فرصت اندك باقي مانده براي پياده سازي سامانه مديريت امنيت اطلاعات ISMS، سازمان فناوري اطلاعات را بر آن داشت تا تعداد اپراتورهاي اين سامانه را با حذف محدوديت هاي تعداد و زمان پروانه افزايش دهد.
به گزارش شبکه خبری دولت الکترونیک، تمامي سازمانهاي دولتي و پس از آن شركتهاي خصوصي مرتبط با دولتيها تنها تا پايان سال دوم برنامه پنجم توسعه يعني امسال براي پياده سازي نظام مديريت امنيت اطلاعات مهلت دارند.
اين فرصت كوتاه سازمان فناوري اطلاعات و ارتباطات را مجبور كرد براي پيشبرد سريعتر پياده سازي ISMS در دستگاههاي كشور تعداد اپراتورها را افزايش دهد. اين در شرايطي است كه پيش از اين نيز به ۴ شركت امنافزار شريف، امنپردازان كوير، پرورش دادهها و نوآوران ارتباطات دور به عنوان اپراتورهاي پياده سازي و مشاوره و همچنين به شركت پايهريزان راهكار به عنوان اپراتور آموزشي، پروانه ISMS اعطا كرده بود.
علي حكيم جوادي معاون وزیر ارتباطات و رئيس سازمان فناوري اطلاعات ایران با بيان اينكه به بيش از ۲۰۰ اپراتور براي پياده سازي نظام مديريت امنيت اطلاعات نيازمنديم، گفت:«طي برآوردهايي كه از كل كشور به عمل آمده براي بالا بردن سرعت پياده سازي ISMS در نهادهاي دولتي كشور بايد بيش از ۲۰۰ اپراتور ديگر علاوه بر اين ۵ اپراتور موجود فعاليت كنند.»
به گفته وي بايد اين پتانسيل را در بخش خصوصي ايجاد كنيم تا شرايط لازم در ارزيابيها را كسب و مجوز اپراتوري را كسب كنند. در اين راستا استفاده از توان شركتهاي استاني نيز در برنامه كاري قرار دارد.
حكيم جوادي با تاكيد بر اينكه تا ۲سال آينده بايد رتبه نخست منطقه در ISMS را كسب كنيم، خبر داد:«هنوز هيچ سازماني به مرحله مميزي نرسيده است و همه در فرآيند آموزش، مشاوره و پيادهسازي قرار دارند.» بنابراين در هيچ شركتي تاكنون نظام مديريت امنيت اطلاعات به طور كامل پيادهسازي نشده است.
ابتدا نوبت دولتيهاست
مهمترين دستاوردهاي استقرار نظام ISMS در هر سازماني چه دولتي و چه خصوصي كاهش هزينهها ناشي از نبود امنيت در اطلاعات و شبكه برقراري در سطح سازمان، بوميسازي فرهنگ و دانش امنيت اطلاعات در سازمان، افزايش اعتماد مديران و كارشناسان بر سيستمهاي مبتني بر فناوري اطلاعات، اصلاح فرآيندهاي جاري و ساختارهاي سازماني و … است.
او با اشاره به اينكه شركتها و سازمانهاي دولتي موظف به پياده ساز ISMS تا پايان سال دوم برنامه پنجم توسعه هستند، افزود:«در حال حاضر ۳۵۰۰ تا ۴۰۰۰ دستگاه دولتي در صف پيادهسازي نظام مديريت امنيت اطلاعات قرار دارند و در فاز بعدي نوبت به شركتهاي خصوصي ميرسد.»
حكيمجوادي با تاكيد بر اينكه در فاز نخست اجباري براي خصوصيها وجود ندارد، گفت:«با اين حال بسياري از شركتهاي خصوصي در اين راه پيشقدم هستند و گوي سبقت را از دولتيها ربودهاند اما فعلا اجباري براي خصوصيها وجود ندارد.»
اين در شرايطي است كه پس از راهاندازي نظام ISMS در دستگاههاي دولتي، مسلما آنها ترجيح ميدهند با خصوصيهايي همكاري كنند كه نتيجه تعاملاتشان باعث به خطر افتادن اطلاعات محرمانه دولتي نميشود، بنابراين عليرغم اينكه اجباري براي خصوصيها وجود ندارد شرايط آنها را مجبور به اقدام براي دريافت گواهينامه فوق ميكند.
ردپاي ISMS در سند افتا
نخستين بار در سند افتا بر لزوم پياده سازي نظام مديريت امنيت اطلاعات در دستگاههاي اجرايي كشور اشاره شد و بر اساس آن دستگاهها مكلف به پيادهسازي ISMS شدند.
منتها در اين سند هيچ اشارهاي به مهلت زمان اجراي اين نظام نشده بود تا اينكه در قانون برنامه پنجم توسعه زمانبندي مشخصي براي اخذ گواهي ISMS به دستگاهها ابلاغ شد و طي آن در طول ۲ سال نخست برنامه پنجم توسعه، دستگاههاي حیاتی، حساس و مالی کشور ملزم به اخذ گواهینامه مديريت امنيت اطلاعات شدند. سایر دستگاهها نیز تا پایان برنامه پنج ساله پنجم، باید حداقل یک بار، گواهی اخذ کنند و طول عمر گواهیها نیز ۲ سال تعیین شد.
در اين راستا سازمان فناوری اطلاعات ۴ اپراتور را برای اعطای «گواهی اعطای پروانه» انتخاب کرده و این شرکتها میتوانند در مسیر کسب ISMS به سازمانها مشاوره دهند كه قرار است بر تعداد اين اپراتورها افزوده شود. پيش از اين شركتهاي ايراني براي پياده سازي نظام مديريت امنيت اطلاعات بايد به شركتهاي خارجي مراجعه ميكردند.
نظام مديريت امنيت اطلاعات فرصتها و تهديدها
استاندارد ISO27001 مدلي براي برپايي نظام مديريت امنيت اطلاعات فراهم ميكند. اين استاندارد تامين كننده يك سري از ابزارهاي سازگار با يكديگر براي سنجش مديريت امنيت اطلاعات در هر سازمان با هر نوع كار يا حجم سازمان است. اين گواهينامه ميتواند براي يك سازمان يا بخشي از آن دريافت و سپس در سازمان گسترش و بخشهاي ديگر را در برگيرد.
با راهاندازي نظام جامع امنيت اطلاعات در سازمانها و نهادها اطلاعات سيستمها در اختيار افراد مجاز قرار ميگيرد و در اين صورت ديگر امكان نفوذ به اطلاعات و سواستفاده از آنها در سازمانها به حداقل مقدار ممكن ميرسد.
اين در حالي است كه هماكنون طبق آمار كارشناسان نزديك به ۸۰ درصد اطلاعات رقومي و باارزش سازمانها روي هارد ديسكها و فلشهاي شخصي كارمندان قرار دارد.
