سازوكار اخذ گواهي مديريت امنيت اطلاعات براي سازمان‌هاي دولتي و خصوصي

 

عضو هيئت مديره سازمان فناوري اطلاعات با بين اينكه سازمان مذكور، مرجع رسميت‌دهي به گواهي است؛ نه مرجع صدور گواهينامه، سازوكار اخذ گواهي مديريت امنيت اطلاعات براي سازمان‌هاي دولتي و خصوصي را تشريح كرد.


به گزارش فارس، بر اساس مصوبه هيئت دولت، تمامي دستگاه‌هاي دولتي موظف به پياده‌سازي نظام مديريت امنيت اطلاعات (ISMS) در سازمان هستند و در اين بين سازمان فناوري اطلاعات ايران از زيرمجموعه‌هاي وزارت ارتباطات نيز به عنوان بازوي حاكميتي دولت در توسعه و مديريت ICT در كشور، موظف به ايجاد ساختاري براي اعتبار دهي به ارائه‌كنندگان گواهي ISMS در كشور شده است.

اين سوال كه آيا سازمان فناوري اطلاعات ايران يا همان سازماني كه بايد به ارائه كنندگان گواهي ISMS، اعتبار دهي كند، بايد خود اين گواهي را داشته باشد و در صورت نداشتن گواهي هم‌اكنون در چه وضعيتي از لحاظ امنيت اطلاعات قرار دارد، موضوع گفت‌وگوي ما با محمود صالح اصفهاني عضو هيئت مديره سازمان فناوري اطلاعات ايران است.

محمود صالح اصفهاني در گفت‌وگو با خبرنگار فناوري اطلاعات خبرگزاري فارس در اين خصوص كه با توجه به اينكه در سازمان فناوري اطلاعات ساختاري براي اعتباردهي به ارائه كنندگان گواهي ISMS (گواهي مديريت امنيت اطلاعات) ايجاد خواهد شد، آيا اين سازمان خود گواهي ISMS را دارد، اظهار داشت: سازمان فناوري اطلاعات گواهي ISMS ندارد.
وي افزود: اگر سازمان فناروي اطلاعات به دنبال ايجاد ساختار اعتباردهي براي ISMS است؛ دليلي ندارد كه خود سازمان نيز گواهي نامه ISMS داشته باشد.
عضو هيئت مديره سازمان فناوري اطلاعات يادآور شد: البته اخذ گواهينامه ISMS در دستور كار سازمان فناوري اطلاعات قرار دارد، اما هنوز اين گواهينامه را نداريم.

* سازمان فناوري اطلاعات مرجع رسميت‌دهي به گواهي است

وي تأكيد كرد: طبق مصوبه هيئت دولت وظيفه سازمان فناوري اطلاعات اين است كه تمهيدات لازم را براي شركت‌ها و مؤسسات خصوصي فراهم كند تا اين شركت‌ها گواهينامه صادر كنند.
صالح اصفهاني تصريح كرد: ‌در واقع سازمان فناوري اطلاعات مرجع رسميت‌دهي به گواهينامه‌ها است و نه مرجع صدور گواهينامه.
وي تاكيد كرد: به عبارت ديگر سازمان فناوري اطلاعات به طور مستقيم گواهينامه‌اي صادر نمي‌كند و هيچ‌گونه ارزيابي براي سازمان‌ها انجام نمي‌دهد.
وي با تشريح نظام صدور گواهي‌نامه توسط شركت‌هاي خصوصي، خاطرنشان كرد: شركت‌ها و سازمان‌ها براي اخذ گواهي ‌نامه ISMS بايد نخست حيطه كار خود را مشخص كنند.
وي ادامه داد: سپس شركـ‌ت‌هاي مشاور، ارزيابي‌هاي امنيتي را براي سازمان انجام مي‌دهند و اشكالات امنيتي سازمان را به آنها مي‌گويند.
عضو هيئت مديره سازمان فناوري اطلاعات ايران افزود: سپس سازمان بايد اشكالات امنيتي خود را رفع كنند، پس از رفع اشكالات، مجدد بازرسي‌‌ها انجام مي‌شود.
صالح اصفهاني تصريح كرد: در نهايت پس از بررسي و بازرسي‌ها، براي سازمان گواهينامه صادر مي‌شود كه اين نظام براي شركت‌هاي صادر كننده گواهينامه تعريف شده است.

* الزام سازمان فناوري اطلاعات براي اخذ گواهي‌نامه ISMS مشابه ساير دستگاه‌ها

وي در خصوص اخذ گواهي‌نامه ISMS توسط سازمان فناوري اطلاعات، تصريح كرد: از سوي ديگر بر اساس مصوبه هيئت دولت، سازمان فناوري اطلاعات ايران به عنوان يكي از دستگاه‌هاي دولتي بايد گواهينامه ISMS را داشته باشد، اما مانند باقي دستگاه‌ها هنوز اين گواهينامه را نداريم.
صالح اصفهاني در پاسخ به اين سوال كه “با توجه به اينكه سازمان فناوري اطلاعات جزئي از نظام پياده سازي سامانه مديريت امنيت اطلاعات است و نيز مرتبط بودن حوزه كاري اين سازمان با اين معقوله، وضعيت فعلي اين سازمان را در مقايسه با ديگر سازمان‌ها چگونه ارزيابي مي‌كنيد ” گفت: تقريبا مي‌توانيم بگوئيم مانند ساير دستگاه‌ها هستيم و نسبت به آنها وضعيت برتر و ممتازي نداريم.
عضو هيئت مديره سازمان فناوري اطلاعات ايران با بيان اينكه تقريبا تمامي دستگاه‌هاي اجرايي از اين لحاظ در وضعيت مشابهي قرار دارند، تأكيد كرد: هم‌اكنون در كشور بانك‌ها بيشترين دغدغه امنيت اطلاعات را دارند كه به اين ترتيب در بحث امنيت از لحاظ زماني و اقدامات اجرايي پيشتاز هستند.
وي ادامه داد: علاوه بر اين، برخي از سازمان‌ها مانند بخش دفاع و انرژي اتمي كه بحث امنيت اطلاعات از اهميت ويژه‌اي برايشان برخوردار است، در وضعيت جلوتري قرار دارند و به غير از اين ديگر سازمان‌هاي كشور در وضعيت يكساني قرار دارند.

صالح اصفهاني در خصوص پيش زماني براي طي فرايندهاي مربوطه و اخذ گواهينامه ISMS در سازمان فناوري اطلاعات، اظهار داشت: بعيد است زيرا يك سال آينده بتوانيم اين گواهينامه براي سازمان فناوري اطلاعات بگيريم.

* اخذ گواهي‌نامه ISMS در يكي از 11 حوزه مديريت امنيت اطلاعات

وي با بيان اينكه گواهي‌نامه ISMS مي‌تواند در مواردي از بخش‌هاي 11 گانه مديريت امنيت اطلاعات صادر شود، خاطرنشان كرد: نخست حوزه‌‌اي از فعاليت سازمان براي اخذ گواهي‌نامه انتخاب مي‌شود كه براي مثال تصميم دارند براي شبكه‌هاي ارتباطي داخل يكي از ساختمان‌هاي سازمان در حوزه امنيت شبكه گواهينامه امنيتي بگيرند.
عضو هيئت مديره سازمان فناوري اطلاعات خاطر نشان كرد: البته با توجه به اينكه يك سازمان ممكن است چندين ساختمان داشته باشد، اين حوزه براي سازمان بسيار كوچك است.
وي افزود: براي اين منظور، مرحله ارزيابي حدود 4 ماه طول مي‌كشد و گواهينامه مي‌تواند ظرف 6 ماه صادر شود.
صالح اصفهاني تاكيد كرد: حال اگر اين سازمان بخواهد براي تمامي سازمان‌، حوزه‌هاي فعاليت سازمان و در تمامي بخش‌هاي 11 گانه مديريت امنيت اطلاعات گواهينامه داشته باشد، ‌در كمتر از 5 سال نمي‌تواند اين كار را انجام دهد.
وي تاكيد كرد: بنا بر اين هر چه حوزه و موضوع اخذ گواهينامه كوچك‌تر باشد، ارزيابي، رفع اشكال و بازرسي آسان‌تر و سريع‌تر خواهد بود.
عضو هيئت مديره سازمان فناوري اطلاعات تصريح كرد: هم‌اكنون برخي از بانك‌ها در اخذ گواهي‌نامه ISMS به اين شيوه عمل كرده‌اند.
صالح اصفهاني افزود: ممكن است بانكي بگويد كه گواهينامه ISMS دارد و اين بانك در ساختمان مركزي خود و در موضوع شبكه ارتباطي گواهينامه اخذ كرده است.
عضو هيئت مديره سازمان فناوري اطلاعات خاطرنشان كرد: حتي چنانچه دو سازمان مختلف در تمام موضوعات گواهي‌نامه ISMS اخذ كرده باشند، باز هم قابل مقايسه با يكديگر نيستند؛ زيرا 3 بعد جغرافيايي، موضوعي و حجم حوزه كاري تعيين كننده ميزان كار و زمان لازم خواهد بود.

به گزارش فارس، سامانه مديريت امنيت اطلاعات (ISMS) يكي از ابزارهاي مهم ساختاري و سيستماتيك كلان كشورها است كه در ايران بر اساس مصوبات گوناگون از جمله مصوبه هيأت وزيران و سند راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا) با هدف پياده ‌سازي در دستگاه‌هاي اجرايي كل كشور ابلاغ شده است.
بنابر اين گزارش، در اين راستا اسناد بالادستي فراواني در كشور تدوين و تصويب شده است كه از اين جمله مي‌توان به مصوبات شوراي عالي امنيت ملي و هيئت وزيران و سند راهبردي افتا اشاره كرد؛ بر همين اساس براي اجراي اين مصوبه‌ها در دستگاه‌هاي اجرايي، لزوم ايجاد ساختاري براي سياست‌گذاري، مديريت، نظارت و راهبردي فرايند سامانه مديريت امنيت اطلاعات احساس مي‌شد.
به اين ترتيب سازمان فناوري اطلاعات، ايجاد ساختار اعتباردهي مديريت امنيت اطلاعات در سطح ملي را در قالب دستورالعمل به هيئت وزيران ارائه كرد كه در بيست و چهارم اسفندماه 88 به تصويب هيئت وزيران رسيد.
بنابر اين گزارش، از جمله اهداف پياده‌سازي نظام ملي سامانه مديريت امنيت اطلاعات، مي‌توان به مديريت كلان امنيت اطلاعات در سطح كشور، ايجاد و توسعه فرهنگ مديريت امنيت اطلاعات در دستگاه‌هاي اجرايي و نيز ايجاد يك امنيت اطلاعات نسبي قابل پذيرش در دستگاه‌هاي اجرايي اشاره كرد.
همچنين ابلاغ و استمرار الزامات ملي امنيت اطلاعات در دستگاه‌هاي اجرايي و شناسايي، ارزيابي و اعتباردهي شركت‌هاي فعال در زمينه سامانه مديريت امنيت اطلاعات (ISMS) از ديگر اهداف نظام سامانه مديريت امنيت اطلاعات است.
بر اساس اين گزارش، با ايجاد سامانه مديريت امنيت اطلاعات در دستگاه‌هاي اجرايي، امنيت اطلاعات راهبري و مديريت آن يكپارچه خواهد شد.

 

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

تداوم کسب وکار و فناوری اطلاعات

موضوع تداوم دیرینه و حائر اهمیت می باشد. انسان هوشمند از بدو زندگی اجتماعی خود …