شرایط بهبود شرایط امنیت اطلاعات در سازمان ها - ذهن خاکستری

بیتا کیامهر با رویکردی آماری با بیان اینکه شرکت های فعال دارای گواهی خدمات افتا در 27 استان کشور به فعالیت می پردازند، اظهار کرد: بررسی آخرین شرایط موجود نشان می دهد، در حال حاضر شرکت های مستقر در 27 استان، در حوزه خدمات امنیت فضای تولید و تبادل اطلاعات حضور فعال دارند و پیروز به دریافت پروانه فعالیت در حوزه های مختلف خدمات مدیریتی، عملیاتی، فنی و آموزشی شده اند.

در این میان، 12 استان نیز در سال 1400 در مقایسه با سال گذشته، رشد قابل ملاحظه ای را در خصوص اخذ پروانه خدمات امنیت فضای تولید و تبادل اطلاعات تجربه کرده اند.

وی ادامه داد: مجموع آمار پروانه های دریافت شده در هشت استان کشور، نیز در حال حاضر، دو رقمی شده است و به طور تقریبی نیمی از استان های فعال، پررنگ ­تر از سال گذشته به ارائه خدمات در این حوزه می پردازند. به همین علت نیمی از پروانه ­های صادرشده تا سرانجام مهر 1400، متعلق به شرکت ­های مستقر در 26 استان­ و نیمی دیگر متعلق به استان تهران است، درحالی که قبل از فراهم شدن امکان دسترسی الکترونیکی جهت دریافت پروانه ­های مربوطه، آمار مشارکت استان ­ها برای اخذ پروانه کمتر از 20 درصد ارزیابی شده است.

مدیر کل اداره نظام مدیریت امنیت اطلاعات با اشاره به رشد تعداد شرکت ­های دارای پروانه در حوزه خدمات افتا، نسبت به افزایش سرعت استقرار و دریافت گواهی انطباق اظهار امیدواری کرد و افزود: سیستم مدیریت امنیت اطلاعات (ISMS) در شرکت های دارای گواهی انطباق، ضمن انجام اقدامات مراقبتی و توسعه ای وارد مراحل بلوغ و فرهنگ سازی می شود و حفظ نتایج حاصله را در پی دارد.

کیامهر افزود: هدف از طراحی و استقرار سیستم مدیریت امنیت اطلاعات مطابق استاندارد ایزو 27001 (امنیت اطلاعات) با رعایت چرخه PDCA دمینگ، ارتقای سطح امنیت اطلاعات سازمان و شرکت هاست و تحقق آن نیازمند ارتقای سطح کیفی مدیریت امنیت اطلاعات درون سازمانی در هر چرخه به صورت مستمر است. بنابراین شرکت هایی که اقدام به دریافت گواهی انطباق می کنند، قادرند در چرخه بعدی خود سطح مدیریت امنیت اطلاعات سازمانی را ارتقاء بخشند.

وی با بیان اینکه تکرار چرخه اول و بسنده کردن به کنترل ها و الزامات مقدماتی استاندارد، باعث می شود بسیاری از نقاط ضعف و آسیب پذیری باقی بماند، گفت: پایش شرایط امنیت اطلاعات، محدود به یک دوره زمانی دارای آغاز و سرانجام نیست، بلکه لازم است به عنوان بخشی تفکیک ناپذیر در تمام فعالیت ها، به صورت مستمر و همیشگی، ضمن درنظر گرفتن تغییرات محیط داخل و خارج سازمان و نیز تنوع ظرفیت خدمات و زیرساخت ها مورد توجه قرار بگیرد تا به صورت چابک و انعطاف پذیر با تغییر پارادایم و شرایط، همواره سطح قابل قبولی از امنیت اطلاعات را برای سازمان فراهم آورد. چه بسا در غیر این صورت، سیستم مدیریت امنیت اطلاعات بدون کاربرد و ناکارآمد تلقی می شود.

مدیرکل نما هم چنین به دارندگان و درخواست کنندگان گواهی انطباق توصیه کرد در چرخه های بعدی طراحی و استقرار سیستم مدیریت امنیت اطلاعات تلاش کنند تا علل بروز عدم انطباق های چرخه قبلی را شناسایی و نسبت به تحلیل و رفع ریشه ای آنها در صورت امکان اقدام کنند و جهت تداوم اهداف معین شده در حوزه ISMS به صورت دوره ای، نسبت به انجام ممیزی های مراقبتی اقدام کنند.

کیامهر در خصوص تشریح ارکان بهبود شرایط امنیت اطلاعات شرح داد: استمرار ممیزی های مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، انجام بازنگری های موثر ISMS، رفع ریشه ای عدم انطباق ها، فرهنگ سازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود شرایط امنیت اطلاعات سازمان ها ایفا می کنند.

مدل یادشده با توجه به تنوع کسب وکار و فرایندهای داخلی دارای گوناگونی مختلفی است و سفارشی سازی آن تحت نظارت کمیته امنیت اطلاعات سازمان می تواند اصلاح فرایند حرکت سازمان در چارچوب های استاندارد امنیت اطلاعات را به همراه داشته باشد.

بر اساس گزارش سازمان فناوری اطلاعات، ایجاد درگاه الکترونیکی جهت اخذ مستندات و الزامات مورد نیاز برای متقاضیان دریافت پروانه در حوزه خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات (افتا)، توانسته است گام موثری در زمینه شناسایی و به کارگیری بهینه ظرفیت های ملی و ساماندهی شرکت های توانمند در ارائه خدمات متنوع امنیت فضای تولید و تبادل اطلاعات در سراسر کشور بردارد.

متقاضیان جهت کسب اطلاعات بیشتر می توانند به سامانه جامع خدمات و محصولات افتا مراجعه کنند.، ایسنا