ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

ایران 
ادامه »
جهان 
ادامه »
وبلاگ 
ادامه »
کلمات کلیدی 

وزارت ارتباطات

وزیر ارتباطات

کسب و کارهای اینترنتی

رگولاتوری

سازمان تنظیم مقررات و ارتباطات رادیویی

همراه اول

پلیس فتا

امنیت سایبری

بانک مرکزی

شورای عالی فضای مجازی

تلگرام

فیلترینگ

مجلس شورای اسلامی

محمد جواد آذری جهرمی

پول مجازی

شرکت مخابرات ایران

بازار موبایل

جنگ سایبری

فیس‌بوک

شبکه ملی اطلاعات

شبکه های اجتماعی

سازمان فناوری اطلاعات

زارع پور

ایرانسل

نسخه الکترونیکی

گوگل

سایت دیوار

سازمان امور مالیاتی کشور

هوش مصنوعی

اینترنت ایران

نحوه اخذ گواهی مدیریت امنیت اطلاعات

| شنبه, ۷ اسفند ۱۳۸۹، ۰۱:۲۷ ب.ظ | ۰ نظر

عضو هیئت مدیره سازمان فناوری اطلاعات با بین اینکه سازمان مذکور، مرجع رسمیت‌دهی به گواهی است؛ نه مرجع صدور گواهینامه، سازوکار اخذ گواهی مدیریت امنیت اطلاعات برای سازمان‌های دولتی و خصوصی را تشریح کرد.

به گزارش فارس، بر اساس مصوبه هیئت دولت، تمامی دستگاه‌های دولتی موظف به پیاده‌سازی نظام مدیریت امنیت اطلاعات (ISMS) در سازمان هستند و در این بین سازمان فناوری اطلاعات ایران از زیرمجموعه‌های وزارت ارتباطات نیز به عنوان بازوی حاکمیتی دولت در توسعه و مدیریت ICT در کشور، موظف به ایجاد ساختاری برای اعتبار دهی به ارائه‌کنندگان گواهی ISMS در کشور شده است.

این سوال که آیا سازمان فناوری اطلاعات ایران یا همان سازمانی که باید به ارائه کنندگان گواهی ISMS، اعتبار دهی کند، باید خود این گواهی را داشته باشد و در صورت نداشتن گواهی هم‌اکنون در چه وضعیتی از لحاظ امنیت اطلاعات قرار دارد، موضوع گفت‌وگوی ما با محمود صالح اصفهانی عضو هیئت مدیره سازمان فناوری اطلاعات ایران است.

محمود صالح اصفهانی در گفت‌وگو با فارس در این خصوص که با توجه به اینکه در سازمان فناوری اطلاعات ساختاری برای اعتباردهی به ارائه کنندگان گواهی ISMS (گواهی مدیریت امنیت اطلاعات) ایجاد خواهد شد، آیا این سازمان خود گواهی ISMS را دارد، اظهار داشت: سازمان فناوری اطلاعات گواهی ISMS ندارد.

وی افزود: اگر سازمان فناروی اطلاعات به دنبال ایجاد ساختار اعتباردهی برای ISMS است؛ دلیلی ندارد که خود سازمان نیز گواهی نامه ISMS داشته باشد.

عضو هیئت مدیره سازمان فناوری اطلاعات یادآور شد: البته اخذ گواهینامه ISMS در دستور کار سازمان فناوری اطلاعات قرار دارد، اما هنوز این گواهینامه را نداریم.
* سازمان فناوری اطلاعات مرجع رسمیت‌دهی به گواهی است

وی تأکید کرد: طبق مصوبه هیئت دولت وظیفه سازمان فناوری اطلاعات این است که تمهیدات لازم را برای شرکت‌ها و مؤسسات خصوصی فراهم کند تا این شرکت‌ها گواهینامه صادر کنند.

صالح اصفهانی تصریح کرد: ‌در واقع سازمان فناوری اطلاعات مرجع رسمیت‌دهی به گواهینامه‌ها است و نه مرجع صدور گواهینامه.

وی تاکید کرد: به عبارت دیگر سازمان فناوری اطلاعات به طور مستقیم گواهینامه‌ای صادر نمی‌کند و هیچ‌گونه ارزیابی برای سازمان‌ها انجام نمی‌دهد.

وی با تشریح نظام صدور گواهی‌نامه توسط شرکت‌های خصوصی، خاطرنشان کرد: شرکت‌ها و سازمان‌ها برای اخذ گواهی ‌نامه ISMS باید نخست حیطه کار خود را مشخص کنند.

وی ادامه داد: سپس شرکـ‌ت‌های مشاور، ارزیابی‌های امنیتی را برای سازمان انجام می‌دهند و اشکالات امنیتی سازمان را به آنها می‌گویند.

عضو هیئت مدیره سازمان فناوری اطلاعات ایران افزود: سپس سازمان باید اشکالات امنیتی خود را رفع کنند، پس از رفع اشکالات، مجدد بازرسی‌‌ها انجام می‌شود.

صالح اصفهانی تصریح کرد: در نهایت پس از بررسی و بازرسی‌ها، برای سازمان گواهینامه صادر می‌شود که این نظام برای شرکت‌های صادر کننده گواهینامه تعریف شده است.
* الزام سازمان فناوری اطلاعات برای اخذ گواهی‌نامه ISMS مشابه سایر دستگاه‌ها

وی در خصوص اخذ گواهی‌نامه ISMS توسط سازمان فناوری اطلاعات، تصریح کرد: از سوی دیگر بر اساس مصوبه هیئت دولت، سازمان فناوری اطلاعات ایران به عنوان یکی از دستگاه‌های دولتی باید گواهینامه ISMS را داشته باشد، اما مانند باقی دستگاه‌ها هنوز این گواهینامه را نداریم.

صالح اصفهانی در پاسخ به این سوال که "با توجه به اینکه سازمان فناوری اطلاعات جزئی از نظام پیاده سازی سامانه مدیریت امنیت اطلاعات است و نیز مرتبط بودن حوزه کاری این سازمان با این معقوله، وضعیت فعلی این سازمان را در مقایسه با دیگر سازمان‌ها چگونه ارزیابی می‌کنید " گفت: تقریبا می‌توانیم بگوئیم مانند سایر دستگاه‌ها هستیم و نسبت به آنها وضعیت برتر و ممتازی نداریم.

عضو هیئت مدیره سازمان فناوری اطلاعات ایران با بیان اینکه تقریبا تمامی دستگاه‌های اجرایی از این لحاظ در وضعیت مشابهی قرار دارند، تأکید کرد: هم‌اکنون در کشور بانک‌ها بیشترین دغدغه امنیت اطلاعات را دارند که به این ترتیب در بحث امنیت از لحاظ زمانی و اقدامات اجرایی پیشتاز هستند.

وی ادامه داد: علاوه بر این، برخی از سازمان‌ها مانند بخش دفاع و انرژی اتمی که بحث امنیت اطلاعات از اهمیت ویژه‌ای برایشان برخوردار است، در وضعیت جلوتری قرار دارند و به غیر از این دیگر سازمان‌های کشور در وضعیت یکسانی قرار دارند.

صالح اصفهانی در خصوص پیش زمانی برای طی فرایندهای مربوطه و اخذ گواهینامه ISMS در سازمان فناوری اطلاعات، اظهار داشت: بعید است زیرا یک سال آینده بتوانیم این گواهینامه برای سازمان فناوری اطلاعات بگیریم.
* اخذ گواهی‌نامه ISMS در یکی از 11 حوزه مدیریت امنیت اطلاعات

وی با بیان اینکه گواهی‌نامه ISMS می‌تواند در مواردی از بخش‌های 11 گانه مدیریت امنیت اطلاعات صادر شود، خاطرنشان کرد: نخست حوزه‌‌ای از فعالیت سازمان برای اخذ گواهی‌نامه انتخاب می‌شود که برای مثال تصمیم دارند برای شبکه‌های ارتباطی داخل یکی از ساختمان‌های سازمان در حوزه امنیت شبکه گواهینامه امنیتی بگیرند.

عضو هیئت مدیره سازمان فناوری اطلاعات خاطر نشان کرد: البته با توجه به اینکه یک سازمان ممکن است چندین ساختمان داشته باشد، این حوزه برای سازمان بسیار کوچک است.

وی افزود: برای این منظور، مرحله ارزیابی حدود 4 ماه طول می‌کشد و گواهینامه می‌تواند ظرف 6 ماه صادر شود.

صالح اصفهانی تاکید کرد: حال اگر این سازمان بخواهد برای تمامی سازمان‌، حوزه‌های فعالیت سازمان و در تمامی بخش‌های 11 گانه مدیریت امنیت اطلاعات گواهینامه داشته باشد، ‌در کمتر از 5 سال نمی‌تواند این کار را انجام دهد.

وی تاکید کرد: بنا بر این هر چه حوزه و موضوع اخذ گواهینامه کوچک‌تر باشد، ارزیابی، رفع اشکال و بازرسی آسان‌تر و سریع‌تر خواهد بود.

عضو هیئت مدیره سازمان فناوری اطلاعات تصریح کرد: هم‌اکنون برخی از بانک‌ها در اخذ گواهی‌نامه ISMS به این شیوه عمل کرده‌اند.

صالح اصفهانی افزود: ممکن است بانکی بگوید که گواهینامه ISMS دارد و این بانک در ساختمان مرکزی خود و در موضوع شبکه ارتباطی گواهینامه اخذ کرده است.

عضو هیئت مدیره سازمان فناوری اطلاعات خاطرنشان کرد: حتی چنانچه دو سازمان مختلف در تمام موضوعات گواهی‌نامه ISMS اخذ کرده باشند، باز هم قابل مقایسه با یکدیگر نیستند؛ زیرا 3 بعد جغرافیایی، موضوعی و حجم حوزه کاری تعیین کننده میزان کار و زمان لازم خواهد بود.
به گزارش فارس، سامانه مدیریت امنیت اطلاعات (ISMS) یکی از ابزارهای مهم ساختاری و سیستماتیک کلان کشورها است که در ایران بر اساس مصوبات گوناگون از جمله مصوبه هیأت وزیران و سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا) با هدف پیاده ‌سازی در دستگاه‌های اجرایی کل کشور ابلاغ شده است.

بنابر این گزارش، در این راستا اسناد بالادستی فراوانی در کشور تدوین و تصویب شده است که از این جمله می‌توان به مصوبات شورای عالی امنیت ملی و هیئت وزیران و سند راهبردی افتا اشاره کرد؛ بر همین اساس برای اجرای این مصوبه‌ها در دستگاه‌های اجرایی، لزوم ایجاد ساختاری برای سیاست‌گذاری، مدیریت، نظارت و راهبردی فرایند سامانه مدیریت امنیت اطلاعات احساس می‌شد.

به این ترتیب سازمان فناوری اطلاعات، ایجاد ساختار اعتباردهی مدیریت امنیت اطلاعات در سطح ملی را در قالب دستورالعمل به هیئت وزیران ارائه کرد که در بیست و چهارم اسفندماه 88 به تصویب هیئت وزیران رسید.

بنابر این گزارش، از جمله اهداف پیاده‌سازی نظام ملی سامانه مدیریت امنیت اطلاعات، می‌توان به مدیریت کلان امنیت اطلاعات در سطح کشور، ایجاد و توسعه فرهنگ مدیریت امنیت اطلاعات در دستگاه‌های اجرایی و نیز ایجاد یک امنیت اطلاعات نسبی قابل پذیرش در دستگاه‌های اجرایی اشاره کرد.

همچنین ابلاغ و استمرار الزامات ملی امنیت اطلاعات در دستگاه‌های اجرایی و شناسایی، ارزیابی و اعتباردهی شرکت‌های فعال در زمینه سامانه مدیریت امنیت اطلاعات (ISMS) از دیگر اهداف نظام سامانه مدیریت امنیت اطلاعات است.

بر اساس این گزارش، با ایجاد سامانه مدیریت امنیت اطلاعات در دستگاه‌های اجرایی، امنیت اطلاعات راهبری و مدیریت آن یکپارچه خواهد شد.

  • ۸۹/۱۲/۰۷

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
نقل مطالب سایت باذکر منبع مجاز است
قدرت گرفته از بیان