ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

ایران 
ادامه »
جهان 
ادامه »
وبلاگ 
ادامه »
کلمات کلیدی 

وزارت ارتباطات

وزیر ارتباطات

کسب و کارهای اینترنتی

رگولاتوری

سازمان تنظیم مقررات و ارتباطات رادیویی

پلیس فتا

همراه اول

امنیت سایبری

شورای عالی فضای مجازی

بانک مرکزی

تلگرام

فیلترینگ

مجلس شورای اسلامی

محمد جواد آذری جهرمی

پول مجازی

شرکت مخابرات ایران

بازار موبایل

جنگ سایبری

فیس‌بوک

شبکه ملی اطلاعات

شبکه های اجتماعی

سازمان فناوری اطلاعات

زارع پور

ایرانسل

نسخه الکترونیکی

گوگل

سایت دیوار

سازمان امور مالیاتی کشور

اینترنت ایران

هوش مصنوعی

اخذ گواهی خارجی امنیت اطلاعات ممنوع شد

| سه شنبه, ۱۹ بهمن ۱۳۸۹، ۰۱:۵۹ ب.ظ | ۰ نظر

مدیر عامل شرکت فناوری اطلاعات ایران گفت: طبق دستورالعمل پیاده‌سازی سامانه مدیریت امنیت اطلاعات، دستگاه‌های دولتی از اخذ گواهی مدیریت امنیت اطلاعات (ISMS) از مرجع خارجی منع شده‌اند که البته الزامی در این رابطه برای بخش خصوصی نیست.

سعید مهدیون در گفت‌وگو با فارس با اشاره به پیاده سازی سامانه مدیریت امنیت اطلاعات در دستگاه‌های اجرایی، اظهار داشت: پیاده سازی این سامانه در دستگاه‌های اجرایی در سند افتا ( امنیت فضای تولید و تبادل اطلاعات) به دستگاه‌ها تکلیف شده است و تصممی دستگاه‌ها ملزوم به پیاده‌سازی این سامانه شده‌اند.

وی در پاسخ به این سؤال که آیا برای پیاده سازی سامانه مهلت زمانی برای دستگاه‌ها تعیین شده گفت: یکی از اشکالات سند افتا این است که زمان‌بندی خاصی در آن تعیین نشده است.
* مهلت‌ 3 و 5 ساله به دستگاه‌ها برای پیاده‌سازی ISMS

وی گفت: در بخش راهبرد 2 اقدام از سند مشخص شده که کسانی که مجری طرح‌ها هستند باید طرح‌های خود را تا آذر 87 برای تصویب در دولت ارائه دهند.

مهدیون ادامه داد: اما با توجه به ابلاغ سند در تاریخ اسفند 87 و به دلیل اینکه طرح زمان گذشته تصویب شد، زمان‌بندی‌ها به هم خورد و به این ترتیب در زمان ابلاغ سند، زمان تعیین شده برای این منظور گذشته بود.

مدیر عامل شرکت فناوری اطلاعات ایران در پاسخ به این سوال که پس از آن دیگر زمان‌بندی جدیدی برای این منظور مشخص نشده،‌ اظهار داشت: در حال حاضر کمیته امنیتی که در زیر مجموعه کارگروه مدیریت فناوری اطلاعات (فاوا) دولت تشکیل شده، در حال کار روی این مسئله است و اجرایی شدن این سند در دستگاه‌ها را پیگیری می‌کند.

وی خاطرنشان کرد: البته باید توجه داشت که پیاده سازی ISMS (سامانه مدیریت امنیت اطلاعات) مانند خرید یک شبکه یا نصب تجهیزات نیست و کار نسبتا سنگینی است.

مهدیون تأکید کرد: برخی از فرآیندها و کنترل‌ها برای پیاده‌سازی ISMS به علت عجین بودن با عملکرد سازمان ممکن است تا 5 سال طول بکشد.

وی ادامه داد: در همین راستا برای پیاده سازی سامانه مدیریت امنیت اطلاعات دستورالعملی تهیه و به دستگاه‌ها ابلاغ شده است که در این دستورالعمل برنامه‌های زمانی و بازه‌های 3 ساله و 5 ساله دیده شده است و براساس این دستورالعمل دستگاه‌ها باید حداقل یک بار ممیزی را انجام دهند.
* گواهی ISMS دستگاه‌ها دو ساله خواهد بود

مدیر عامل شرکت فناوری اطلاعات ایران خاطر نشان کرد: در ممیزی زمانی که گواهی نامه اعطا می‌شود، به خصوص در حوزه امنیت، این گواهی مانند گواهی تحصیلی مدرکی همیشه معتبر نیست و مهلت زمانی دارد.

وی ادامه داد: برای مثال زمانی که دستگاهی یک گواهی ISMS (مدیریت امنیت اطلاعات) اخذ کرد، به این معنی نیست که تا آخر عمر مدیریت امنیت در این دستگاه برقرار باشد.

مهدیون خاطر نشان کرد: بازبینی در بازه‌های زمانی یک ساله یا 2 ساله باید دوباره انجام شود، ارزیابی و ممیزی صورت گیرد و مجدداً گواهی اعطا شود.

مهدیون با اشاره به اینکه گواهی‌ها دارای طول عمر است، گفت: در دستورالعمل تهیه شده طول عمر گواهی‌ها 2 سال دیده شده است؛ زیرا یک سال برای این دستگاه‌ها بسیار کوتاه است.
* دولت راهبری سند افتا را به کمیته امنیت کارگروه فاوا سپرد

وی در پاسخ این که یکی از مشکلات سند افتا این است که در آن وظیفه راهبری سند مشخص نشده،‌ آیا تکلیف راهبری سند مشخص شده است، ‌گفت: اخیراً هیئت دولت مصوبه‌ای با این مضمون داشته است که پیگیری اجرایی شدن این سند را به کمیته امنیت کارگروه فاوا محول کرده است.

وی با تأکید بر اینکه پیاده سازی ISMS نیز جزو وظایف راهبری است، اظهار داشت: پیاده سازی ISMS به مکانی نیاز دارد که عمل اعتباردهی دستگاه‌ها را انجام دهد.

مدیرعامل شرکت فناوری اطلاعات ایران توضیح داد: قرار نیست مرکز خاصی در دولت گواهی ISMS را صادر کند، بلکه گواهی طی یک نظامی که در دستورالعمل ابلاغ شده است، صادر می‌شود.

مهدیون ادامه داد: مؤسساتی که عمل ممیزی کردن صدور گواهی را انجام می‌دهند؛ خود باید ارزیابی و نظارت شوند؛ همچنین علاوه بر این میمزها،‌ آموزش دهندگان، مشاوران پیاده سازی نیز وجود دارند؛ زیرا دستگاه‌ها برای پیاده سازی یا شخصا و به صورت داخلی اقدام می‌کنند، یا به کمک مشاور نیاز خواهند داشت.

وی ادامه داد: علاوه بر این به افرادی برای کمک در انجام عمل ممیزی نیاز است که ممیزهای ارشد نیز وجود خواهند داشت.

مهدیون تأکید کرد: همچنین بنگاه‌هایی وجود دارند که باید با انجام عمل ممیزی نهایی گواهی را صادر کنند و در نهایت در بالا سر این سطوح جایی باید به تمامی این سطوح اعتبار دهد.
* انتخاب سازمان فناوری اطلاعات به عنوان نهاد اعتباردهی گواهی ISMS

وی خاطر نشان کرد: مطابق مصوبه اسفندماه هیئت دولت، شرکت فناوری اطلاعات ایران به عنوان نهاد اعتباردهی انتخاب شده است.

وی گفت: همچنانکه تاکنون ده‌ها دستورالعمل توسط کمیته امنیت فاوا دولت ابلاغ شده است، کمیته امنیت راهبری این موضوع را برای شرکت فناوری اطلاعات ایران نیز انجام می‌دهد و تشکیل ساختار اعتباردهی شرکت فناوری اطلاعات را نیز پیگیری می‌کند.

وی در پاسخ به این سوال که تشکیل نهاد اعتباری در سازمان فناوری اطلاعات در چه مرحله‌ای است، گفت: نظام اصلی ابلاغ شده و در شرکت فناوری اطلاعات نظام اعتباردهی در حال شکل گیری است؛ حتی روی چگونگی ارزیابی ممیزها، شرایط ارزیابی شرکت‌هایی که می‌خواهند گواهی بدهند، شرکت‌هایی که می‌خواهند در حوزه آموزش وارد شوند، کار می‌شود.
* بخش‌نامه‌های امنیتی کارگروه امینت فاوا روانه دستگاه‌های دولتی می‌شود

وی ادامه داد: در کنار این موارد، خلاصه دستورالعمل‌های ساده‌ای که دستگاه‌ها قادر به انجام باشند در چارچوب بخش نامه‌ها و ابلاغیه‌ها برای دستگاه‌ها ارسال می‌شود، برای مثال بخش‌نامه اول در این حد بود که دستگاه‌ها در سطح مدیریت نخست به دنبال خط مشی‌ها و سیاست‌های امنیتی بروند و دوم مدیر امنیت اطلاعات را در دستگاه منصوب کنند که این بخشنامه به دستگاه ابلاغ شد.

مهدیون گفت: ‌همین بخشنامه حرکتی را در تمامی دستگاه‌ها آغاز کرد و هم‌اکنون برخی از دستگاه‌ها مدیر امنیت اطلاعات خود را منصوب کرده‌اند و کمیته امنیت نیز طرف صحبت خود را در دستگاه اجرایی می‌شناسند.

وی گفت: بخشنامه بعدی این بود که شروع کنید به تشکیل کمیته امنیت در دستگاه و به این ترتیب قدم به قدم دستگاه‌ها را برای پیاده‌سازی سامانه مدیریت امنیت اطلاعات آماده می‌کنیم.

مهدیون ادامه داد: در نهایت از یک سو دستگاه‌ها متقاضی پیاده‌سازی ISMS خواهند شد و از سوی دیگر نهادهای مختلف مجوزهای لازم را برای اجرا و انجام مراحل این کار اخذ کرده‌اند که این دو طرف را به هم ارتباط می‌دهیم.

مدیر عامل شرکت فناوری اطلاعات ایران اظهار امیدواری کرد: بتوانیم در سال برنامه نظام را آماده کرده باشیم تا دستگاه‌ها ممیزی شدن را آغاز کنند.
* دستگا‌ه‌های دولتی از اخذ گواهی مدیریت امنیت اطلاعات (ISMS) از مرجع خارجی منع شدند

وی در خصوص اینکه در گذشته اگر کسی تمایل به اخذ ISMS داشت باید این گواهی را از یک شرکت خارجی دریافت می‌کرد، اظهار داشت: بله؛ در گذشته چنین بود؛ اما هم‌اکنون اخذ گواهی مدیریت امنیت اطلاعات (ISMS) از مرجع خارجی برای دستگاه‌های دولتی ممنوع شده اما برای بخش خصوصی الزامی در این رابطه نیست؛ در عین حال که ترجیح این است که حتی بخش خصوصی نیز برای این منظور سراغ خارجی‌ها نرود.

مهدیون در پاسخ به این سوال که آیا استفاده بخش خصوصی نیز از نظام ایجاد شده برای دستگاه‌های دولتی ممکن است گفت: خصوصی‌ها هم اگر بخواهند می‌توانند استفاده کنند اما برای آنها الزام ندارد.

مدیرعامل شرکت فناوری اطلاعات ایران در پاسخ به این سوال که آیا دبیر کمیته امنیت اطلاعات کارگروه فاوا از شرکت فناوری اطلاعات ایران است، گفت: خیر؛ دبیر کمیته امنیت را وزیر ارتباطات منصوب کرده‌اند که از سازمان فناوری اطلاعات نیست و این کمیته نیز مانند سایر کمیته‌های کارگروه فاوا دولت (فناوری اطلاعات و ارتباطات) از چندین نهاد و حتی از دانشگاه‌ها عضو دارد.

وی با تأکید بر آغاز فعالیت کمیته امنیت کارگروه فاوا تصریح کرد: کمیته امنیت فعالیت خود را آغازکرده است و یک یا دو مصوبه نیز در کارگروه فاوا در حوزه امنیت داشته‌ایم که همان مقررات و پشتیبانی‌های مربوط به پیاده سازی سیستم‌های مدیریت امنیت اطلاعات است.

مهدیون ادامه داد: از دیگر مصوبات این کمیته زمان هایی است که باید موردی در سطح دولت و کارگروه به دستگاه‌ها ابلاغ شود که کمیته امنیت مصوبات این چنینی نیز داشته است.

به گزارش فارس، سامانه مدیریت امنیت اطلاعات (ISMS) یکی از ابزارهای مهم ساختاری و سیستماتیک کلان کشورها است که در ایران بر اساس مصوبات گوناگون از جمله مصوبه هیأت وزیران و سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) با هدف پیاده ‌سازی در دستگاه‌های اجرایی کل کشور ابلاغ شده است.

بنابر این گزارش، در این راستا اسناد بالادستی فراوانی در کشور تدوین و تصویب شده است که از این جمله می‌توان به مصوبات شورای عالی امنیت ملی و هیئت وزیران و سند راهبردی افتا اشاره کرد؛ بر همین اساس برای اجرای این مصوبه‌ها در دستگاه‌های اجرایی، لزوم ایجاد ساختاری برای سیاست‌گذاری، مدیریت، نظارت و راهبردی فرایند سامانه مدیریت امنیت اطلاعات احساس می‌شد.

به این ترتیب سازمان فناوری اطلاعات، ایجاد ساختار اعتباردهی مدیریت امنیت اطلاعات در سطح ملی را در قالب دستورالعمل به هیئت وزیران ارائه کرد که در بیست و چهارم اسفندماه 88 به تصویب هیئت وزیران رسید.

بنابر این گزارش، از جمله اهداف پیاده‌سازی نظام ملی سامانه مدیریت امنیت اطلاعات، می‌توان به مدیریت کلان امنیت اطلاعات در سطح کشور، ایجاد و توسعه فرهنگ مدیریت امنیت اطلاعات در دستگاه‌های اجرایی و نیز ایجاد یک امنیت اطلاعات نسبی قابل پذیرش در دستگاه‌های اجرایی اشاره کرد.

همچنین ابلاغ و استمرار الزامات ملی امنیت اطلاعات در دستگاه‌های اجرایی و شناسایی، ارزیابی و اعتباردهی شرکت‌های فعال در زمینه سامانه مدیریت امنیت اطلاعات (ISMS) از دیگر اهداف نظام سامانه مدیریت امنیت اطلاعات است.

بر اساس این گزارش، با ایجاد سامانه مدیریت امنیت اطلاعات در دستگاه‌های اجرایی، امنیت اطلاعات راهبری و مدیریت آن یکپارچه خواهد شد.

  • ۸۹/۱۱/۱۹

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
نقل مطالب سایت باذکر منبع مجاز است
قدرت گرفته از بیان