شروط بهبود وضعیت امنیت اطلاعاتی در سازمانها
بیتا کیامهر با بیان آمارهایی از وضعیت توجه سازمانهای کشور به موضوع امنیت اطلاعات اظهار کرد: بررسی آخرین وضعیت موجود نشان میدهد که در حالحاضر شرکتهای مستقر در ۲۷ استان، در حوزه خدمات امنیت فضای تولید و تبادل اطلاعات حضور فعال دارند و موفق به دریافت پروانه فعالیت در حوزههای مختلف خدمات مدیریتی، عملیاتی، فنی و آموزشی شدهاند. در این میان، ۱۲ استان نیز در سال۱۴۰۰ در مقایسه با سال گذشته، رشد قابلملاحظهای را درباره اخذ پروانه خدمات امنیت فضای تولید و تبادل اطلاعات تجربه کردهاند.
وی ادامه داد: مجموع آمار پروانههای دریافتشده در هشت استان کشور نیز در حالحاضر، دو رقمی شده است و بهطور تقریبی نیمی از استانهای فعال، پررنگتر از سال گذشته به ارائه خدمات در این حوزه میپردازند. در همین راستا نیمی از پروانههای صادرشده تا پایان مهر ۱۴۰۰، متعلق به شرکتهای مستقر در ۲۶ استان و نیمی دیگر متعلق به استان تهران است، درحالی که قبل از فراهمشدن امکان دسترسی الکترونیکی جهت دریافت پروانههای مربوطه، آمار مشارکت استانها برای اخذ پروانه کمتر از ۲۰درصد ارزیابی شده است.
مدیر کل اداره نظام مدیریت امنیت اطلاعات با اشاره به رشد تعداد شرکتهای دارای پروانه در حوزه خدمات افتا، نسبت به افزایش سرعت استقرار و دریافت گواهی انطباق اظهار امیدواری کرد و افزود: سیستم مدیریت امنیت اطلاعات (ISMS) در شرکتهای دارای گواهی انطباق، ضمن انجام اقدامات مراقبتی و توسعهای وارد مراحل بلوغ و فرهنگسازی میشود و حفظ نتایج حاصله را بهدنبال دارد.
کیامهر افزود: هدف از طراحی و استقرار سیستم مدیریت امنیت اطلاعات مطابق استاندارد ایزو۲۷۰۰۱ (امنیتاطلاعات) با رعایت چرخه PDCA دمینگ، ارتقای سطح امنیت اطلاعات سازمان و شرکتهاست و تحقق آن نیازمند ارتقای سطح کیفی مدیریت امنیت اطلاعات درون سازمانی در هر چرخه بهصورت مستمر است، بنابراین شرکتهایی که اقدام به دریافت گواهی انطباق میکنند، قادرند در چرخه بعدی خود سطح مدیریت امنیت اطلاعات سازمانی را ارتقا بخشند.
وی با بیان اینکه تکرار چرخه اول و بسندهکردن به کنترلها و الزامات مقدماتی استاندارد، باعث میشود بسیاری از نقاط ضعف و آسیبپذیری باقی بماند، گفت: پایش وضعیت امنیت اطلاعات، محدود به یک دوره زمانی دارای آغاز و پایان نیست، بلکه لازم است بهعنوان بخشی تفکیکناپذیر در تمام فعالیتها، بهصورت مستمر و همیشگی، ضمن درنظر گرفتن تغییرات محیط داخل و خارج سازمان و نیز تنوع ظرفیت خدمات و زیرساختها موردتوجه قرار بگیرد تا بهصورت چابک و انعطافپذیر با تغییر پارادایم و شرایط، همواره سطح قابلقبولی از امنیت اطلاعات را برای سازمان فراهم آورد. چهبسا در غیر اینصورت، سیستم مدیریت امنیت اطلاعات بدون کاربرد و ناکارآمد تلقی میشود.
مدیرکل «نما» همچنین به دارندگان و درخواستکنندگان گواهی انطباق توصیه کرد در چرخههای بعدی طراحی و استقرار سیستم مدیریت امنیت اطلاعات تلاش کنند تا علل بروز عدمانطباقهای چرخه قبلی را شناسایی و نسبت به تحلیل و رفع ریشهای آنها در صورت امکان اقدام کنند و جهت تداوم اهداف تعیینشده در حوزه ISMS بهصورت دورهای، نسبت به انجام ممیزیهای مراقبتی اقدام کنند.
کیامهر درباره تشریح ارکان بهبود وضعیت امنیت اطلاعات تصریح کرد: استمرار ممیزیهای مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، انجام بازنگریهای موثر ISMS، رفع ریشهای عدمانطباقها، فرهنگسازی امنیت اطلاعات درونسازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمانها ایفا میکنند. مدل یادشده با توجه به تنوع کسبوکار و فرآیندهای داخلی دارای گوناگونی مختلفی است و سفارشیسازی آن تحتنظارت کمیته امنیت اطلاعات سازمان میتواند اصلاح روند حرکت سازمان در چارچوبهای استاندارد امنیت اطلاعات را بههمراه داشته باشد.
بر اساس گزارش سازمان فناوری اطلاعات، ایجاد درگاه الکترونیکی جهت اخذ مستندات و الزامات موردنیاز برای متقاضیان دریافت پروانه در حوزه خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات (افتا)، توانسته است گام موثری در زمینه شناسایی و بهکارگیری بهینه ظرفیتهای ملی و ساماندهی شرکتهای توانمند در ارائه خدمات متنوع امنیت فضای تولید و تبادل اطلاعات در سراسر کشور بردارد. متقاضیان جهت کسب اطلاعات بیشتر میتوانند به سامانه جامع خدمات و محصولات افتا مراجعه کنند.
