پژ ص ای هسیزیت ػو هی سال ز اسز ن ضوار چ ل س م ت ار 1398 تارید پذیزش: 1397/03/19

(1)

صٍّژپ یهَوػ تیزیسه یاّ راْت ، مَس ٍ لْچ ُراوض ، نّزساٍز لاس 1398 ِحفص 249 -225

The Effect of the Implementation of

Information

Security Management System (ISMS) and

Information Technology Infrastructure Library

(ITIL) on the Promotion of Information Systems

and Information Technology Services Continues

Ahmad Salehi1, *Zahra Vazife2

1-MSc, Information Technology Management, Faculty of Management and economics, University of Sistan and Baluchestan, Zahedan, Iran

2-Assistant Professor, Faculty of Management and Economics, University of Sistan and Baluchestan, Zahedan, Iran. (Corresponding Author). Email: vazife@mgmt.usb.ac.ir

Received: 03/03/2018; Accepted: 09/06/2018

Abstract

The purpose of this study was to investigate and analyze the factors affecting the upgrading of information systems and the continues of information technology services. Based on model, this research effective factors of implementation of Information Security Management System (ISMS) are 9 dimensions and effective factors of Information Technology Infrastructure Library (ITIL) are 5 dimensions were investigated and analyzed. This research is orientated, applied and descriptive . The average number of members of the statistical community in this study was 100 people, including managers and experts in the field of information security and IT services, public and private organizations, senior managers of companies providing management, technical, operational and educational services Information security and, ultimately, professors and experts with the field of activity or research in the field of security and IT services. The sample size was calculated based on Cochran method and data was collected by using a questionnaire tool for 80 members of the statistical community. For reliability of research variables, Cronbach's alpha coefficient and composite reliability have been used. Cronbach's alpha coefficient of all variables is greater than the minimum value of 0.65. To verify the construct validity (convergent), a confirmatory factor analysis was used. All mean values of extracted variance are more than 0.5, and therefore, the model of

(2)

صٍّژپ تیزیسه یاّ یهَوػ ، راْت 1398

226

measurement has an appropriate convergent validity. In this research, factor analysis, partial least squares and one-sample t-test were used to test the questions and fitness of the model. Based on the findings, the impact of the implementation of Information Security Management System and Information Technology Infrastructure Library on the promotion of information systems and the continuity of information technology services were confirmed and effective factors of expression and strategies for improving the status of organizations were presented.

Introduction

In today's world, the most important security concerns associated with information systems include the infiltration of information systems, the interruption and disruption of vital services, and theft, alteration or destruction of information. Approaches have been introduced to ensure information security. The Information Security Management System (ISMS) is a comprehensive approach to ensuring information security of organizations. On the other hand, the competitive business environment and the strong dependence on information technology services have led organizations to be judged on the basis of the ability to continuously and continuously provide services. Therefore, ensuring the continuity of information technology services is one of the most important issues that should be addressed in the business. The Information Technology Infrastructure Library (ITIL) is a framework for managing, delivering service and implementing IT activities in organizations. So, given the importance of the issue, the main question we are looking for in this study is whether the implementation of the information security management system and the IT infrastructure library in an organization promotes the information systems and the continuation of IT services?

Case study

Managers and experts in the field of information security and (ITS) Information technology services are governmental and private organizations that have implemented the Information Security Management System and the Information Technology Infrastructure Library in Zahedan and Mashhad. Top Managers of Providers of Management, Technical, Operational, and Educational Services for Information Security and Advice on the Implementation of the (IS) and (ITS) which have been licensed by the Ministry of Communications and Information Technology (ICT). Ultimately, professors, experts, and researchers are in the field of activity or research in the field of information security and information technology services.

Materials and methods

(3)

ُزایپ زیثأت یسرزت یساس ISMS ٍ ITIL نتسیس ءاقترا زت ٍ یتاػلاطا یاّ ...

227

method, quantitative and in process and applied in term of purpose. Data collection was done by using a questionnaire in Lekert scale MS. For collecting information on theoretical foundations and research literature, library resources, articles, e-resources, standards and authoritative journals have been used. To verify the validity of the model, a confirmatory factor analysis and Kolmogorov-Smirnov test were used to test the normal variables. Then, using the partial least squares method (PLS) and single sample t-test, the questionnaire has been studied.

Discussion and Conclusion

A correlation coefficient was used to confirm the relationship between the implementation of ISMS and ITIL in promotion information systems and the continuity of IT services, which was confirmed by the results of this hypothesis. Also, to investigate the impact of ISMS and ITIL implementation on the promotion of information systems and the continuity of IT services, partial least squares method was used, which was confirmed in all cases. According to the results of the analyzes, indicators such as defining goals and policies for managing service continuity, evaluating and identifying processes in the organization, prioritizing events in terms of its impact and urgencies, examining all information security incidents and the reasons for the occurrence And prevent it from re-establishing it; responding appropriately and learning about security incidents; defining and identifying identity information for employees to access information resources; monitoring network, router settings, switch and penetration testing at regular intervals; procurement and testing Backup information; Install antivirus and firewalls in the network; Take the necessary measures entry of authorized persons and the security of offices, rooms and facilities; the inclusion of security provisions in the design of the basic principles of configuration. It has the greatest impact on the upgrading of information systems and the continuity of IT services in organizations, and other indicators also have an impact but are less than socalled factors.

(4)

(5)

229

ِهسقه ٚز َٛع ضز ٝٞز ٓتؿیؾ تیٞبٔ ،ٝتقصٌ ی یتبفلاعا یبٞ ٝث ضٛع ٜسٕف ٚ ٝتفبیطییغت یا تؿو یبٞسٙیآطف ظا یٌضعث فرث ٝث ُیسجت ٚ ٜسق ضبو تؾا (

Siyadat & Saghafi, 2015

) . ٝقؾٛت یىیػتاطتؾا ییاضاز هی ٝث ،تبفلاعا ٓتؿیؾ ٚ ٝتفبی ضاعثا هی ٝث یتبفلاعا یبٞ ٖبٔظبؾ یاطث یىیػتاطتؾا تِٚز ٚ بٞ بٞ ٜسق ُیسجت .تؾا ٓتؿیؾ ضز ٜضإٛٞ عی٘ یتبفلاعا یبٞ تبٔسذ ضز ٝفلٚ زبزیا ٚ تبفلاعا طییغت ،تبفلاعا تلطؾ طغذ سٙتؿٞ ی٘بؾض ( Taj Far,

Mahmoudi, Reza Soltani, & Reza Soltani, 2014

). ظیاطق ٗیا ضز ٝو تؾا یٟیسث ـٚض ٝث ضزبل ییبٟٙت ٝث یىیعیف تؽبفح یبٞ ٔأت ی ٗ سٙٞاٛر٘ تیٙٔا ٖبٔظبؾ اصِ .زٛث ضبچب٘ بٞ ٝث ٗتفطٌضبو ـٚض یؾطتؾز َطتٙو ٚ تبفلاعا تؽبفح سیسر یبٞ ٔ ٝث بٞ ٖبٔظبؾ ـثبٙ ٜسق س٘ا . طٔاطو 1 ( 2006 یٔ ٖبیث ) ،سٙو ٝث ضٛؾٙٔ سٙٔظبی٘ ٖبٔظبؾ ،تبفلاعا تیٙٔا ّٝئؿٔ ُح ٝث ٜزطتؿٌ فیع یطیٌضبو ظا یا تؾا ی٘بٔظبؾ ٗی٘اٛل ٚ یضٚبٙف ،ف٘از . اظا ی ٗ ٚض ع ٚ یحاط ٜزبیپ تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ یظبؾ 2 .تؾا ٖبٔظبؾ طٞ یاطث ـٔبر یضبىٞاض ٗیٙچٕٞ ٜظٚطٔا ضز ٖبٔظبؾ بٞ تؿو یبٞسٙیآطف تیٙٔا ْٚاسٔ یضاطلطث طث ٜٚلاف ٚ ٚ ضبو ٓتؿیؾ ٕٝٞ یتبفلاعا یبٞ عیچ ٝث ٖاٛٙف تٔسذ هی ضز طؾ٘ ٔ ٝتفطٌ ی زٛق ٝو یٔ س٘اٛت ضز طبجتضا ٓیمتؿٔ بی یغ ٓیمتؿٔط بث یطتكٔ ،سقبث ٝث ضبو یطیٌ یضٚبٙف ا تبفلاع عی٘ ٝث ِتیطیسٔ تبٔسذ ضز تٟر فٞبو ٝٙیعٞ یبٞ ٝئاضا ی تبٔسذ ٚ زٛجٟث تیفیو تبٔسذ ٚ ت٘ضز ی ٝز ٝث تیمفٛٔ ٖبٔظبؾ ضز تّر تیبضض ٖبیطتكٔ هٕو یٔ سٙو ( Esteves& Alves, 2013 ) ظا ؛ یفطع تؿو یتثبلض ظیحٔ ٚ ث سیسق یٍتؿثاٚ ٚ ضبو ٜسق جفبث ،تبٔسذ ٝ ٖبٔظبؾ ٝو طث بٞ ٝو ی٘بٔظبؾ طٞ .س٘طیٌ ضاطل یثبیظضا زضٛٔ ،تبٔسذ یٕئاز ٚ طٕتؿٔ ٝئاضا ضز ییب٘اٛت ٖاعیٔ ٝیبپ تؿو یبٞسٙیاطف ظا ی٘بجیتكپ فسٞ بث ٚ تبفلاعا یضٚبٙف تبٔسذ ،ضبو 3 ف٘بیطتكٔ ٝث اض یٔ ُیٛحت ٗیا ،ٝتقصٌ ضز .زضاز ظبی٘ یجؾبٙٔ ضبتذبؾ ٝث سٞز ٚ بٞزطوضبو یبٙجٔطث ضبتذبؾ ییب٘اٛت یضٚبٙف تذبؾطیظ ٝ٘برثبتو .تؿی٘ تؾبٙٔ طٍیز زطىیٚض ٗیا ٜظٚطٔا بٔا .زٛث یٙف یبٞ تبفلاعا 4 ٖبٔظبؾ یاطث ٜاض هی بٞ ؿث ی ضب ةٛذ یاطث سٔ ی ط ی ت ٖزطو ٚ تٔسذ ُیٛحت ، اطرا ٖزطو تیِبقف یٔ بٞسٙیاطف ضز تبفلاعا یضٚبٙف یبٞ قبث س (

Marta, Alberto & Silva,

2015 ) . بز٘آظا یی ٝو ٜظٛح ظا یىی ٝث ٝرٛت بث ٚ تؾا تیٙٔا جحث ،تبٔسذ تیطیسٔ یبٞ 1-Kraemer

2-Information Security Management System (ISMS) 3-Information Technology Service

(6)

230

ٝٔبٙكرث ضبكت٘ا ضز ضٛكو تبفلاعا َزبجت یبضف تیٙٔا یِبف یاضٛق یٛؾ ظا ٜسقطكتٙٔ یبٞ َبؾ ٝثٛهٔ ٚ ٝتقصٌ یبٞ ٝٔبٙكرث ٚ بٞ ٜزبیپ ٝو فّترٔ یبٞ ٜبٌسیز ظا یىی یظبؾ یبٞ ٝث ْٛؾٛٔ ،یسٙیآطف یبٙجٔ طث تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ ISO 27001:2013 ٝیّو ٝث ٖبٔظبؾ ٜسق ٝینٛت یتِٚز یبٞ تؾا (

Efta document, 2007; NAMA 2015

) تضٚطض ، ٜزبیپ ٓتؿیؾ ٗیٙچ یظبؾ ییبٞ ثی ف پظا ی ف ٜسق .تؾا فضز ی ٗ َبح ٝ٘برثبتو ةٛچضبچ ضز ضٚبٙف تبٔسذ ْٚاست ٖٛچ یخحبجٔ تبفلاعا یضٚبٙف تذبؾطیظ تبفلاعا ی 1 تیطیسٔ ٚ تؿو ْٚاست ی٘بجیتكپ ضز یكم٘ ٝو ثزاٛح ٜسق حطغٔ زضاز ضبوٚ تیٕٞا ٗیاطثبٙث .تؾا ٓتؿیؾ تیٙٔا تیطیسٔ ٚ تبفلاعا یضٚبٙف تبٔسذ تیطیسٔ ٝث طٛثطٔ جحبجٔ یتبفلاعا یبٞ تؿو تبٔسذ ْٚاست ٚ ضبوٚ ثی ف پظا ی ف یٔ ٖبیبٕ٘ ٓیٞبفٔ ٗیا ٝث ٝو یتضٛن ضز بٟٙت .زٛق حیحن ٝتذازطپ ٓزؿٙٔ ٚ ٖبٔظبؾ یبمث ٚ سقض ضز ،زٛق طیحأت بٞ اعؿث یی یٔ ٗیا ضز .زضاصٌ ٝتذازطپ تبعبجتضا ٗیا ٝث فٞٚػپ یٔ ٝث بث بت زٛق ُٔاٛف ییبؾبٙق ٚ ٓیٞبفٔ ٗیا یطیٌضبو ؽیٚطؾ تبٔسذ تیطیسٔ تِبل ضز ٚ ٓیثبی تؾز یطتٟث ٚ ٝچضبپىی تیطیسٔ ٝث طحؤٔ ییبٞ بث اصِ .ٓیٞز ٝئاضا یٕئاز ،ؿٛضٛٔ تیٕٞا ٝث ٝرٛت َبج٘ز ٝث كیمحت ٗیا ضز ٝو یّنا َاؤؾ ٝو تؾا ٗیا ٓیتؿٞ ٖآ یاطث یرؾبپ ٜزبیپ بیآ ٚ تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ یظبؾ ٓتؿیؾ ءبمتضا جفبث ٖبٔظبؾ هی ضز تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو ٚ یتبفلاعا یبٞ یٔ تبفلاعا یضٚبٙف تبٔسذ ْٚاست ؟زٛق ٌِیطیپ یزظً قیقحت س ی نتس اّ ی تاػلاطا ی یتبفلاعا ٓتؿیؾ هی 2 ٚ ُیّحت ،ٜطیذش ،ـظازطپ ،لبذ فسٞ هی یاطث اض تبفلاعا ، یٔ ـیظٛت یرٚطذ ٚ ـظازطپ ،یزٚضٚ ُٔبق یتبفلاعا ٓتؿیؾ ،طٍیز ٓتؿیؾ طٞ سٙ٘بٔ .سٙو یٔ َبؾضا طٍیز ٓتؿیؾ ٝث بی طثضبو ٝث اض یرٚطذ ٚ ـظازطپ اض یزٚضٚ ٓتؿیؾ ٗیا .تؾا سٙو (

Yaghoubi, shokouhi & Salavati, 2015

). ٓتؿیؾ هی اض یتبفلاعا طؾ٘ظا یٙف یٔ ٖاٛت ٝث تضٛن ٝفٕٛزٔ ٝفِؤٔ ظا یا ٝث ٝتؿثاٚ یبٞ فیطقت ٓٞ اض تبفلاعا ٝو زطو ٝث ضٛؾٙٔ ٓیٕهت ظا ی٘بجیتكپ ٚ ٜطیذش ،ـظازطپ ،)یثبیظبث بی(یضٚآزطٌ ،ٖبٔظبؾ ضز َطتٙو ٚ یطیٌ یٔ ـیظٛت سٙو (

Laudon & Laudon, 2010

). ٓتؿیؾ ؿاٛ٘ا ْبٕت ضز ،یتبفلاعا یبٞ ٖبؿ٘ا ترؾ ،بٞ ْط٘ ،بٞضاعفا ضاعفا ٜزاز ،بٞ ٝىجق ٚ بٞ ٓتؿیؾ یّنا ـجٙٔ ذٙپ بٞ یتبفلاعا یبٞ

(7)

231

یٔ ٓتؿیؾ ٗیههرتٔ ٚ یئبٟ٘ ٖاطثضبو ُٔبق ی٘بؿ٘ا ـثبٙٔ .سٙقبث یٔ یتبفلاعا یبٞ .سقبث ْط٘ ـثبٙٔ ٝٔب٘طث ٓٞ ُٔبق یضاعفا ٚ بٞ ٝیٚض ٓٞ یٔ بٞ ٜزاز ـثبٙٔ .سقبث ٜزاز ٜبٍیبپ ُٔبق بٞ ٚ بٞ ٜبٍیبپ ٝىجق ُٔبق ٝىجق ـثبٙٔ ٚ ف٘از یبٞ ٝ٘بؾض ٚ بٞ تؾا یعبجتضا یبٞ ( obrien, 2006 ). تاػلاطا تیٌها تیزیسه نتسیس مَْفه ٕٗیا یاطث اض ییبٞزضاس٘بتؾا تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ َزبجت یبضف یظبؾ یؾ ٚ تبفلاعا ٓتؿ ٖبٔظبؾ ضز یتبفلاعا یبٞ یٔ ٝئاضا بٞ زضاس٘بتؾا ٗیا .سٞز ُٔبق بٞ ٝفٕٛزٔ ُٕقِاضٛتؾز ظا یا یاطرا بث اض ٖبٔظبؾ هی تبفلاعا َزبجت یبضف س٘اٛتث بت تؾا ییبٞ .سیبٕ٘ ٕٗیا ٖبٔظبؾ ٖآ ٝث لٛهرٔ حطع هی بث ،تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ ٝث ،تاطعبرٔ تیطیسٔ سٙیاطف هی یطیٌضبو ؼطتؾز ٚ تحن ،یٍ٘بٔطحٔ ظا تبفلاعا یطیصپ یٔ تؾفبحٔ فطع ٝث ٚ سٙو یٔ اض ٖبٙیٕعا ٗیا ـفٙیش یبٞ ٖاعیٔ ٝث ،تاطعبرٔ ٝو سٞز یٔ تیطیسٔ یفبو ٘ٛق .س بث ،تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ ٝو سیقبث ٝتقاز ٝرٛت ضبتذبؾ ٚ ٖبٔظبؾ یبٞسٙیاطف سٔ ی ط ی ت ی ٖلاو ظا یكرث ٚ ٜزٛث ٝچضبپىی ، ٖآ بٞ ٚ تؾا ٓتؿیؾ ،بٞسٙیاطف ،یحاطع ضز تبفلاعا تیٙٔا ٗیٙچٕٞ یبٞ َطتٙو ٚ یتبفلاعا یٔ ػبحِ بٞ -زٛق ٗیاطثبٙث ، یٔ ضبؾت٘ا ٝو زٚض ٜزبیپ بث كجغٙٔ ،تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ هی یظبؾ سقبث ٖبٔظبؾ یبٞظبی٘ ( ISO/IEC 27001, 2013 ) . یبٞزضاس٘بتؾا یاطـث ٌٖٛبٌ٘ٛ یبٞضٛكو ضز یزسقتٔ ی٘بٔظبـؾ تبـفلاعا تـیٙٔا زبـزیا ٚ ٗیٚسـت ٜسق زبٟٙكیپ دیضبت ضز .تؾا 25 طجٔبتپؾ 2013 فیپ سیسر ةرؿ٘ ؽیٛ٘ زضاس٘بتؾا 27001 ْب٘ بث 1ISO/IEC 27001: 2013 ،یّجل زضاس٘بتؾا ٗیعٍیبر ٚ طكتٙٔ یٙقی ISO/IEC 27001: 2005 سق (

Haufe, Colomo-Palacios, Dzombeta&

Brandis, 2016 ). ا یٌػیٚ ظ زٛرٚ زضاس٘بتؾا ٗیا یبٞ 113 تِبل ضز یتیٙٔا َطتٙو 35 ٚ یِطتٙو فسٞ 14 ٜظٛح ظذ ُٔبق تیٙٔا ،ی٘بؿ٘ا ـثبٙٔ تیٙٔا ،ییاضاز تیطیسٔ ،یكٔ ،یغیحٔ ٚ یىیعیف بث طبجتضا ،یضبٍ٘عٔض ،یؾطتؾز َطتٙو ،تبعبجتضا تیٙٔا ،تبیّٕف تیٙٔا ٗیٔأت ،ةبؿتوا ،ٖبٌسٙٙو اسٍٟ٘ ٚ ٝقؾٛت ٓتؿیؾ یض تیٙٔا ثزاٛح تیطیسٔ ،یتبفلاعا یبٞ ْٚاست تیطیسٔ ،تبفلاعا تؿو ضبوٚ ٝجٙر ٝو تؾا قبجغ٘ا ٚ ٌٖٛبٌ٘ٛ یبٞ یتبیّٕف ،یتیطیسٔ فقٛپ ٖبٔظبؾ هی ضز اض یٙف ٚ یٔ سٞز ( ISO/IEC 27001, 2013 ).

(8)

232

تاػلاطا یرٍاٌف تذاسزیس ًِارتاتک ( تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو ITIL طىیٚض ) ْبؾ٘ یز تبٔسذ ٝضطف یاطث سٙٔ یٔ ٝئاضا تبفلاعا یضٚبٙف ٝٞز ضز تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو طىفت .سٞز ی 1980 ، ی٘بٔظ زٛرٚ ٝث تبفلاعا یضٚبٙف تبٔسذ یفیو حغؾ ٝو سق ٝرٛتٔ ٖبتؿٍّ٘ا تِٚز ٝو سٔآ یٔ ٝئاضا ضٛكو ضز ٝو ٚ یفبو زٛق ُثبل َٛجل اصِ .تؿی٘ ضٛٔأٔ ی ت تؿث بت تفبی یثٛچضبچ ٚ ط ٝث تبفلاعا یضٚبٙف ـثبٙٔ ظا ینٛهذ فرث ٚ ٖبتؿٍّ٘ا تِٚز ٖآ هٕو ٝث بت ،سٙو ٝئاضا ٚ سٔآضبو ٚ ٝٙیٟث تضٛن طؾ٘ظا ٝث یِبٔ طجتقٔ تضٛن سٙٙو ٜزبفتؾا ( Marta, Alberto& Silva, 2015 ). ٝث ّوضٛع ی یٔ ٖاٛت ای ٗ ضٛع ٝو زطو ٖبیث یضٚبٙف تذبؾطیظ ٝ٘برثبتو ٝفٕٛزٔ تبفلاعا ٝثطزت ظا یا ـٚض ٚ بٍِٞٛا ،ضبىفا ٗیطتٟث ٚ كفٛٔ یبٞ ٝٙیٔظ ضز بٞ تیطیسٔ تؿو یبٞسٙیاطف ـزطٌ ٖبٔظبؾ هی ضز ٝو تؾا تبفلاعا یضٚبٙف تبٔسذ ٚ مركٔ اض ضبو یٔ سٙو (

Norita, Noha& Faten, 2013

.) اض تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو یٔ ظذ هی ٖاٛت ٝثطزت ٓیٞبفٔ ٝو تؿ٘از فو ق یٔ ٖبیث سحاٚ ٖبثظ بث ٚ ٜزطو سٙتؿٔ اض ٜس .سٙو ٝث تضبجف ز ی طٍ ٝفٕٛزٔ ،تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو ٗی٘اٛل ٚ ٓیٞبفٔ ظا یا تؾا تبفلاعا یضٚبٙف تیطیسٔ یاطث ( Ahmadi, 2016 ) هی ٝث ٖسیؾض ٖآ ٝیِٚا فسٞ : توطق یاطث تبٔسذ تیطیسٔ ٓتؿیؾ ٚ تبفلاعا یضٚبٙف ٝٙیٔظ ضز َبقف یبٞ یطتكٔ تیبضض زٛث ( Steinberg, 2014 ). تاػلاطا یرٍاٌف تاهسذ مٍاست تبفلاعا یضٚبٙف تبٔسذ ْٚاست حطع 1 ٝث تبفلاعا یضٚبٙف تبٔسذ طث اض ثزاٛح طیحأت لبذ ُىق زضٛٔ ؾضطث ی یٔ ضاطل تٟر تبفلاعا یضٚبٙف تبٔسذ ْٚاست ٚ ؼفح یاطث ٚ سٞز تؿو تبیّٕف ْٚاست ظا ی٘بجیتكپ ٚ ث ٖبٔظ ضز ضبو یٔ ـلات ٝحزبح ظٚط فم٘ ٗیٙچٕٞ .سٙو سٙیآطف ظا ی٘بجیتكپ ضز یسٕٙقظضا ٝٔب٘طث تؿو ْٚاست یعیض ٚ یٔ ٓٞاطف ضبو تیطیسٔ .سٙو تبفلاعا یضٚبٙف تبٔسذ ْٚاست 2 تیّثبل تیطیسٔ ٝث ، یحغؾ ٝئاضا ْٚاست ضز ٖبٔظبؾ یبٞ ٗییقت فیپ ظا ٚ یمفاٛت ٝث ،تبفلاعا یضٚبٙف تبٔسذ ظا ٜسق تكپ ضٛؾٙٔ ظا ی٘بجی یسٙٔظبی٘ تؿو یبٞ ٚ یٔ ثزاٛح ظٚطث ظیاطق ضز ضبو یقیؾٚ ٜزٚسحٔ ثزاٛح ٗیا .زظازطپ ییاضاز ُٔبو ٗتفض تؾز ظا بت ،یزطثضبو ٝٔب٘طث هی بی ٓتؿیؾ هی یثاطذ ُٔبق تؿو یبٞ ٚ -ضز اض ضبو طث یٔ حطع ٝقؾٛت یاطث یثٛچضبچ تبفلاعا یضٚبٙف تبٔسذ ْٚاست تیطیسٔ .زطیٌ یبٞ

(9)

(10)

234

فِبچ یبٞضبىٞاض ٚ بٞ ٜزبیپ ضز زٛرٛٔ ؾ یظب ISMS یى٘بث ْبؾ٘ ضز ُیجل ظا یزضاٛٔ ٝث ٜبٍ٘ ضٛحٔ ٜغٚطپ جحث ٝث تجؿ٘ ٗتقاز ISMS ٚ ًٙٞطف زٛج٘ ، فیپ ٜزبیپ یاطث تؾبٙٔ ٝٙیٔظ یظبؾ ISMS ٓتؿیؾ ٗیا ٜسیبف ٝٙیعٞ ُیّحت ،ُٙؾطپ ـظٛٔآ ْسف ،ٖبٔظبؾ ضز ٝث ٖاٛٙف ٜزبیپ تٟر ٖبٔظبؾ یتیطیسٔ ٖلاو ٓتؿیؾ ظا یكرث كفٛٔ یظبؾ ISMS ٜضبقا .سٙتقاز یسیٔا ( طف 2015 ضز ) ٝجتض ٚ یؾضطث ضز تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ طنبٙف یسٙث یثٛٙر ٖبؾاطذ تاطثبرٔ توطق یٔ ٖبیث سٙو تیٙٔا ٚ یغیحٔ ٚ یىیعیف تیٙٔا زبقثا ٝو ٖبٔظبؾ ی٘بؿ٘ا ـثبٙٔ زضٛٔ ٝقِبغٔ سقُث ضز .تؾا ضازضٛذطث تؾبٙٔ تیقضٚ ظا َطتٙو یؾطتؾز تیقضٚ بٞ ییاضاز تیطیسٔ سقُث ضز ٚ ةّٛغٔ ًبتجؿ٘ تیٙٔا یبٞزاسذض تیطیسٔ ٚ بٞ یٕ٘ تؾبٙٔ ظیاطق تبفلاعا دبت .سقبث ( ف٘اضبىٕٞ ٚ طف 2014 ٝجتض ٝث ) ـ٘اٛٔ یسٙث ٜزبیپ فبكتوا تیطیسٔ یٌزبٔآ ٖاعیٔ یؾضطث ٚ تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ یظبؾ .سٙتذازطپ ٖآ بٞ س٘سمتقٔ بـؾ ضبتذبـؾ ی٘اٛرٕٞب٘ یبـٞظبی٘ بـث ی٘بٔظ تیٙٔا تیطیسٔ ٓتؿیؾ ،تبفلاعا ْسـف كٛـّث ظا ٖزٛج٘ ضازضٛذطث ،ی٘بٔظبؾ ٕو ی ٝت یث ٚ ٝتؿیبق یطجٞاض یتبجح ٖبٔظبـؾ سـقضا تیطیسٔ ظا ٟٓٔ ٔ ٗیطت ٛ ٜزبیپ ـ٘ا یظبؾ تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ سٙتؿٞ (

Taj Far, Mahmoudi, Reza Soltani, & Soltani, 2014

). یضٛ٘ بت 1 ( ف٘اضبىٕٞ ٚ 2013 ٖاٛٙف بث یكٞٚػپ ضز ) " صپ َسٔ ی ـط ضٚبٙف ی ٚ ٝكم٘ ٜاض اطث ی مفٛٔ ی ت پ ی ٜزب ظبؾ ی ITIL " فسٞ ا ظا ی ٗ فٞٚػپ اض پ ی زبٟٙك َسٔ ظا ٜزبفتؾا 2_UTAUT ٝث ٖاٛٙف ی ه َسٔ یاطث سٔ ی ط ی ت ضٚبٙف ی ٝث ،تبفلاعا ٚ ی ٜػ ITIL یٔ ٖبیث سٙٙو ٝو ٝث ٖاطیسٔ اطث ی زٛجٟث طتٟث ٝچطٞ زطىّٕف تؿو ضبوٚ ٕهت ، ی ٓ ٌ ی ط ی زضٛٔ ضز طتٟث آطف ی بٞسٙ ی تؿو ضبوٚ ٍٍ٘ٛچ ٚ ی پ ی ٜزب ظبؾ یبٞسٙیاطف ی ITIL هٕو یٔ سٙو . زطفٙیٚ 3 ٚ ف٘اضبىٕٞ ( 2011 ٝهركٔ ٚ تبحلاغنا فٞٚػپ ضز ) یبٞ ITSM 4 طٞ زضٛٔ ضز یحیضٛت ةٛچضبچ ظا هی یبٞ ITIL َسٔ ،تبٔسذ حغؾ تیطیسٔ ، COBIT5 تؿو تیطیسٔ ٚ ٚ ضبو ظا اض تبفلاعا یضٚبٙف ٖاطیسٔ ٟٓف ٚ ییبٙقآ ٖاعیٔ بت تؾا ٗیا كیمحت ٗیا فسٞ .س٘زاز ٝئاضا ةٛچضبچ ٚ بٞزضاس٘بتؾا .سٙ٘ظ هحٔ قٛف یبٞ ُیتؾا طتبو 6 ( 2009 ،ُیلاز ةٙیٔظ ضز ،) 1-Norita

2-Unified Theory of Acceptance and Use of Technology 3-Winfred

4-IT Service Management

(11)

235

یػتاطتؾا ٜزبیپ ضز تیمفٛٔ یتبیح ُٔاٛف ٚ بٞ یظبؾ ITIL ٖبٔظبؾ ضز ٚ ییبىیطٔآ یبٞ ٕٗض ییبیِاطتؾا ٜزبیپ ضز تیمفٛٔ یتبیح ُٔاٛف ٗییقت ٖبیث ةٛچضبچ ٗیا یظبؾ ٝتقاز تؾا ٜزبیپ ٝو یظبؾ ITIL یٔ ، س٘اٛت ITSM ٖبٔظبؾ ٝث ٚ ٜزطو ٌٖٛطٌز اض ،س٘بؾطث زٛؾ بٞ فیپ ُثبل تذبؾطیظ :ظا سٙتضبجف ـفبٙٔ ٗیا ظا یذطث ٝو یٙیث فم٘ حٛضٚ ،طت تیِٛئؿٔ ٚ بٞ ،بٞ ٛجٟث تٔسذ ٚ ٓتؿیؾ ضز ٝفلٚ فٞبو ٓیت ٖبیٔ یٍٙٞبٕٞ ز یث تبٔسذ ،یضبو یبٞ ٚ مم٘ ٜسقسٙتؿٔ ٚ تثبح یبٞسٙیاطف ،ٓیمتؿٔ ITSM زٛجٟث ،ـیبلٚ ْاسٔ تجح ،ٖبٔظبؾ ضز ٜطٟث ٚ یضٚآزٛؾ ٝٙیعٞ فٞبو ،یضٚ بح .یطتكٔ تیبضض زٛجٟث ٚ بٞ یر ّیذ ٚ ٜزاظ یٔب ( 2017 ) فٞٚػپ ضز ـٚض ٝ٘برثبتو ضاطمتؾا ( تبفلاعا یضٚبٙف تذبؾطیظ ITIL ) ضز ٜبٍك٘از ٖاطیا یبٞ ٕٗض ُیٟؿت ُٔاٛف ٝقِبغٔ ٜسٙٙو ، فِبچ ٚ ـ٘اٛٔ بٞ ، یقٚض یاطث ا یاطر یبٞسٙیآطف ITIL زبٟٙكیپ ٚ ؼبؾا طث ITIL v.3 یبٞسٙیآطف ٔ ی ع تبٔسذ ،ٝحزبح تیطیسٔ ، طییغت تیطیسٔ ٚ تلاىكٔ تیطیسٔ ٝو س٘زطو ٖبیث اض یٔ ٖاطیسٔ ٗیا ظا ٜزبفتؾا بث سٙ٘اٛت ٗیطتٟث ةٛچضبچ ـٚض اض ٚ ٖبیطتكٔ یبٞظبی٘ عوطٕت بی تیطیسٔ ٚ یّذاز تاطییغت یاطث .سٙٙو َبٕفا ٖاسٙٔضبو قیقحت یزظً بَچراچ ( ُىق 1 یٔ ٖبك٘ اض فٞٚػپ یٟٔٛفٔ َسٔ ) .سٞز فٞٚػپ ٗیا ضز ُمتؿٔ یبٞطیغتٔ ، تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ (ISMS) یاضاز 9 ٚ سقُث یضٚبٙف تذبؾطیظ ٝ٘برثبتو تبفلاعا (ITIL) یاضاز 5 یٔ سقُث ٝتؿثاٚ یبٞطیغتٔ ٚ سقبث ، ٓتؿیؾ ءبمتضا ٚ یتبفلاعا یبٞ یٔ تبفلاعا یضٚبٙف تبٔسذ ْٚاست سقبث زضاس٘بتؾا یؾضطث ٝث ٝرٛت بث ٝو ٚ زٛرٛٔ یبٞ فٞٚػپ ( ٖزٚلا سٙ٘بٔ ٗیكیپ یبٞ 2010 ) ( ٗیاطثُا ، 2006 زضاس٘بتؾا ٖبٔظبؾ ،) ٗیث (یِّّٕا 2013 َطتٙو ،) یتیٙٔا یبٞ ٓتؿیؾ ٖبٔظبؾ ٚ یتبفلاعا یبٞ بٞ 1 ( 2013 ،) زضاس٘بتؾا یتیٙٔا یبٞ 2 ( 2002 ـٚض ،) ٜسیا یبٞ تیطیسٔ َآ 3 ( 2011 ،) یبٕٙٞاض ٝفٕٛزٔ ضز تبفلاعا َزبجت ٚ سیِٛت یبضف تیٙٔا ٜبٍتؾز ییاطرا یبٞ ( 2015 بتفا سٙؾ ٚ ) مذبق ٜزبیپ ضز ٟٓٔ یبٞ ظ ٝ٘برثبتو ٚ تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ یظبؾ تذبؾطی سیزطٌ داطرتؾا تبفلاعا یضٚبٙف ٖبٔظبؾ یؾضطث بث بت بٞ ٗیا بث تمثبغٔ ٚ مذبق بٞ ، ٖاٛتث مذبق ٚ ُٔاٛف طحؤٔ یبٞ ٓتؿیؾ ءبمتضا ضز اض تبفلاعا یضٚبٙف تبٔسذ ٚ یتبفلاعا یبٞ

1-Security and Privacy Controls for Federal Information Systems and Organizations 2-BS7799-2. (2002). ISMS-Specification with guidance for use.

(12)

(13)

(14)

238

دؾبپ یاطث ُیٕیا سق َبؾضا ٖبٌسٙٞز زاسقت ٗیا ظا ٝو 78 ٜزاز تكٌطث ٝٔبٙكؾطپ ٚ سق .تفطٌ ضاطل یثبیظضا ٚ ُیّحت زضٛٔ  ىٌَف شجت ی ِ ٍ لحت ی ل تاػلاطا : زاسقت ،فٞٚػپ یبٞطیغتٔ مذبق یبفِآ تیطض ،بٞ یجیوطت ییبیبپ ٚ خبج٘ٚطو طیغتٔ طٞ یاطث ضز سر ( َٚ 1 ) تؾا ٜسٔآ بٕٞ . ٖ ٜسٞبكٔ ٝو ضٛع یٔ ضاسمٔ ُلاسح ظا بٞطیغتٔ یٔبٕت خبج٘ٚطو یبفِآ تیطض ،ززطٌ 65 / 0 طتكیث تؾا ( Lee& Kim, 1999 ) . ٍسج ل 1 : زض ی ة افلآ ی اپ ٍ خاثًٍزک ی ا یی کزت ی ث ی غته ی اّز ی صٍّژپ صٍّژپ یاّزیغته ISMS ITIL نتسیس ءاقترا یاّ یتاػلاطا تاهسذ مٍاست IT ت صذاض زاسؼ اّ 18 13 9 7 خاثًٍزک یافلآ 869 / 0 815 / 0 808 / 0 749 / 0 یثیکزت ییایاپ 890 / 0 852 / 0 854 / 0 823 / 0 )ازگوّ( لسه ییاٍر یسرزت یؾضطث یاطث یّٔبف ُیّحت ظا )اطٍٕٞ( ٜظبؾ ییاٚض أت یی س ی ُیّحت ْبز٘ا ضز .سق ٜزبفتؾا ٗیا ظا سیبث استثا ،یّٔبف ّٝئؿٔ ٝو زطو ُنبح ٖبٙیٕعا یٔ بیآ ٜزاز ٖاٛت یاطث اض زٛرٛٔ یبٞ ُیّحت زضٛٔ ٜزبفتؾا مذبق ظا ضٛؾٙٔ ٗیسث ؟زازضاطل KMO ٖٛٔظآ ٚ ٜزبفتؾا تّتضبث سق ٜ تؾا . ٗیٙچٕٞ ییاٚض یؾضطث یاطث َسٔ ضز اطٍٕٞ ضبیقٔ ظؾٛت یئعر تبقثطٔ ُلاسح ٗیٍ٘بیٔ ضاٚ ی ؽ٘ب داطرتؾا ٜسق 1 ٛٔ ٖبٕٞ .تفطٌ ضاطل ُیّحت زض ضز ٝو ضٛع ( َٚسر 2 ) یٔ ٝؾحلأ داطرتؾا ؽ٘بیضاٚ ٗیٍ٘بیٔ طیزبمٔ یٔبٕت زٛق ظا ٜسق 5 / 0 ٚ سٙتؿٞ طتكیث َسٔ ٗیاطثبٙث ٜظاس٘ا تؾا ضازضٛذطث تؾبٙٔ یاطٍٕٞ ییاٚض ظا یطیٌ . لٍسج 2 : اتً ی ج صذاض KMO ، ٍزک ىَهسآ ی ت تلترات سًایراٍ يیگًایه ٍ جازرتسا ُسض اّزیغته صذاض KMO ىَهسآ یرازاٌؼه تلترات ایه سًایراٍ يیگً جازرتسا ُسض ( AVE ) ISMS 0.733 0.000 616 / 0 ITIL 0.738 0.000 611 / 0 نتسیس ءاقترا یتاػلاطا یاّ 0.797 0.000 596 / 0 تاهسذ مٍاست IT 0.745 0.000 604 / 0

(15)

(16)

(17)

241

مذبق ٖبٙیٕعا حغؾ ضز ٖٛٙىٔ طیغتٔ بث بٞ 99 سنضز یٔ ٖبك٘ ضاسمٔ ٗیا ٝو سٞز ًلإٛقٔ ٝث ٖاٛٙف ٔ ؤ ٝفِ یّٔبف ُیّحت بث ظجتطٔ ییاٚض یبٞ أت یی س ی یفطقٔ یٔ یٔبٕت یاطث ٚ س٘ٛق ظا طتكیث یبٞضاسمٔ 37 / 2 یٔ ضازضٛذطث تؾبٙٔ ییاٚض ظا فٞٚػپ ضاعثا ٗیاطثبٙث .سقبث تؾا ٚ ءبمتضا ،تبفلاعا یضٚبٙف تذبؾطیظ ٝ٘برثبتو ،تبفلاعا تیٙٔا تیطیسٔ ٓتؿیؾ فزٙؾ یاطث ٓتؿیؾ مذبق تبفلاعا یضٚبٙف تبٔسذ ْٚاست ٚ یتبفلاعا یبٞ ةٛؿحٔ یجؾبٙٔ یبٞ یٔ ق .س٘ٛ یاطث ،بٞطیغتٔ ٖزٛث َبٔط٘ ٖٛٔظآ ذیاض ٝو فٛ٘طیٕؾا ـ فٚطٌِٕٛٛو ٖٛٔظآ ظا ٗیطت ٖزٛث َبٔط٘ یؾضطث ٖٛٔظآ ٗیا ظا ٜزبفتؾا ظٛت ی ـ ٜزاز یٔ بٞ ٝزیت٘ ٚ سق ٜزبفتؾا ،سقبث ٝتفطٌ یٔ َبٔط٘ ـیظٛت یاضاز كیمحت یبٞطیغتٔ یٔبٕت ٝو سق .سٙقبث ِتفای صٍّژپ یاّ ٝث ضٛؾٙٔ زاز ُیّحت ٜ ُیّحت ظا فٞٚػپ یبٞ ٜسق ٜزبفتؾا ٌٖٛبٌ٘ٛ یبٞ استثا ضز .تؾا ( َٚسر 4 یٔ ٖبك٘ اض بٞطیغتٔ ٗیث یٍتؿجٕٞ تیاطض ؽیطتبٔ ) تیاطض ٗیا یٔبٕت ٝو سٞز ٖبٙیٕعا حغؾ ضز 99 بٙقٔ سنضز .سٙتؿٞ ضاز لٍسج 4 : زتاه ی س گتسثوّ ی ت ی ي غته ی اّز ی صٍّژپ زیغته ISMS تاهسذ مٍاست IT ITIL ءاقترا س ی نتس اّ ی تاػلاطا ی ISMS 00 / 1 تاهسذ مٍاست IT 799 / 0 00 / 1 ITIL 805 / 0 760 / 0 00 / 1 نتسیس ءاقترا یاّ یتاػلاطا 858 / 0 843 / 0 797 / 0 00 / 1 ( یئعر تبقثطٔ ُلاسح ـٚض ظا ٜزبفتؾا بث ؽپؾ PLS1 ٖٛٔظآ ٚ ) t ٕٝ٘ٛ٘ هت ٝث ،یا فؾطپ ٖٛٔظآ ٜسق ٝتذازطپ فٞٚػپ یبٞ ـٚض .تؾا یئعر تبقثطٔ ُلاسح (PLS) ظا یىی ـٚض یٔ ةٛؿحٔ ٜطیغتٔ سٙچ یضبٔآ یبٞ زٛق ( Fornell& Larcker, 1981 ) تیاطض ٝو اض ٝث ٌٝ٘ٛ ا ی یٔ ٗییقت ؛سقبث اضاز اض حیضٛت ٚ طیؿفت تضسل ٗیطتكیث ،ّٝنبح َسٔ ٝو سٙو (

Liljander, Polsa& Van Riel, 2009

.)

(18)

(19)

(20)

(21)

(22)

(23)

247

References

1-Ahmadi, H. (2016). Information Technology Infrastructure Library(ITIL)for Managers, Experts, Professors and Students. Tehran: Sahadanesh publisher. (In Persian)

2- BMP. (2011). Best Management Practice(2011). IT Service Management-ITIL,recieved from:< http://www.best-management-practice.com> [16/03/2017].

3_ BS 7799 & ,BS ISO/IEC, 2. (2005). Information technology-Security techniquesInformation security management systems .

4-Carter-Steel, A. (2009). summary of ITIL aadoption survery responenses thicnical Report. itSMF Australia 2009 Conference.University of Southen Australia.

5-Esteves, R. & Alves, P. (2013). Implementation of an Information Technology Infrastructure Library Process – The Resistance to Change. Procedia Technology (9), pp.505-510.

6-Efta document. (2007). Strategic security document for the information exchange of the country. Ministry of Communications and Information Technology.Iran. (In Persian)

7-Fornell, C., & Larcker, D. (1981). Evaluating Structural Equation Models with Unobservable Variables and Measurement Error. Journal of Marketing Research, 18(1), pp. 39-50.

8-Haji zadeh, A., & khayami, S. (2017). Investigation of the Infrastructure Information Technology Library at(ITIL) Iranian Universities. Third Conference on Computer Science and Information Technology.Tehran. (In Persian)

9-Haufe, K., Colomo-Palacios, R., Dzombeta, S., Brandis, K.& Stantchev, V. (2016). ISMS core processes: A study. Procedia Computer Science 100,pp.339-346.

10-Humphreys, E. (2008). Information security Management standards: Compliance, governance risk management. Information security Technical Report, ,13(4),pp.247-255.

11-ISO/IEC 17799 ,BS7799-2.(2002).ISMS-Specification with guidance for use ISO/IEC 17799 Information Technology-Code of practice for information security.

12-ISO/IEC27001. (2013). Information technology — Security techniques —Information security management systems—Requirements. <http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail>[0 5/02/2017].

(24)

248

14-Karimi Balan, Z. (2009). ITIL IT Service Management Information Management Model. Second International Electronic Conference, Tehran Research Institute for Information and Communication Technology (JIT). (In Persian)

15-Kraemer, S. (2006). An adversarial viewpoint of human and organizational factors in computer and information security. A dissertation for the degree of Doctor Philosophy at the university of Wisconsin-Madison.

16-Laudon, K., & Laudon, J. (2010). Management Information Systems. (S. Mostafavi, & S. Hosseini, Trans.) Tehran: Fadak Isatis. (In Persian) 17-Lee, J.& Kim, Y. (1999). Effect of partnership quality on IS outsourcing success: conceptual frameworkand empirical validation. Journal of Management information systems, 15(4), pp. 29-61.

18-Liljander, V., Polsa, P.& Van Riel, A. (2009). Modeling consumer responses to an apparel store band: Store image as a risk reducer. journal of retailing and Consumer Services, 16(4), pp. 281- 290.

19-De Barros, M. D., Alberto Leite Salles, C., Francisco Simões, C., Alexandre da Silva, R. & Gomes Costa., H. (2015). Mapping of the Scientific Production on the ITIL Application. Procedia Computer Science, 55,pp.102-111.

20-Mehrabiyon Mohammadi, M., Shahryari, G. R & Zare Ravasan, A., (2014). Identifying and categorizing critical success factors Implementing the Information Technology Infrastructure Library in Iran. Quarterly Journal of Information Technology Management, 5,pp. 41-71 21-NIST. April 2013 .Security and Privacy Controls for Federal Information Systems and Organizations .53-800.< https://www.nist.gov/ >.[25/02/2017]

22-Norita, A., Noha, T., Faten, Q., & Faten, A. (2013). Technology adoption model and a road map to successful implementation of ITIL. Journal of Enterprise Information Management, 26(5),pp.553-576.

23-obrien, J. (2006). Introduction to Management information Systems. (A. Maniyan, M. Fatahi, & B. Vasegh, Trans.) Tehran: Negah danesh. (In Persian)

24-Office of the Information Security Management System(Nama). (2015). Collection of information security security and data encoding in executive agencies. Tehran: Iran Information Technology Organization. (In Persian)

(25)

249

Company of Khorasan. The Dissertation of M.Sc. in Information technology management, The University of Sistan & Baluchestan. (In Persian)

26-Sarika, S., Pravin, A., Vijayakumar, A., & Selvamani, K. (2016).

Security Issues In Mobile Ad Hoc Networks. Conference Organized by Interscience Institute of Management and Technology(92),pp. 329 – 335.

27-Siyadat, S., & Saghafi, N. (2015). Identify the Challenges of Implementing Information Security Management System (ISMS) in the organization. First International Information Technology Conference.Tehran. (In Persian)

28-Siyadat, S., Salehi pour, S., & Athari fard, A. (2017). The Challenges of Implementing Information Security Management System in the Banking System. Fourth International Conference on Knowledge Based Research in Computer Engineering and Information Technology.Tehran. (In Persian)

29-Steinberg, R. (2014). Operation of ITIL service. (B. Taheri, & F. Narimani, Trans.) Tehran: Tehran University Publisher. (In Persian) 30-Songyang, W., Yong, Z., & Wei, C. (2017). Network security assessment using a semantic reasoning and graph based approach. Computers and Electrical Engineering,000, pp.1–14.

31-Taj Far, A., Mahmoudi, M., Reza Soltani, F., & Reza Soltani, P. (2014). Ranking barriers to implementation of information security management system and exploring readiness of exploration management. Information Technology Management - Faculty of Management, University of Tehran, 4(6), 551-566. (In Persian)

32-Wen,& Wu, S. (2010). Linking Bayesian networks and PLS path modeling for causal analysis. Export Systems with Applications(37), pp.134-139.

33-Whitman, M& Mattord, H .(2011) .Principles of Information Security . Course Technology.

34-Wixom, B.&, Watson, H. (2001). A empirical investigation of the factors affecting data warehousing success. MIS Quarterly, 25(1), pp. 17-41.

(26)