بررسی بهبود وضعیت امنیت اطلاعات در سازمان‌ها

بیتا کیامهر، مدیرکل اداره نظام مدیریت امنیت اطلاعات، با اشاره به ارکان بهبود وضعیت امنیت اطلاعات در سازمان‌ها گفت: استمرار ممیزی‌های مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، فرهنگ‌سازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمان‌ها ایفا می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیتا کیامهر با رویکردی آماری با بیان اینکه شرکت‌های فعال دارای گواهی خدمات افتا در ۲۷ استان کشور به فعالیت می‌پردازند، اظهار کرد: بررسی آخرین وضعیت موجود نشان می‌دهد، در حال حاضر شرکت‌های مستقر در ۲۷ استان، در حوزه خدمات امنیت فضای تولید و تبادل اطلاعات حضور فعال دارند و موفق به دریافت پروانه فعالیت در حوزه‌های مختلف خدمات مدیریتی، عملیاتی، فنی و آموزشی شده‌اند. در این میان، ۱۲ استان نیز در سال ۱۴۰۰ در مقایسه با سال گذشته، رشد قابل ملاحظه‌ای را در خصوص اخذ پروانه خدمات امنیت فضای تولید و تبادل اطلاعات تجربه کرده‌اند.

وی ادامه داد: مجموع آمار پروانه‌های دریافت‌شده در هشت استان کشور، نیز در حال حاضر، دو رقمی شده است و به‌طور تقریبی نیمی از استان‌های فعال، پررنگ‌تر از سال گذشته به ارائه خدمات در این حوزه می‌پردازند. در همین راستا نیمی از پروانه‌های صادرشده تا پایان مهر ۱۴۰۰، متعلق به شرکت‌های مستقر در ۲۶ استان و نیمی دیگر متعلق به استان تهران است، درحالی که قبل از فراهم شدن امکان دسترسی الکترونیکی جهت دریافت پروانه‌های مربوطه، آمار مشارکت استان‌ها برای اخذ پروانه کمتر از ۲۰ درصد ارزیابی شده است.

مدیر کل اداره نظام مدیریت امنیت اطلاعات با اشاره به رشد تعداد شرکت‌های دارای پروانه در حوزه خدمات افتا، نسبت به افزایش سرعت استقرار و دریافت گواهی انطباق اظهار امیدواری کرد و افزود: سیستم مدیریت امنیت اطلاعات (ISMS) در شرکت‌های دارای گواهی انطباق، ضمن انجام اقدامات مراقبتی و توسعه‌ای وارد مراحل بلوغ و فرهنگ‌سازی می‌شود و حفظ نتایج حاصله را به دنبال دارد.

کیامهر افزود: هدف از طراحی و استقرار سیستم مدیریت امنیت اطلاعات مطابق استاندارد ایزو ۲۷۰۰۱ (امنیت اطلاعات) با رعایت چرخه PDCA دمینگ، ارتقای سطح امنیت اطلاعات سازمان و شرکت‌هاست و تحقق آن نیازمند ارتقای سطح کیفی مدیریت امنیت اطلاعات درون سازمانی در هر چرخه به‌صورت مستمر است. بنابراین شرکت‌هایی که اقدام به دریافت گواهی انطباق می‌کنند، قادرند در چرخه بعدی خود سطح مدیریت امنیت اطلاعات سازمانی را ارتقا بخشند.

وی با بیان اینکه تکرار چرخه اول و بسنده کردن به کنترل‌ها و الزامات مقدماتی استاندارد، باعث می‌شود بسیاری از نقاط ضعف‌ و آسیب‌پذیری باقی بماند، گفت: پایش وضعیت امنیت اطلاعات، محدود به یک دوره زمانی دارای آغاز و پایان نیست، بلکه لازم است به‌عنوان بخشی تفکیک‌ناپذیر در تمام فعالیت‌ها، به‌صورت مستمر و همیشگی، ضمن درنظر گرفتن تغییرات محیط داخل و خارج سازمان و نیز تنوع ظرفیت خدمات و زیرساخت‌ها مورد توجه قرار بگیرد تا به‌صورت چابک و انعطاف‌پذیر با تغییر پارادایم و شرایط، همواره سطح قابل قبولی از امنیت اطلاعات را برای سازمان فراهم آورد. چه بسا در غیر این صورت، سیستم مدیریت امنیت اطلاعات بدون کاربرد و ناکارآمد تلقی می‌شود.

مدیرکل نما همچنین به دارندگان و درخواست‌کنندگان گواهی انطباق توصیه کرد در چرخه‌های بعدی طراحی و استقرار سیستم مدیریت امنیت اطلاعات تلاش کنند تا علل بروز عدم انطباق‌های چرخه قبلی را شناسایی و نسبت به تحلیل و رفع ریشه‌ای آنها در صورت امکان اقدام کنند و جهت تداوم اهداف تعیین شده در حوزه ISMS به‌صورت دوره‌ای، نسبت به انجام ممیزی‌های مراقبتی اقدام کنند.

کیامهر در خصوص تشریح ارکان بهبود وضعیت امنیت اطلاعات تصریح کرد: استمرار ممیزی‌های مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، انجام بازنگری‌های موثر ISMS، رفع ریشه‌ای عدم انطباق‌ها، فرهنگ‌سازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمان‌ها ایفا می‌کنند. مدل یادشده با توجه به تنوع کسب‌وکار و فرایندهای داخلی دارای گوناگونی مختلفی است و سفارشی‌سازی آن تحت نظارت کمیته امنیت اطلاعات سازمان می‌تواند اصلاح روند حرکت سازمان در چارچوب‌های استاندارد امنیت اطلاعات را به همراه داشته باشد.

بر اساس گزارش سازمان فناوری اطلاعات، ایجاد درگاه الکترونیکی جهت اخذ مستندات و الزامات مورد نیاز برای متقاضیان دریافت پروانه در حوزه خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات (افتا)، توانسته است گام موثری در زمینه شناسایی و به‌کارگیری بهینه ظرفیت‌های ملی و سامان دهی شرکت‌های توانمند در ارائه خدمات متنوع امنیت فضای تولید و تبادل اطلاعات در سراسر کشور بردارد.