Podejmując próbę oceny poziomu bezpieczeństwa systemu należy wziąć pod uwagę nie tylko zabezpieczenia poszczególnych typów informacji, ale także funkcjonowanie całego systemu informacyjnego oraz jego wpływ na działanie całej organizacji. Z tego powodu można wskazać trzy grupy kryteriów związanych z:
- bezpieczeństwem informacji,
- funkcjonowaniem systemu informacyjnego,
- funkcjonowaniem organizacji.
Poszczególne kryteria zaprezentowane w tab. 3-5 zostały opracowane na podstawie zaprezentowanej przez K. Woźniaka listy atrybutów informacji oraz systemu informacyjnego [2005, s. 157-161].
Kryteria grupy bezpieczeństwa informacji służą sprawdzeniu podstawowych możliwości systemu zarówno w warunkach normalnej pracy, jak i w sytuacjach awaryjnych. Poprzez ich pomiar i analizę, organizacja dąży do zapewnienia, że
- informacje docierają do wszystkich stanowisk, na których są niezbędne i tylko do nich,
- system informacyjny posiada niezbędne rezerwy dla celów przyszłego rozwoju,
- w sytuacji awaryjnej nie nastąpi zatrzymanie pracy w organizacji.
Tab. 1. Kryteria oceny poziomu bezpieczeństwa systemu – grupa bezpieczeństwo informacji
Kryterium oceny
Sposoby pomiaru
Dostępność
- liczba dostępnych portów logowania w systemie informatycznym w stosunku do liczby użytkowników,
- liczba miejsc, w których można uzyskać dostęp do informacji
Niezawodność
- poziom awaryjności urządzeń,
- częstotliwość wykonywania kopii zapasowych,
- liczba urządzeń zastępczych na wypadek awarii,
- czas wykonania procedur awaryjnych
Adresowalność
- odsetek informacji, dla których stosuje się jednoznaczne adresowanie,
- stosowanie zabezpieczeń dostępu osób niepowołanych,
- stopień kontroli dystrybucji
Poufność
- poziom technologii zarządzania prawami dostępu,
- zróżnicowanie metod i poziomów zabezpieczeń,
- skalowalność systemu zabezpieczeń
Wydajność
- poziom średniego i maksymalnego obciążenia systemu,
- poziom obciążenia w komórkach organizacji
Stabilność
- liczba urządzeń posiadających awaryjne zasilanie,
- liczba urządzeń posiadających zabezpieczenia programowe,
- liczba alternatywnych dróg komunikacji
Elastyczność
- skalowalność systemu informacyjnego,
- możliwość redefiniowania procesów,
- poziom rezerw przewidzianych w celu dalszego rozwoju systemu
Czas reakcji (oczekiwania)
- średni czas dostępu do informacji,
- średni czas wyszukiwania informacji,
- średni czas podejmowania decyzji
Źródło: opracowanie własne
Kryteria grupy funkcjonowania systemu informacyjnego pozwalają ocenić poziom jakości informacji przesyłanych w systemie. Ich pomiar umożliwia pozyskanie wiedzy o możliwościach optymalizacji przepływów informacyjnych.
Tab. 2. Kryteria oceny poziomu bezpieczeństwa systemu – grupa funkcjonowanie systemu informacyjnego
Kryterium oceny
Sposoby pomiaru
Jednoznaczność
- przeciętna liczba źródeł informacji niezbędnych do podjęcia decyzji,
- liczba typów informacji w systemie
Porównywalność
- odsetek typów informacji stosujących szablony,
- odsetek typów informacji umożliwiających automatyczne generowanie raportów i zestawień
Przetwarzalność
- odsetek typów informacji w postaci elektronicznej
Priorytetowość
- stosowanie kategoryzacji typów informacji
Łatwość użytkowania
- liczba błędów wprowadzania lub przetwarzania informacji popełnianych przez użytkowników
Źródło: opracowanie własne
Uzupełnieniem dla omówionych kryteriów, jest grupa trzecia, która zawiera takie kryteria jak: aktualność, rzetelność, kompletność, koszt, użyteczność, wartość i klarowność. Kryteria te odnoszą funkcjonowanie systemu informacyjnego do działania całej organizacji.
Omówione sposoby pomiaru stanowią jedynie przykłady i muszą zostać dostosowane do specyficznych warunków występujących w organizacji badającej swój system informacyjny.
Zdjęcie: Mike Cohen, Flicker.com, CC
- Zaloguj się aby dodawać komentarze