عضو هيئت مديره سازمان فناوري اطلاعات با بين اينكه سازمان مذكور، مرجع رسميتدهي به گواهي است؛ نه مرجع صدور گواهينامه، سازوكار اخذ گواهي مديريت امنيت اطلاعات براي سازمانهاي دولتي و خصوصي را تشريح كرد.
به گزارش فارس، بر اساس مصوبه هيئت دولت، تمامي دستگاههاي دولتي موظف به پيادهسازي نظام مديريت امنيت اطلاعات (ISMS) در سازمان هستند و در اين بين سازمان فناوري اطلاعات ايران از زيرمجموعههاي وزارت ارتباطات نيز به عنوان بازوي حاكميتي دولت در توسعه و مديريت ICT در كشور، موظف به ايجاد ساختاري براي اعتبار دهي به ارائهكنندگان گواهي ISMS در كشور شده است.
اين سوال كه آيا سازمان فناوري اطلاعات ايران يا همان سازماني كه بايد به ارائه كنندگان گواهي ISMS، اعتبار دهي كند، بايد خود اين گواهي را داشته باشد و در صورت نداشتن گواهي هماكنون در چه وضعيتي از لحاظ امنيت اطلاعات قرار دارد، موضوع گفتوگوي ما با محمود صالح اصفهاني عضو هيئت مديره سازمان فناوري اطلاعات ايران است.
محمود صالح اصفهاني در گفتوگو با خبرنگار فناوري اطلاعات خبرگزاري فارس در اين خصوص كه با توجه به اينكه در سازمان فناوري اطلاعات ساختاري براي اعتباردهي به ارائه كنندگان گواهي ISMS (گواهي مديريت امنيت اطلاعات) ايجاد خواهد شد، آيا اين سازمان خود گواهي ISMS را دارد، اظهار داشت: سازمان فناوري اطلاعات گواهي ISMS ندارد.
وي افزود: اگر سازمان فناروي اطلاعات به دنبال ايجاد ساختار اعتباردهي براي ISMS است؛ دليلي ندارد كه خود سازمان نيز گواهي نامه ISMS داشته باشد.
عضو هيئت مديره سازمان فناوري اطلاعات يادآور شد: البته اخذ گواهينامه ISMS در دستور كار سازمان فناوري اطلاعات قرار دارد، اما هنوز اين گواهينامه را نداريم.
* سازمان فناوري اطلاعات مرجع رسميتدهي به گواهي است
وي تأكيد كرد: طبق مصوبه هيئت دولت وظيفه سازمان فناوري اطلاعات اين است كه تمهيدات لازم را براي شركتها و مؤسسات خصوصي فراهم كند تا اين شركتها گواهينامه صادر كنند.
صالح اصفهاني تصريح كرد: در واقع سازمان فناوري اطلاعات مرجع رسميتدهي به گواهينامهها است و نه مرجع صدور گواهينامه.
وي تاكيد كرد: به عبارت ديگر سازمان فناوري اطلاعات به طور مستقيم گواهينامهاي صادر نميكند و هيچگونه ارزيابي براي سازمانها انجام نميدهد.
وي با تشريح نظام صدور گواهينامه توسط شركتهاي خصوصي، خاطرنشان كرد: شركتها و سازمانها براي اخذ گواهي نامه ISMS بايد نخست حيطه كار خود را مشخص كنند.
وي ادامه داد: سپس شركـتهاي مشاور، ارزيابيهاي امنيتي را براي سازمان انجام ميدهند و اشكالات امنيتي سازمان را به آنها ميگويند.
عضو هيئت مديره سازمان فناوري اطلاعات ايران افزود: سپس سازمان بايد اشكالات امنيتي خود را رفع كنند، پس از رفع اشكالات، مجدد بازرسيها انجام ميشود.
صالح اصفهاني تصريح كرد: در نهايت پس از بررسي و بازرسيها، براي سازمان گواهينامه صادر ميشود كه اين نظام براي شركتهاي صادر كننده گواهينامه تعريف شده است.
* الزام سازمان فناوري اطلاعات براي اخذ گواهينامه ISMS مشابه ساير دستگاهها
وي در خصوص اخذ گواهينامه ISMS توسط سازمان فناوري اطلاعات، تصريح كرد: از سوي ديگر بر اساس مصوبه هيئت دولت، سازمان فناوري اطلاعات ايران به عنوان يكي از دستگاههاي دولتي بايد گواهينامه ISMS را داشته باشد، اما مانند باقي دستگاهها هنوز اين گواهينامه را نداريم.
صالح اصفهاني در پاسخ به اين سوال كه “با توجه به اينكه سازمان فناوري اطلاعات جزئي از نظام پياده سازي سامانه مديريت امنيت اطلاعات است و نيز مرتبط بودن حوزه كاري اين سازمان با اين معقوله، وضعيت فعلي اين سازمان را در مقايسه با ديگر سازمانها چگونه ارزيابي ميكنيد ” گفت: تقريبا ميتوانيم بگوئيم مانند ساير دستگاهها هستيم و نسبت به آنها وضعيت برتر و ممتازي نداريم.
عضو هيئت مديره سازمان فناوري اطلاعات ايران با بيان اينكه تقريبا تمامي دستگاههاي اجرايي از اين لحاظ در وضعيت مشابهي قرار دارند، تأكيد كرد: هماكنون در كشور بانكها بيشترين دغدغه امنيت اطلاعات را دارند كه به اين ترتيب در بحث امنيت از لحاظ زماني و اقدامات اجرايي پيشتاز هستند.
وي ادامه داد: علاوه بر اين، برخي از سازمانها مانند بخش دفاع و انرژي اتمي كه بحث امنيت اطلاعات از اهميت ويژهاي برايشان برخوردار است، در وضعيت جلوتري قرار دارند و به غير از اين ديگر سازمانهاي كشور در وضعيت يكساني قرار دارند.
صالح اصفهاني در خصوص پيش زماني براي طي فرايندهاي مربوطه و اخذ گواهينامه ISMS در سازمان فناوري اطلاعات، اظهار داشت: بعيد است زيرا يك سال آينده بتوانيم اين گواهينامه براي سازمان فناوري اطلاعات بگيريم.
* اخذ گواهينامه ISMS در يكي از 11 حوزه مديريت امنيت اطلاعات
وي با بيان اينكه گواهينامه ISMS ميتواند در مواردي از بخشهاي 11 گانه مديريت امنيت اطلاعات صادر شود، خاطرنشان كرد: نخست حوزهاي از فعاليت سازمان براي اخذ گواهينامه انتخاب ميشود كه براي مثال تصميم دارند براي شبكههاي ارتباطي داخل يكي از ساختمانهاي سازمان در حوزه امنيت شبكه گواهينامه امنيتي بگيرند.
عضو هيئت مديره سازمان فناوري اطلاعات خاطر نشان كرد: البته با توجه به اينكه يك سازمان ممكن است چندين ساختمان داشته باشد، اين حوزه براي سازمان بسيار كوچك است.
وي افزود: براي اين منظور، مرحله ارزيابي حدود 4 ماه طول ميكشد و گواهينامه ميتواند ظرف 6 ماه صادر شود.
صالح اصفهاني تاكيد كرد: حال اگر اين سازمان بخواهد براي تمامي سازمان، حوزههاي فعاليت سازمان و در تمامي بخشهاي 11 گانه مديريت امنيت اطلاعات گواهينامه داشته باشد، در كمتر از 5 سال نميتواند اين كار را انجام دهد.
وي تاكيد كرد: بنا بر اين هر چه حوزه و موضوع اخذ گواهينامه كوچكتر باشد، ارزيابي، رفع اشكال و بازرسي آسانتر و سريعتر خواهد بود.
عضو هيئت مديره سازمان فناوري اطلاعات تصريح كرد: هماكنون برخي از بانكها در اخذ گواهينامه ISMS به اين شيوه عمل كردهاند.
صالح اصفهاني افزود: ممكن است بانكي بگويد كه گواهينامه ISMS دارد و اين بانك در ساختمان مركزي خود و در موضوع شبكه ارتباطي گواهينامه اخذ كرده است.
عضو هيئت مديره سازمان فناوري اطلاعات خاطرنشان كرد: حتي چنانچه دو سازمان مختلف در تمام موضوعات گواهينامه ISMS اخذ كرده باشند، باز هم قابل مقايسه با يكديگر نيستند؛ زيرا 3 بعد جغرافيايي، موضوعي و حجم حوزه كاري تعيين كننده ميزان كار و زمان لازم خواهد بود.
به گزارش فارس، سامانه مديريت امنيت اطلاعات (ISMS) يكي از ابزارهاي مهم ساختاري و سيستماتيك كلان كشورها است كه در ايران بر اساس مصوبات گوناگون از جمله مصوبه هيأت وزيران و سند راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا) با هدف پياده سازي در دستگاههاي اجرايي كل كشور ابلاغ شده است.
بنابر اين گزارش، در اين راستا اسناد بالادستي فراواني در كشور تدوين و تصويب شده است كه از اين جمله ميتوان به مصوبات شوراي عالي امنيت ملي و هيئت وزيران و سند راهبردي افتا اشاره كرد؛ بر همين اساس براي اجراي اين مصوبهها در دستگاههاي اجرايي، لزوم ايجاد ساختاري براي سياستگذاري، مديريت، نظارت و راهبردي فرايند سامانه مديريت امنيت اطلاعات احساس ميشد.
به اين ترتيب سازمان فناوري اطلاعات، ايجاد ساختار اعتباردهي مديريت امنيت اطلاعات در سطح ملي را در قالب دستورالعمل به هيئت وزيران ارائه كرد كه در بيست و چهارم اسفندماه 88 به تصويب هيئت وزيران رسيد.
بنابر اين گزارش، از جمله اهداف پيادهسازي نظام ملي سامانه مديريت امنيت اطلاعات، ميتوان به مديريت كلان امنيت اطلاعات در سطح كشور، ايجاد و توسعه فرهنگ مديريت امنيت اطلاعات در دستگاههاي اجرايي و نيز ايجاد يك امنيت اطلاعات نسبي قابل پذيرش در دستگاههاي اجرايي اشاره كرد.
همچنين ابلاغ و استمرار الزامات ملي امنيت اطلاعات در دستگاههاي اجرايي و شناسايي، ارزيابي و اعتباردهي شركتهاي فعال در زمينه سامانه مديريت امنيت اطلاعات (ISMS) از ديگر اهداف نظام سامانه مديريت امنيت اطلاعات است.
بر اساس اين گزارش، با ايجاد سامانه مديريت امنيت اطلاعات در دستگاههاي اجرايي، امنيت اطلاعات راهبري و مديريت آن يكپارچه خواهد شد.