به اطلاعات میشوند، ممکن است کسب و کارها را با مشکلاتی از قبیل از دست دادن مشتریان، اعتبار و سهم بازار مواجه سازد [5].
از اصول پدافند غیرعامل، حفاظت از مراکز حیاتی و مهم و مقاومسازی آنها در برابر حملات احتمالی است و همچنین تأمین امنیت و حصول اطمینان از عدم دسترسیهای غیرمجاز به اسرار و اطلاعات کشور و ایمنسازی و حصول اطمینان از پایداری و خللناپذیری در فعالیتهای شبکههای الکترونیکی مدیریت و کنترل کشور را میتوان از اهداف پدافند غیرعامل در حوزه فناوری اطلاعات دانست [6]. تحقیقات مؤسسه [BSI 7] نشان میدهد که 63 درصد از شرکتها در زمینه فناوری اطلاعات کاملاً آسیب پذیر هستند. با وجود محیط مخاطرهای و همراه با تهدیدهای فناوری اطلاعات، معمولاً مدیران سازمانها به دنبال تضمین تداوم سرویسها و فعالیتهای سازمانی خود با بهرهگیری از طرحهای تداوم کسب و کار و بازیابی از حادثه برای حفظ حالت دفاعی خود میباشند. توانایی وفق پذیری و پاسخگویی به بحرانها و همچنین موقعیتها و فرصتها به منظور حفظ تداوم عملیاتهای کسب و کار با قابلیت اطمینان بالاتر و همچنین ایجاد بستر رشد و توسعه را تداوم کسب و کار گویند [8].
واژه پدافند غیرعامل، به کلیه تدابیر، عملیات و روشهای مختلف که موجب جلوگیری و کاهش از خسارات در ابعاد متفاوتی میشود، اطلاق میگردد که کشورها، دستگاه های اجرایی کشور در شرایط بحران ناشی از تهاجم دشمن به این مجموعه اقدامات غیر مسلحانه نیازمند میباشند تا منجر به استمرار تولید و تداوم خدمات، کاهش آسیبپذیری، پایداری ملی و تسهیل مدیریت بحران برای ادامه حیات حداقلی مردم باشد [9].
مدیریت تداوم کسب و کار، فرآیندی را در اختیار سازمان قرار میدهد که توسط آن بتواند مأموریتهای اساسی کسب و کاری خویش را در زمان و پس از شناسایی وقایع، همراه با مخاطره انقطاع، ادامه دهد [10].
از سویی، همانگونه که متخصصان حوزه تغییر بیان میکنند، تحلیل شکاف و آمادگی سازمانی برای تغییر، یک پیشنیاز مهم برای پیادهسازی و اجرای موفقیت آمیز تغییر است [11]. به گفته دیگر، سازمانهایی که برای هدایت و ناوبری تغییر، آمادگی بیشتری نشان میدهند، دوره گذار را اثربخشتر و موفقتر پشت سر خواهند گذاشت [12]. با توجه به اهمیت تداوم کسب و کار و همچنین نیاز به یک چارچوب مناسب برای پیادهسازی آن در قالب سامانه مدیریت تداوم کسب و کار، برای تضمین تداوم فعالیتهای کلیدی و محوری سازمان میبایست تمامی ابعاد امنیت و تداوم کسب و کار را مورد نظر قرار داد. سازمانهای مختلف بنا به نیاز و اصول کسب و کار خود، شروع به برنامه ریزی جهت مدیریت تداوم کسب و کار و بازیابی حوادث میکنند. اما همانگونه که گفته شد، جهانی شدن کسب و کارها و شبکههای ارتباطی مانند اینترنت و ارتباط کسب و کارهای مختلف با یکدیگر، نیاز به داشتن برنامهای با اصول یکسان و بر پایه استانداردی جهانی و فراگیر که بتواند تمامی انواع کسب و کار را تحت پوشش قرار دهد را بیش از پیش نمایان و گریزناپذیر میسازد. در این راستا مؤسسههای معتبر بینالمللی، استانداردهایی را تدوین کردهاند تا تمامیت و یکپارچگی این موضوع را پوشش دهند. مهمترین و معتبرترین استاندارد جهانی در این زمینه از ابعاد امنیت دادهها و پدافند، استاندارد جهانی BS 25999 میباشد که در دو بخش و در سالهای 2006 و 2007 توسط مؤسسه استاندارد انگلستان و بر پایه استاندارد PAS56 تدوین شده است و به عنوان یک نقطه آغاز قابل اعتماد در این مقوله به کار میرود [13]. در سال 2012 نیز استاندارد جهانی مؤسسه استاندارد، ISO 22301 به عنوان نسخه معادل BS 25999-2 انتشار یافت. این استاندارد نیاز سازمان در تدوین، پیادهسازی، اجرا، نظارت، بازنگری، نگهداری و بهبود یک سامانه مستند شده مدیریت تداوم کسب و کار را مشخص میسازد [14].
باید توجه داشت که مطابق با تعاریف پایهای امنیت اطلاعات و دادهها مطابق با الگوهای جهانی نظیر نسخه سال 2013 استاندارد سامانه مدیریت امنیت اطلاعات ISMS که با عنوان ISO 27001 شناخته میشود، امنیت اطلاعات گرداگرد 3 مفهوم دردسترس بودن، صحت و محرمانگی اطلاعات تعریف میگردد که تداوم عملیاتها و مشخصاً تداوم کسب و کار، بعد اول آن، یعنی دردسترس بودن و فراهم بودن دادهها، اطلاعات و خدمات را پوشش میدهد. با توجه به اهمیت این بعد از امنیت اطلاعات، مدیریت تداوم کسب و کار یکی از 14 حوزه کنترلهای استاندارد ISMS را با 4 الزام کنترلی به خود اختصاص داده است. همانگونه که گفته شد، با توجه به اهمیت این مقوله در فضای مخاطرهای امروزی، این حوزه آنقدر گسترش یافت تا استاندارد جدید و مجزایی با عنوان BS 25999 و در ادامه ISO 22301 را به نام خود ثبت کرد. با پیادهسازی این استاندارد میتوان آسیبپذیریهای کلیه داراییهای سازمانی نظیر خدمات بنیادین، نیروی انسانی، ساختمانها، تأسیسات، تجهیزات، اسناد و شریانها را در سطح سازمانی و حتی ملی، در مقابل مخاطرات غیر عمدی و یا موارد عمدی نظیر عملیاتهای خصمانه و مخرب مدیریت نمود و آمادگی خود را حفظ کرد. بدین ترتیب با عنایت به مفهوم پدافند غیرعامل، میتوان این استاندارد را اصلیترین و معتبرترین استاندارد جهانی در حوزه آمادگی برای تداوم عملیاتها، مقاومت پایدار و پدافند غیرعامل در نظر گرفت.
با توجه به شروع حرکت بسیاری از سازمانها به سوی پیادهسازی سامانه مدیریت تداوم کسب و کار و اهمیت یافتن موضوعاتی همچون پدافند غیرعامل و حفظ و تداوم کسب و کار سازمانها، این پژوهش به دنبال یافتن معیارهایی برای اندازه گیری سطح تداوم فعالیتهای سازمانها جهت پیادهسازی سامانه مدیریت تداوم کسب و کار و همچنین تعیین میزان فاصله و بلوغ سازمانهایی که قصد پیادهسازی این سامانه را بر مبنای استاندارد جهانی BS 25999 و یا استانداردهای معتبر معادل آن نظیر ISO 22301 را دارند، میباشد. بنابراین سؤالهای پژوهش به شرح زیر مطرح شد:
- مقیاس و شاخصهای ارزیابی تحلیل شکاف برای پیادهسازی سامانه مدیریت تداوم کسب و کار در سازمان چیست و هر یک به چه میزان تأثیرگذار میباشند؟
- وضعیت تداوم فعالیتها شرکتهای ماموت فناوری اطلاعات و توسعه و نوآوری شهر با توجه به شاخصهای شناسایی شده، چگونه است و آیا آمادگی لازم برای پیادهسازی سامانه مدیریت تداوم کسب و کار را دارند؟
در رابطه با تحلیل شکاف و ارزیابی آمادگی سازمانها در زمینه های مختلف، مطالعات مختلفی در سطوح متفاوت صورت پذیرفته است. در حقیقت ارزیابی آمادگی کسب و کار، فعالیتی است که در ابتدای پروژه پیادهسازی و به عنوان عاملی برای ادامه و یا عدم ادامه فعالیت در نظر گرفته میشود [15]. در مجموعه پژوهشهای انجام شده توسط [16]، دستهبندی مناسبی از مدلها و روشهای معروف در این زمینه مطرح شده است. هرکدام از این مدلها، با توجه به روش مورد استفاده، ابعاد خاصی از سازمان شامل فرآیندها، فناوری، سازمانی و اطلاعاتی را مورد مطالعه خود قرار میدهند. از طرفی هر گونه پیادهسازی و استقرار سامانه مدیریتی نیز خود، یک تغییر سازمانی محسوب میشود که میبایست با توجه به ماهیت سامانه مورد نظر، قابلیت سازمان برای پذیرش آن را اندازه گیری کرد. در حقیقت آمادگی همواره با خود مفهوم تغییر را به همراه دارد. آمادگی از یک احساس موضوعی و یا یک توانایی قابل قبول نشئت میگیرد. بدین ترتیب آمادگی میبایست به نحوی مفهوم سازی گردد که یک سازمان را به صورت آماده و یا غیر آماده دسته بندی نماید [17]. در تحقیق انجام شده توسط [18] دستهبندی مناسبی از عوامل مؤثر و نحوه اندازهگیری آنها در ارزیابی آمادگی سازمان در برابر تغییرات عنوان شدهاند که عبارتند از: عوامل انگیزشی برای تغییر، تناسب منابع به کار گرفته شده، ویژگی کارکنان و بلوغ و شرایط سازمان.
در حوزه مدیریت تداوم کسب و کار نیز مؤسسه [19,20 IBM] مطالعاتی گسترده همراه با ارائه فناوریهای نوین و تجهیزات خاص را انجام داده است که مشهودترین ثمره آنها ارائه چارچوبها و سطحبندیهای تداوم کسب و کار با عنوان 7 لایه تداوم کسب و کار، به ویژه در حوزه فناوریهای مربوط به ذخیره سازی دادهها و چگونگی بازیابی آنها پس از حادثه میباشد. هر کدام از این لایهها، دارای مقادیر مختلفی برای مشخصههای زمان بازیابی، هزینه و میزان از بین رفتن و یا صدمه دیدن دادهها هستند که در بهترین حالت، یعنی سطح هفتم، زمان بازیابی دادهها آنی، هزینه حداکثر و میزان صدمه دیدن دادهها صفر و یا نزدیک به صفر است [8]. همچنین مؤسسه استاندارد انگلستان، به عنوان متولی استاندارد این سامانه به همراه انتشارات [23,21 IT Governance] روشهای پیادهسازی بهینه را برای درک بهتر مدیریت تداوم کسب و کار و پوشش الزامات استاندارد، در مجموعه کتب خود مورد بررسی قرار میدهند. با این وجود با توجه به نوظهور بودن مفاهیم مذکور، تا به حال پژوهشی در رابطه با تحلیل شکاف یا سنجش میزان آمادگی سازمانها برای پیادهسازی استانداردهای این حوزه و به طور کلی نگاه سامان های به این مقوله صورت نپذیرفته است و بیشتر مطالعات، جنبه فناوری و تجهیزات را در بر میگیرند. بنابراین پژوهش پیشرو سعی در بررسی میزان آمادگی سازمانها برای پیادهسازی نظاممند تداوم کسب و کار را دارد، تا بدین وسیله سازمانها را برای پیادهسازی بهینه این سامانه و بیشتر کردن شانس موفقیت اجرا، یاری نماید.
در زمینه تحلیل شکاف برای پیادهسازی نظامهای مدیریتی بر اساس استانداردها، سامانههای اطلاعاتی، فناوری و به طور کلی آمادگی برای تغییر، پژوهشهای مختلفی انجام پذیرفته است. در تحقیق انجام شده برای سنجش میزان آمادگی سازمان به منظور پیادهسازی سامانه مدیریت امنیت اطلاعات [24]، پس از بررسی مجموعهای از عوامل مؤثر در میزان آمادگی سازمان در پیادهسازی ISMS و استفاده از استاندارد ISO/IEC 27001 به عنوان مرجع این سامانه مدیریتی، به ارائه عوامل مؤثر در سنجش میزان آمادگی و بلوغ سازمان جهت پیادهسازی ISMS پرداخته شده است. همچنین در پژوهش [14] که با هدف ارزیابی وضعیت مدیریت تداوم کسب و کار در پایانههای فروش فروشگاههای زنجیرهای انجام شده است، به بررسی وضعیت مدیریت تداوم کسب و کار و میزان تطابق آن با استاندارد مرجع این حوزه در 6 حوزه محدوده و پشتیبانی از سامانه مدیریت، شناسایی کسب و کار، مشخص نمودن راهبرد تداوم کسب و کار، تمرین، بازبینی و نگهداری سامانه، نهادینه سازی مدیریت تداوم کسب و کار در فرهنگ سازمانی و گواهینامه تطابق با استاندارد پرداخته شده است. اما در یک سطح بالاتر و در حوزه ارزیابی آمادگی فناوریهای مختلف که ارتباط تنگاتنگی با استقرار سامانههای مدیریتی دارند، تحقیقات صورت گرفته گسترده و متنوعتر هستند. با نگاه به سیر تاریخی و جمع بندی ارزیابی آمادگی در حوزه فناوری مطابق با پژوهش انجام شده توسط منکینز [25] که در آن سطوح مختلف مرتبط با آمادگی فناوری مورد بررسی قرار میگیرد و سیر تاریخی آن بحث میشود، برای آمادگی حوزه فناوری، 7 سطح در نظر گرفته شده است که شامل مواردی چون: استقرار اصول اولیه، قاعدهمند شدن مفاهیم یا کاربرد فناوری، انجام شدن تحلیلها و پژوهشها برای اثبات مفاهیم، تأیید نمونهها در محیط آزمایشگاهی، تأیید نمونهها در محیطهای مربوطه، اثبات الگوی سامانه در محیطهای مربوطه، اثبات الگوی سامانه در محیطهای برنامهریزی شده و عملیاتی، تکمیل شدن سامانه واقعی و تأیید شدن سامانه واقعی از طریق انجام موفقیت آمیز مأموریتها، میشوند. همچنین با بررسی پژوهش انجام شده توسط کواک و لی [26] میتوان به درک خوبی در اصول تئوریک و اثبات عملی در آمادگی برای تغییر دست یافت. در پژوهش انجام شده، آمادگی برای تغییر و همچنین تأثیر آن بر ارزش ایجاد شده از طریق کاربرد سامانههای ERP بررسی شده است. ابتدا مدل پژوهش با استفاده از TAM و TPB ایجاد شد و سپس با استفاده از داده های گردآوری شده از یک سامانه ERP در کره جنوبی، مورد آزمون قرار گرفته و در نهایت تحلیل معادلات ساختاری با استفاده از ابزار لیزرل انجام شده است. نتایج این پژوهش، تأثیر غیر مستقیم آمادگی برای تغییر بر روی رفتار کاربران برای استفاده از سامانه را نشان میدهد و از طرفی تأکید میکند که آمادگی برای تغییر توسط دو عامل تعهد سازمانی و شایستگی کارکنان افزایش مییابد. در زمینه آمادگی فناوری، تحقیقات انجام شده توسط آهونن [27] و رعنایی و قهرمانیفرد [28] نیز در زمینه موضوعی اینترانت اجتماعی، همسو با استقرار سامانههای مدیریتی میباشند. در پژوهش اول، مدل آمادگی سازمان برای تغییر وینر [11] شامل عوامل زمینهای، ارزشگذاری تغییر و ارزیابی اطلاعاتی مورد استفاده قرار گرفته که پس از تحلیل دادهها از طریق رگرسیون خطی چند متغیره، هیچگونه ارتباط معنیداری بین متغیرهای اشاره شده وجود نداشت، از طرفی در پژوهش دوم، ویژگیهای سازمانی مورد نیاز جهت آمادگی برای پیادهسازی اینترانت اجتماعی، شامل فرهنگ سازمانی، سیاستها و رویهها، تجربه شخصی، منابع سازمانی، ساختار سازمانی مشخص و ابزاری شامل 48 گویه برای اندازه گیری ویژگیهای سازمانی طراحی و در نهایت 43 گویه پایا و معتبر به دست آمد و این یافته در شرکت برق منطقهای فارس مورد آزمون قرار گرفت.
همانطور که پیشینه پژوهش نشان میدهد، پژوهشهای اول و دوم، اختصاص به دو استاندارد اصلی و جهانی امنیت اطلاعات و تداوم کسب و کار، یعنی ISO/IEC 27001 و BS 25999 دارند که با توجه به جدید بودن دید نظاممند و استانداردی به حوزه تداوم عملیاتها و سنجش آن، محدودیت پژوهش در این حوزه بسیار مشهود است.
2.روش تحقیق
پژوهش حاضر از منظر هدف، کاربردی است و روش آن نیز توصیفی-پیمایشی به شمار میرود. مشخصات دیگر این پژوهش در جدول (1) آورده شدهاند.
جدول 1. خلاصه اطلاعات مربوط به روش پژوهش
جامعه آماری این پژوهش جهت تعیین شاخصهای مطلوب وزنها مربوط به ابعاد سطح آمادگی برای پیادهسازی سامانه مدیریت تداوم کسب و کار شامل اساتید، خبرگان و محققین با زمینه فعالیت یا پژوهش در حوزه امنیت اطلاعات، کارشناسان حوزه تداوم کسب و کار و بخش سامانهای امنیت اطلاعات در شرکتهای مشاور امنیتی و برخی از مدیران امنیت در سازمانها و شرکتهای بزرگ تهران میباشند. برای 83 نفر از این خبرگان جهت استخراج نظر آنها جهت میزان موافقت با اجزای مدل، پرسشنامهای با بهرهگیری از طیف لیکرت ارسال شد که 64 پرسشنامه برگشت داده شده، به عنوان نمونه آماری به صورت تصادفی مورد پیمایش قرار گرفتند. پرسشنامه مذکور از دو قسمت اصلی شامل مشخصات فردی پاسخدهنده و شاخصهای مرتبط با تداوم کسب و کار تشکیل شده است. در قسمت اول پرسشنامه، اطلاعاتی همچون نوع سازمان محل خدمت (شامل دانشگاه، مرکز تحقیقاتی، سازمان دولتی یا خصوصی)، جایگاه سازمانی (شامل مدیر ارشد، مدیر میانی و کارشناس اجرایی)، میزان تحصیلات (شامل دکتری، کارشناسی ارشد، کارشناسی و سایر موارد)، میزان آشنایی با مفاهیم و الزامات استاندارد هدف (شامل آشنایی خیلی کم، کم، متوسط، زیاد و خیلی زیاد) و همچنین مدت زمان فعالیت در حوزه امنیت اطلاعات و یا تدوام کسب و کار و پدافند غیرعامل، دریافت گردید. در قسمت دوم پرسشنامه، 36 شاخص نهایی برای ارزیابی که از ادبیات موضوع و استاندارد هدف مستخرج شده بودند، مورد سوال قرار گرفتند.
تحلیل جمعیت شناختی نمونه از منظر میزان تحصیلات، نوع سازمان محل خدمت، جایگاه سازمانی و سابقه فعالیت در حوزه امنیت اطلاعات یا تداوم کسب و کار، در جدول های (5-2) نشان داده شده است. همانطور که در جداول مرتبط با تحلیل جمعیت شناختی نمونه دیده میشود، پاسخ دهندگان از سطح تجربه قابل توجهی در حوزه امنیت اطلاعات و تداوم کسب و کار برخوردار هستند (حدود 72 درصد آنها دارای سابقه بیش از 3 سال در این حوزه هستند) و از طرفی میزان تحصیلات و جایگاه سازمانی این افراد در سطح مناسبی برای پاسخگویی به سؤالات پرسشنامه قرار میگیرد.
از طرفی باید توجه داشت که تعداد 64 نفر، حجم مطلوبی برای تحلیل عاملی به نظر نمیرسد و با توجه به تعداد عاملها، این تعداد میبایست حداقل 108 باشد. ولی با توجه به عدم دسترسی به افراد خبره این حوزه و نوظهور بودن موضوع، محقق به این ضعف در اندازه نمونه اشعار میدارد. در این پژوهش برای تجزیه تحلیل دادهها از نرم افزار SPSS استفاده شده است.
جدول 2. ویژگیهای جمعیت شناختی نمونه – میزان تحصیلات
جدول 3: ویژگیهای جمعیت شناختی نمونه – نوع سازمان محل خدمت
جدول 4: ویژگیهای جمعیت شناختی نمونه – جایگاه سازمانی
جدول 5: ویژگیهای جمعیت شناختی نمونه – سابقه در حوزه امنیت
تعیین پایایی پرسشنامه با استفاده از آلفای کرونباخ انجام شد و برای اندازهگیری روایی ظاهری و محتوایی پرسشنامه، از نظر خبرگان و اساتید مربوطه استفاده شد و اشکالات ساختاری آن شناسایی و اصلاحات لازم جهت برآورده ساختن روایی محتوا انجام شد. برای اندازه گیری روایی سازه از تحلیل عاملی اکتشافی و تأییدی استفاده شده است. پس از آن برای آزمون فرضیهها از آزمون دوجملهای استفاده میشود و جهت تعیین وزن و اهمیت هر شاخص و همچنین وزن عوامل نهایی نیز از روش میانگین موزون استفاده شده است. در پایان، دو شرکت ماموت فناوری اطلاعات و توسعه و نوآوری شهر که قصد پیادهسازی سامانه مدیریت تداوم کسب و کار را دارند، به عنوان نمونه انتخاب شدند. وضعیت موجود این شرکتها به منظور مقداردهی شاخصهای به دست آمده با بهکارگیری مدل 5 سطحی مهندسی امنیتی بلوغ قابلیتهای امنیتی [SSE-CMM 29] و استفاده از مصاحبه ساختیافته با مدیران این مجموعهها، استخراج شده و میزان فاصله برای پیادهسازی این سامانه در آن شرکتها تعیین گردید.
3. نتایج و بحث
با توجه به دریافت 64 پرسشنامه از پاسخدهندگان، پایایی پرسشنامه با استفاده از ضریب آلفای کرونباخ، 0/950 به دست آمد که با توجه به بیشتر بودن از 0/7 و اختلاف زیاد آن، رقمی بسیار قابل قبول است. بر روی دادههای جمع آوری شده با استفاده از روش مؤلفههای اصلی تحلیل عاملی صورت گرفت و نتیجه آزمون KMO ،0/768 محاسبه شد که با توجه به اینکه بیشتر از 0/5 است، نمایانگر کفایت نمونهگیری و درجه تناسب دادهها برای اجرای تحلیل عاملی میباشد. همچنین آزمون کرویت بارتلت که نشان دهنده همبستگی دادههای ماتریس میباشد نیز با ضریب اهمیت 0/0001 مورد تأیید قرار گرفت. به علاوه، مقدار آزمون بارتلت برابر با 1462 است و معنیداری آن در سطح 99 درصد، نشان میدهد از یک سو بین گویههای داخل هر عامل همبستگی بالایی وجود دارد و از سوی دیگر، بین گویههای یک عامل با گویههای عامل دیگر، هیچگونه همبستگی مشاهده نمیشود.
با توجه به جدول (6)، ماتریس همبستگی دادهها که با روش مؤلفه های اصلی به دست آمده است، نشان میدهد که از مجموع 36 گویه پرسشنامه، 9 گویه دارای مقدار ویژه بالاتر از 1 میباشند و این 9 عامل میتوانند حدود 71 درصد از واریانس متغیر کمی را تبیین کنند و در واقع نشاندهنده روایی سؤالات میباشد.
تحلیل سنگ ریزه که در شکل (1) نشان داده شده است، نشان دهنده مقدار ویژه عوامل شناساییشده میباشد. این نمودار نشان میدهد که
9 عامل از گویهها استخراج شده است. در نهایت برای دستهبندی عوامل از چرخش پروماکس استفاده شد که در ماتریس چرخشیافته برای متغیرهای سامانه مدیریت تداوم کسب و کار (BCMS)، در مجموع
9 عامل کلی شناسایی و با توجه به ادبیات پژوهش نامگذاری شد. این عوامل عبارتند از: 1. شناخت سازمان، 2. بهبود مستمر، 3. ایجاد و مدیریت سامانه، 4. ایجاد واکنش و طرح تداوم، 5. بازبینی و کنترل سامانه، 6. تعبیه سامانه در فرهنگ سازمانی، 7. مستندسازی سامانه،
8. تعیین راهبردهای تداوم و 9. تمرین، نگهداشت و بازنگری سامانه.
جدول 6. ماتریس همبستگی دادهها و اطلاعات توصیفی
پس از تحلیل عاملی بر روی متغیرها و تعیین متغیرهای نهایی و عاملهای شناساییشده، فرضیههای پژوهش که نظر موافق پاسخ دهندگان در مورد تأثیر عوامل کشف شده بر روی آمادگی سازمان برای پیادهسازی سامانه مدیریت تداوم کسب و کار را مورد آزمون قرار میدهد، با استفاده از توزیع دوجملهای مورد بررسی قرار گرفتند. همانطور که در جدول (7) نشان داده شده است، کلیه عوامل اصلی و همچنین کلیه گویهها، با نسبت بالاتر از 0/6 درصد و سطح معناداری 0/000 مورد تأیید قرار گرفتند. در این آزمون، میزان خطا 05/0و تعداد نمونه 64 در نظر گرفته شد که افراد در آن به 3 گروه موافق (منتخبین گزینه 4 و 5 طیف لیکرت)، مخالف (منتخبین گزینه 1 و 2 طیف لیکرت) و حذف شده (منتخبین گزینه 3 طیف لیکرت) تقسیم شدند.
برای محاسبه وزن هر یک از شاخصها از روش میانگین موزون استفاده میشود. بدین منظور، ارزش هر گویه که بر اساس طیف لیکرت، عددی بین 1 تا 5 است، در فراوانی نسبی هر یک از گویهها ضرب میشود. مجموع این حاصلضربها، ارزش هر شاخص را تشکیل میدهد. از آنجایی که برای تحلیل ارزش هر عامل لازم است تا این اعداد بین صفر و 1 باشند، این ارزشها باید نرمال سازی شوند. بدین منظور، مجموع ارزش همه شاخصهای هر عامل، جمع شده و عددی به دست میآید که ارزش هر شاخص بر این عدد تقسیم میشود. بدین ترتیب، ارزش هر یک از شاخصها نرمال شده و میتوان از آنها برای محاسبه ارزش هر عامل استفاده نمود. نتایج حاصلشده در جدول (8) نشان داده شدهاند.
جدول 7. نتایج آزمون دوجمله ای بر روی عوامل و شاخصها
جدول 8. وزن عوامل و گویههای استخراج شده
با توجه به نتایج حاصل شده مطابق با جدول (8)، در مورد عامل شناخت سازمان، شاخص تعیین الزامات استمرار، بیشترین امتیاز را به خود اختصاص داده است. همچنین مواردی همچون ارزیابی مخاطره و تحلیل اثرات کسب و کار دارای ارزشی برابر بوده و از درجه اهمیت بالایی در مدل برخوردار میباشند. با توجه به اهمیت خاصی که استاندارد برای این دو مبحث در قسمت برنامهریزی سامانه قائل است، به نظر میرسد که در این مورد، پاسخ دهندگان نیز نظری یکسان با استاندارد را دارند. در مورد عامل بهبود مستمر، با توجه به مکمل بودن دو شاخص اقدامات اصلاحی و پیشگیرانه، امتیازات نزدیک به هم را از دید خبرگان کسب کردهاند. با توجه به نتایج حاصلشده برای عامل ایجاد و مدیریت BCMS، شاخص تدارک منابع بیشترین امتیاز را به خود اختصاص داد. بدین ترتیب پاسخدهندگان بر این باورند که تدارک منابع از ابعاد مختلف میتواند نقشی اساسی در شروع پیادهسازی را به خود اختصاص دهد. کنترل مستندات و رکوردهای مربوط به سامانه مدیریت تداوم کسب و کار نیز در عامل هفتم قرار میگیرند. این دو مبحث به عنوان دو فعالیت مستمر و بنیادین در سامانه در نظر گرفته میشوند که با توجه به استاندارد بودن اهداف، مستندسازی بسیار مهم و حیاتی میباشد. از این نتایج میتوان دریافت که پاسخ دهندگان تفاوت محسوسی بین این دو شاخص قائل نگردیدهاند.
عامل هشتم شامل راهبرد برای استمرار منابع مختلف سازمان نظیر: افراد، محل کار، فناوری، اطلاعات، موجودی و ذینفعان میباشد که در بررسی نظر پاسخ دهندگان، تفاوت زیادی بین اهمیت این شاخصها مشاهده نمیشود، ولی میتوان راهبرد تداوم برای سایت کاری را پررنگتر دید که با مقایسه این یافته با اصول پدافند غیرعامل، ساخت و مقاوم سازی سازههای نظامی، صنعتی، تجاری و مسکونی به عنوان راهکاری مناسب برای کاهش خسارات جانی و مالی در اثر وقوع حوادث و بلایای طبیعی و یا انفجار در داخل یا خارج این سازهها به دلیل حملات تروریستی اهمیت بیشتری پیدا کرده [30] و از طرفی نشان میدهد ، اصل وجودی راهبرد مناسب در این حوزه، جدا از نوع راهبرد مورد استفاده دارای اهمیت بیشتری است.
در مجموع با توجه به نتایج حاصلشده مطابق با جدول (8)، همانطور که در شکل (2) نشان داده شده است، عامل ایجاد واکنش و طرح تداوم با اختلاف نسبتاً زیادی به عنوان مهمترین عامل از سوی خبرگان در مدل پیشنهادی برای تحلیل شکاف سازمانی سامانه مدیریت تداوم فعالیتها شناسایی شد. این نتیجه بیانگر این است که تمامی خبرگانی که در این پژوهش مورد سؤال قرار گرفتهاند، بر عملی و مشهود بودن فعالیتهای صورت گرفته نگاهی ویژه دارند. همچنین دو عامل شناخت سازمان و تعیین راهبردهای تداوم که جزء مراحل اولیه پیادهسازی سامانه میباشند در رتبه بعدی قرار گرفتند که باز هم نتیجهگیری فوق را تأیید مینمایند.
شکل 2. وزن ها مدل برای عوامل مرتبط با تحلیل شکاف پیادهسازی BCMS
3-1. نتایج حاصل از اجرای مدل پیشنهادی
برای آزمودن مدل به دست آمده، شرکت ماموت فناوری اطلاعات (شرکت الف) و شرکت توسعه و نوآوری شهر (شرکت ب) به عنوان دو شرکت ارائه دهنده خدمات فناوری اطلاعات که قصد پیادهسازی سامانه مدیریت تداوم کسب و کار را دارند، انتخاب شدند. در مورد شرکت الف، با توجه به اینکه ارائه خدمات مشاوره در زمینه استقرار سامانههای مدیریتی از جمله سامانه مدیریت امنیت اطلاعات، جزء سبد محصول این شرکت میباشد و از طرفی سامانه مذکور در این شرکت پیادهسازی شده است، برخی از فعالیتهای مشترک میان سامانههای مدیریتی دیگر و سامانه مدیریت تداوم کسب و کار در این شرکت از پیش پیادهسازی شدهاند، از طرفی شرکت ب نیز با توجه به اینکه در حوزه بانکداری و پرداخت الکترونیکی فعالیت میکند و حساسیت خاص این بخش، برخی از نیازمندیهای این سامانه را پوشش داده است.
با توجه به شاخصها و وزن های که در مدل به دست آمد، جهت سنجش میزان پیادهسازی این شاخصها در شرکتهای مذکور از طریق مصاحبه با مدیران میانی و ارشد، برای هر کدام از شاخصها مطابق با روش CMM سطوح پنجگانهای شامل: 1- اولیه، 2- تکرارپذیر، 3- تعریف شده، 4- مدیریت شده و 5-بهبودیافته [29]، در نظر گرفته شد. امتیاز موزون هر شاخص از ضرب سطح CMM در وزن آن مطابق مدل، به دست میآید. سطح CMM هر عامل در شرکت از میانگین سطوح CMM شاخصهای آن عامل به دست میآید. از ضرب این سطح در وزن عامل مطابق مدل، امتیاز موزون عامل در شرکت به دست میآید. نتایج حاصل شده در جدول (9) آورده شدهاند.
برای درک بهتر میزان شکاف و فاصله شرکتهای مورد بررسی، میتوان از شکلهای 3 و 4 استفاده نمود. در این نمودار میتوان سطح CMM هر یک از عاملها در مقایسه با امتیاز موزون آن را در قالب نمودار رادار برای هر یک از شرکتها مقایسه نمود.
شکل 3. وضعیت تحلیل شکاف تداوم فعالیتها در شرکت الف
جدول 9: سطح CMM در شرکتهای مورد بررسی و نتایج اجرای مدل پیشنهادی
همانطور که در شکل (3) مشاهده میشود، در مورد شرکت الف، سطح CMM اظهار شده برای عامل پنجم که مواردی همچون بازنگری مدیریت و ممیزی داخلی را شامل میشود، با توجه به پیادهسازی دیگر سامانههای مدیریتی در شرکت، امتیاز بالاتری را معادل4/50، به خود اختصاص داده است و دیگر عاملها در بازه امتیازیِ 1/85 تا 2/83 قرار گرفتهاند. پس از اعمال مدل پیشنهادی، مشاهده میشود که عامل اول- شناخت سازمان، به همراه عوامل چهارم- ایجاد واکنش و طرحهای تداوم و هشتم- تعیین راهبردهای تداوم، به دلیل برخورداری از وزن ها بالاتر و یا همچنین وضعیت CMM بهتر در شرکت، امتیازات بهتری را کسب کردهاند.
از سوی دیگر مطابق با شکل (4) در مورد شرکت ب، عوامل ایجاد و مدیریت سامانه و همچنین تعبیه سامانه در فرهنگ سازمانی دارای سطح CMM مناسب و بیشتر از 4 میباشند. پس از اعمال مدل، عامل هشتم که به تعیین راهبردهای تداوم اختصاص دارد، توانست بالاترین امتیاز را در این شرکت کسب نماید.
شکل 4. وضعیت تحلیل شکاف تداوم فعالیتها در شرکت ب
4.نتیجهگیری
در عصر فناوری اطلاعات و محیط رقابتی امروز، در بسیاری از کسب و کارها و به ویژه کسب و کارهای مرتبط با فضای دیجیتال، فرآیندهای کلیدی و محوری سازمان شدیداً به زیرساختهای فناوری اطلاعات وابسته میباشند و از کارافتادگی سامانههای بنیادین و اساسی، سازمانها و حتی در بعضی موارد کشورها را با مشکلات جدی و هزینه های بالایی روبرو خواهد کرد. در این بین، بسیاری از مدیران به منظور حصول اطمینان از عدم بروز انقطاع در فرآیندهای سازمانی و به دنبال آن عدم بروز اختلال در ارائه خدمات و محصولات خود، سعی در بهکارگیری روشها، چارچوبها و استانداردهای مرتبط با امنیت دادهها و مدیریت تداوم کسب و کار را دارند. با توجه به لزوم شناخت مناسب از وضعیت فعلی سازمان، قبل از شروع پروژه های پیادهسازی سامانه مدیریت تداوم کسب و کار، جهت بهینه شدن منابعی همچون هزینه و زمان پیادهسازی، نیاز به ابزار اندازهگیری مناسب برای سنجش میزان آمادگی سازمان و یا میزان فاصله سازمان با الزامات استاندارد در این حوزه احساس میشود. در این راستا، پس از بررسی ادبیات موضوع و استخراج ویژگیها و فرآیندهای مورد نیاز در این سامانه، در نهایت 36 گویه پایا و معتبر حاصل شد که با توجه به محاسبه میزان تأثیرگذاری هر یک در تعیین میزان فاصله سازمان با الزامات استاندارد از طریق اختصاص وزن به آنها، ابزاری جهت میزان آمادگی سازمان برای پیادهسازی سامانه مدیریت تداوم کسب و کار بر مبنای استاندارد جهانی BS 25999 تهیه شد. نتایج وزن ها مدل پیشنهادی برای هر عامل در جدول (10) نشان داده شده است.
با استفاده از ابزار ایجادشده، تحلیل شکاف برای دو شرکت ارائه دهنده خدمات فناوری اطلاعات در مورد الزامات تداوم فعالیتها بر مبنای استاندارد مذکور اندازهگیری شد. با توجه به نتایج پژوهش، مبنای بررسی امتیازات و نتیجهگیریها در هر عامل، امتیاز موزون کسب شده توسط آن عامل خواهد بود. بدین ترتیب عامل اول- شناخت سازمان با کسب امتیاز0/475 در شرکت الف و عامل هشتم- تعیین راهبردهای تداوم با کسب امتیاز 0/559 در شرکت ب دارای بالاترین آمادگی میباشند. میتوان نتیجه گرفت دو شرکت در مهمترین عامل شناساییشده با ضریب 0/195، امتیاز نسبتاً بالایی معادل 0/361 و 0/445 را دریافت کرده و نتیجتاً در مدل، در سطح خوبی قرار میگیرند. از سوی دیگر مواردی همچون عامل ششم-تعبیه سامانه در فرهنگ سازمانی با امتیاز 0/14 و عامل هفتم- مستندسازی سامانه با امتیاز 0/112 در شرکت الف و همچنین عوامل پنجم- بازبینی و کنترل سامانه با امتیاز 0/081 و هفتم- مستندسازی سامانه با امتیاز 0/084 در شرکت ب، برای پیاده سازی موفقتر سامانه در این شرکتها باید بیشتر مورد توجه قرار گیرند. از حاصل جمع امتیاز موزون 9 عامل میتوان به یک عدد واحد دست یافت که میزان آمادگی نهایی سازمان را نشان میدهد و قابلیت اندازه گیری مجدد در طول زمان و یا مقایسه وضعیت آمادگی سازمانهای مختلف را امکانپذیر میسازد. نتیجتاً دو شرکت ماموت فناوری اطلاعات و توسعه و نوآوری شهر به ترتیب با کسب امتیازات نهایی 2/46 و 2/66، مطابق با مدل CMM بین سطوح دوم (تکرار پذیر) و سوم (تعریف شده) قرار گرفتند که در مجموع وضعیت مناسبی برای پیادهسازی سامانه را میتوان برای آنها متصور شد.
جدول 10. وزنها مدل پیشنهادی
در پایان برای پژوهشهای آتی این حوزه، پیشنهاد میشود تا مدل اندازهگیری طراحیشده در دیگر شرکتها و سازمانهای متعلق به بخش خصوصی و دولتی مورد اعتباریابی قرار گرفته و نتایج حاصل از سازمانهای مختلف با یکدیگر مقایسه گردند. همچنین با توجه به نوظهور بودن مفاهیم این حوزه و تعریف پروژههای جدید استقرار این سامانه در سازمانهای مختلف، پیشنهاد میشود اثربخشی بهکارگیری سامانه مدیریت تداوم کسب و کار، ارائه مدلی تلفیقی از ITIL، ISMS و BCMS برای پیادهسازی سامانه مدیریت خدمات فنآوری اطلاعات در بستری امن و مداوم و همچنین نقش استانداردهای حوزه سامانه مدیریت امنیت اطلاعات در مدیریت و بهینهسازی فعالیتهای مرتبط با پدافند غیرعامل و یا تعمیم مدل پیشنهادی برای استانداردهای همخانواده نظیر استانداردهای سری 27000، 22301 و 22302 نیز مورد مطالعه قرار گیرد.
- Gibb, F.; Buchanan, S. “A Framework for Business Continuity Management”; J. Inf. Manag. 2006, 26, 128-141.
- Ernest-Jones, T. “Business Continuity Strategy – The Life Line”; Network Security, 2005, 2005, 5-9.
- Gibb, F.; Buchanan, S.; Shah, S. “An Integrated Approach to Process and Service Management”; J. Inf. Manag. 2006, 26, 44-58.
- Stanton, R. “Beyond Disaster Recovery: The Benefits of Business Continuity”; Fraud. Secur. 2005, 18-19.
- Jarvelainen, J. “IT Incidents and Business Impacts: Validating a Framework for Continuity Management in Information Systems”; Manag. 2013, 33, 583-590.
- Khosravi, M.; Parsa, S. “Design and Implementation of a Metamorphic Engine Malware with Evaluation of Identifying Techniques Performance Approach”; Passive Defence Sci. & Tech. 2013, 3, 145-155 (In Persian).
- Pritchard, S. “Continuity in A Disaster”; Infosecurity, 2007, 4, 24-25.
- Brooks, C.; Clem, L.; Aslam, M.; Neal, C.; Qiu, Y. L.; Sing, J.; Wong, F. Th.; Wright, I. R. “IBM System Storage Business Continuity: Part 1 Planning Guide”; Business Machines Corporation Press: United States, 2007.
- Hosseini, S. A.; Eskandari, M. “Iran’s Passive Defence Organization Study of Organizational Commitment Officers”; Dev. & Mgmt. Hum. Res. 2011, 20, 103-130 (In Persian).
- Smith, C. L.; Brooks, D. J. “Business Continuity Management”; Cont. Manag. 2013, 2013, 192-223.
- Weiner, B. J.; Amick, H.; Lee, S. Y. D. “Review: Conceptualization and Measurement of Organizational Readiness for Change: A Review of the Literature in Health Services Research and Other Fields”; Care. Res. Rev. 2008, 65, 379-436.
- Discovery Learning “Research Summary 14-Development of the Change Readiness Gauge”; http://www. discoverylearning. com/images/document/Research%20Summaray14%20CRG.pdf, 2005.
- Frankland, J. “IT Security Metrics: Implementation and Standards Compliance”; Network Security 2008, 6-9.
- Dehmoubed, B. “Assessing Organizational Readiness in Chain Stores POSes Base on BS 25999”; Master Thesis, Department of Management, Tehran University 2009 (In Persian).
- Bottrell, E. G. “Business Rediness Assessment Plan-Project Implementation”; http://www.docstoc.com/docs/37728080/ ERP -Deliverables-Series, 2008.
- Khalfan, M. M. A.; Anumba, C. J.; Siemieniuch, C. E.; Sinclair, M. A. “Readiness Assessment of the Construction Supply Chain for Concurrent Engineering”; J. Purch. Supp. Manage. 2001, 7, 141-153.
- Mrayyan, M. T.; Modallal, R.; Awamreh, K.; Atoum, M.; Abdullah, M.; Suliman, S. “Readiness of Organizations for Change, Motivation and Conflict-Handling Intentions: Senior Nursing Students’ Perceptions”; Educ. Pract. 2008, 8, 120-128.
- Lehman, W. E. K.; Greener, J. M.; Simpson, D. D. “Assessing Organizational Readiness for Change”; Subt. Abuse. Treat. 2002, 22, 197-209.
- Brooks, C.; Clem, L.; Aslam, M.; Neal, C.; Qiu, Y. L.; Sing, J.; Wong, F. Th.; Wright, I. R. “IBM System Storage Business Continuity Solutions Overview”; Business Machines Corporation Press: United States, 2007.
- Bedernjak, M. J.; Merryman, J. I. “Disaster Recovery Strategies with Tivoli Storage Management”; Business Machines Corporation Press: United States, 2002.
- Drewitt, T. “A Manager’s Guide to BS25999 A Practical Guide to Developing and Implementing A Business Continuity Management System”; IT Governance : London, 2008.
- Sharp, J. “The Route Map to Business Continuity Management: Meeting the Requirements of BS 25999”; British Standards Institute BSI: London, 2008.
- Calder, A. “Business Continuity and BS25999 A Combined Glossary”; IT Governance Pub: U.K. 2008.
- Shahidi, S. E. “A proposed Model for Assessing Organizational Readiness to Implement Information Security Management System”; Master Thesis, Department of Management & Accounting, Allameh Taba Tabaei University 2007 (In Persian).
- Mankins, J. C. “Technology Readiness Assessments: A Retrospective”; Astronaut. 2009, 65, 1216-1223.
- Ahonen, J. “Implementing a Social Intranet: A Study of Organizational Readiness for Change”; Master Thesis, Dep. of Management and International Business (Johtamisen ja kansainvälisen liiketoiminnan laitos), Aalto University 2011.
- Kwahk, K. Y.; Lee, J. N. “The Role of Readiness for Change in ERP Implementation: Theoretical Bases and Empirical Validation”; Manag. 2008, 45, 474-481.
- Ranaei, H.; Ghahremanifard, M. “Generate and Validating an Scale to Assess Organizational Readiness to Implementing Social Interanet”; Inf. Tech. Manag. 2013, 5, 37-60 (In Persian).
- Paulk, M. C.; Curtis, B.; Chrissis, M. B.; Weber, C. V. “Capability Maturity Model, Version 1.1”; IEEE Software, 1993, 10, 18-27.
- Sadrnejad, S. A.; Ziaei, M. “Behaviour of Bolted Beam-Column Connections Under Blast”; Passive Defence Sci. & Tech. 2013, 2, 93-101 (In Persian).
ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی ارزیابی امنیتی بخش صادرکنندگی کارتهای شتابی