گرداب- تا کنون اگر شرکتی در ایران تمایل به اخذ "گواهی مدیریت امنیت اطلاعات" (ISMS) داشت، باید این گواهی را از مراجع خارجی دریافت می کرد و مرجعی برای صدور گواهی ISMS در ایران نبود.
اما امروز پس از چندین سال، سرانجام، تشکیل نظام اعتباردهی در سازمان فناوری اطلاعات ایران به پایان رسید و از این پس این سازمان به عنوان متولی داخلی، به متقاضیان گواهی ISMS اعطا میکند، تا دیگر در این زمینه نیازی به خارجیها نباشد.
پیاده سازی ISMS (سامانه مدیریت امنیت اطلاعات) در دستگاههای اجرایی نخستین بار در سند افتا (امنیت فضای تولید و تبادل اطلاعات) به دستگاهها تکلیف شد و تمامی دستگاههای اجرایی ملزوم به پیادهسازی این سامانه شدند.
اما یکی از اشکالات سند افتا این بود که زمانبندی خاصی در آن تعیین نشده بود.
علی رغم این که در بخش راهبرد سند افتا قید شده بود که مجریان طرحها، باید طرحهای خود را تا آذر 87 برای تصویب در دولت ارائه دهند، اما با ابلاغ در اسفند 87، زمانبندیها به هم خورد.
پس از آن با مصوبه دولت، تمام 3 هزار و 600 دستگاه اجرایی ماده 5 کشور، ملزم به اخذ گواهینامه ISMS (نظام مدیریت امنیت اطلاعات) شدند و در قانون برنامه پنجم نیز برای اخذ ISMS توسط دستگاهها زمانبندی تعیین شد.
به این صورت که در طول 2 سال نخست برنامه پنجم، دستگاههای حیاتی، حساس و مالی کشور، باید گواهینامه ISMS را اخذ کنند و سایر دستگاهها نیز تا پایان برنامه پنج ساله پنجم، باید حداقل یک بار، گواهی اخذ کنند و طول عمر گواهیها نیز 2 سال تعیین شد.
همچنین با این مصوبه، بر خلاف روال گذشته که اگر شرکتی تمایل به اخذ گواهی مدیریت امنیت اطلاعات (ISMS) داشت باید این گواهی را از مراجع خارجی دریافت میکرد، اخذ ISMS از مرجع خارجی برای دستگاههای دولتی ممنوع شد.
البته این مصوبه الزامی برای بخش خصوصی ایجاد نمی کرد.
از آن پس، کمیته امنیت کارگروه مدیریت فناوری اطلاعات (فاوا) هیئت دولت، مسئول پیگیری اجرای سند افتا در دستگاهها شد.
علاوه بر این، پیاده سازی ISMS به مکانی نیاز داشت تا عمل اعتباردهی دستگاهها را انجام دهد.
مؤسساتی که عمل ممیزی کردن صدور گواهی را انجام میدهند، خود باید ارزیابی و نظارت شوند، همچنین علاوه بر این ممیزها، آموزش دهندگان و مشاوران پیاده سازی نیز وجود دارند زیرا دستگاهها برای پیاده سازی یا شخصا و به صورت داخلی اقدام میکنند، یا به کمک مشاور نیاز خواهند داشت.
علاوه بر این به افرادی برای کمک در انجام عمل ممیزی نیاز است و به این ترتیب ممیزهای ارشد نیز وجود خواهند داشت.
همچنین بنگاههایی وجود دارند که باید با انجام عمل ممیزی نهایی، گواهی را صادر کنند و در نهایت در بالا سر این سطوح در جایی باید به تمامی این سطوح اعتبار داده شود.
با توجه به ساختار پیش بینی شده برای نظام اعتبار دهی ISMS، با مصوبه هیئت دولت، سازمان فناوری اطلاعات ایران به عنوان نهاد اعتباردهی انتخاب شد و پیگیری تشکیل این ساختار در این سازمان نیز به کمیته امنیت فاوا دولت سپرده شد.
اما امروز دیگر گویا اخذ گواهی ISMS در ایران به پله آخر رسیده است.امروز سرانجام نظام اعتبار دهی در سازمان فناوری اطلاعات ایران تشکیل شده و از این پس این سازمان به عنوان متولی اعطای گواهی ISMS، به متقاضیان گواهی اعطا خواهد کرد.
همچنین سازمان فناوری اطلاعات 4 شرکت را برای اعطای "گواهی اعطای پروانه" انتخاب کرده و این شرکتها، می توانند در مسیر کسب ISMS به سازمانها مشاوره دهند و کمکشان باشند و قرار است در آینده نیز تعداد شرکـتها از 4 عدد فراتر رود.
منبع:
فارس