اخذ گواهی مدیریت امنیت اطلاعات از مراجع خارجی منتفی شد

تاریخ انتشار : ۰۹ ارديبهشت ۱۳۹۱

سرانجام تشکیل نظام اعتباردهی در سازمان فناوری اطلاعات ایران به پایان رسید و از این پس این سازمان به عنوان متولی داخلی، به متقاضیان گواهی ISMS اعطا می‌کند و دیگر در این زمینه نیازی به خارجی‌ها نیست.

گرداب- تا کنون اگر شرکتی در ایران تمایل به اخذ "گواهی مدیریت امنیت اطلاعات" (ISMS) داشت، باید این گواهی را از مراجع خارجی دریافت می کرد و مرجعی برای صدور گواهی ISMS در ایران نبود.

اما امروز پس از چندین سال، سرانجام، تشکیل نظام اعتباردهی در سازمان فناوری اطلاعات ایران به پایان رسید و از این پس این سازمان به عنوان متولی داخلی، به متقاضیان گواهی ISMS اعطا می‌کند، تا دیگر در این زمینه نیازی به خارجی‌ها نباشد.

پیاده سازی ISMS (سامانه مدیریت امنیت اطلاعات) در دستگاه‌های اجرایی نخستین بار در سند افتا (امنیت فضای تولید و تبادل اطلاعات) به دستگاه‌ها تکلیف شد و تمامی دستگاه‌های اجرایی ملزوم به پیاده‌سازی این سامانه شدند.

اما یکی از اشکالات سند افتا این بود که زمان‌بندی خاصی در آن تعیین نشده بود.

علی رغم این که در بخش راهبرد سند افتا قید شده بود که مجریان طرح‌ها، باید طرح‌های خود را تا آذر 87 برای تصویب در دولت ارائه دهند، اما با ابلاغ در اسفند 87، زمان‌بندی‌ها به هم خورد.

پس از آن با مصوبه دولت، تمام 3 هزار و 600 دستگاه اجرایی ماده 5 کشور، ملزم به اخذ گواهی‌نامه ISMS (نظام مدیریت امنیت اطلاعات) شدند و در قانون برنامه پنجم نیز برای اخذ ISMS توسط دستگاه‌ها زمان‌بندی تعیین شد.

به این صورت که در طول 2 سال نخست برنامه پنجم، دستگاه‌های حیاتی، حساس و مالی کشور، باید گواهی‌نامه ISMS را اخذ کنند و سایر دستگاه‌ها نیز تا پایان برنامه پنج ساله پنجم، باید حداقل یک بار، گواهی اخذ کنند و طول عمر گواهی‌ها نیز 2 سال تعیین شد.

همچنین با این مصوبه، بر خلاف روال گذشته که اگر شرکتی تمایل به اخذ گواهی مدیریت امنیت اطلاعات (ISMS) داشت باید این گواهی را از مراجع خارجی دریافت می‌کرد، اخذ ISMS از مرجع خارجی برای دستگاه‌های دولتی ممنوع شد.

البته این مصوبه الزامی برای بخش خصوصی ایجاد نمی کرد.

از آن پس، کمیته امنیت کارگروه مدیریت فناوری اطلاعات (فاوا) هیئت دولت، مسئول پیگیری اجرای سند افتا در دستگاه‌ها شد.

علاوه بر این، پیاده سازی ISMS به مکانی نیاز داشت تا  عمل اعتباردهی دستگاه‌ها را انجام دهد.

مؤسساتی که عمل ممیزی کردن صدور گواهی را انجام می‌دهند، خود باید ارزیابی و نظارت شوند، همچنین علاوه بر این ممیزها،‌ آموزش دهندگان و مشاوران پیاده سازی نیز وجود دارند زیرا دستگاه‌ها برای پیاده سازی یا شخصا و به صورت داخلی اقدام می‌کنند، یا به کمک مشاور نیاز خواهند داشت.

علاوه بر این به افرادی برای کمک در انجام عمل ممیزی نیاز است و به این ترتیب ممیزهای ارشد نیز وجود خواهند داشت.

همچنین بنگاه‌هایی وجود دارند که باید با انجام عمل ممیزی نهایی، گواهی را صادر کنند و در نهایت در بالا سر این سطوح در جایی باید به تمامی این سطوح اعتبار داده شود.

با توجه به ساختار پیش بینی شده برای نظام اعتبار دهی ISMS، با مصوبه هیئت دولت، سازمان فناوری اطلاعات ایران به عنوان نهاد اعتباردهی انتخاب شد و پیگیری تشکیل این ساختار در این سازمان نیز به کمیته امنیت فاوا دولت سپرده شد.

اما امروز دیگر گویا اخذ گواهی ISMS در ایران به پله آخر رسیده است.

امروز سرانجام نظام اعتبار دهی در سازمان فناوری اطلاعات ایران تشکیل شده و از این پس این سازمان به عنوان متولی اعطای گواهی ISMS، به متقاضیان گواهی اعطا خواهد کرد.

همچنین سازمان فناوری اطلاعات 4 شرکت را برای اعطای "گواهی اعطای پروانه" انتخاب کرده و این شرکت‌ها، می توانند در مسیر کسب ISMS به سازمان‌ها مشاوره‌ دهند و کمک‌شان باشند و قرار است در آینده نیز تعداد شرکـت‌ها از 4 عدد فراتر رود.

منبع: فارس