بیتا کیامهر، مدیرکل اداره نظام مدیریت امنیت اطلاعات، با اشاره به ارکان بهبود وضعیت امنیت اطلاعات در سازمانها گفت: استمرار ممیزیهای مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، فرهنگسازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمانها ایفا میکنند.
بیتا کیامهر، مدیرکل اداره نظام مدیریت امنیت اطلاعات، با اشاره به ارکان بهبود وضعیت امنیت اطلاعات در سازمانها گفت: استمرار ممیزیهای مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، فرهنگسازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمانها ایفا میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بیتا کیامهر با رویکردی آماری با بیان اینکه شرکتهای فعال دارای گواهی خدمات افتا در ۲۷ استان کشور به فعالیت میپردازند، اظهار کرد: بررسی آخرین وضعیت موجود نشان میدهد، در حال حاضر شرکتهای مستقر در ۲۷ استان، در حوزه خدمات امنیت فضای تولید و تبادل اطلاعات حضور فعال دارند و موفق به دریافت پروانه فعالیت در حوزههای مختلف خدمات مدیریتی، عملیاتی، فنی و آموزشی شدهاند. در این میان، ۱۲ استان نیز در سال ۱۴۰۰ در مقایسه با سال گذشته، رشد قابل ملاحظهای را در خصوص اخذ پروانه خدمات امنیت فضای تولید و تبادل اطلاعات تجربه کردهاند.
وی ادامه داد: مجموع آمار پروانههای دریافتشده در هشت استان کشور، نیز در حال حاضر، دو رقمی شده است و بهطور تقریبی نیمی از استانهای فعال، پررنگتر از سال گذشته به ارائه خدمات در این حوزه میپردازند. در همین راستا نیمی از پروانههای صادرشده تا پایان مهر ۱۴۰۰، متعلق به شرکتهای مستقر در ۲۶ استان و نیمی دیگر متعلق به استان تهران است، درحالی که قبل از فراهم شدن امکان دسترسی الکترونیکی جهت دریافت پروانههای مربوطه، آمار مشارکت استانها برای اخذ پروانه کمتر از ۲۰ درصد ارزیابی شده است.
مدیر کل اداره نظام مدیریت امنیت اطلاعات با اشاره به رشد تعداد شرکتهای دارای پروانه در حوزه خدمات افتا، نسبت به افزایش سرعت استقرار و دریافت گواهی انطباق اظهار امیدواری کرد و افزود: سیستم مدیریت امنیت اطلاعات (ISMS) در شرکتهای دارای گواهی انطباق، ضمن انجام اقدامات مراقبتی و توسعهای وارد مراحل بلوغ و فرهنگسازی میشود و حفظ نتایج حاصله را به دنبال دارد.
کیامهر افزود: هدف از طراحی و استقرار سیستم مدیریت امنیت اطلاعات مطابق استاندارد ایزو ۲۷۰۰۱ (امنیت اطلاعات) با رعایت چرخه PDCA دمینگ، ارتقای سطح امنیت اطلاعات سازمان و شرکتهاست و تحقق آن نیازمند ارتقای سطح کیفی مدیریت امنیت اطلاعات درون سازمانی در هر چرخه بهصورت مستمر است. بنابراین شرکتهایی که اقدام به دریافت گواهی انطباق میکنند، قادرند در چرخه بعدی خود سطح مدیریت امنیت اطلاعات سازمانی را ارتقا بخشند.
وی با بیان اینکه تکرار چرخه اول و بسنده کردن به کنترلها و الزامات مقدماتی استاندارد، باعث میشود بسیاری از نقاط ضعف و آسیبپذیری باقی بماند، گفت: پایش وضعیت امنیت اطلاعات، محدود به یک دوره زمانی دارای آغاز و پایان نیست، بلکه لازم است بهعنوان بخشی تفکیکناپذیر در تمام فعالیتها، بهصورت مستمر و همیشگی، ضمن درنظر گرفتن تغییرات محیط داخل و خارج سازمان و نیز تنوع ظرفیت خدمات و زیرساختها مورد توجه قرار بگیرد تا بهصورت چابک و انعطافپذیر با تغییر پارادایم و شرایط، همواره سطح قابل قبولی از امنیت اطلاعات را برای سازمان فراهم آورد. چه بسا در غیر این صورت، سیستم مدیریت امنیت اطلاعات بدون کاربرد و ناکارآمد تلقی میشود.
مدیرکل نما همچنین به دارندگان و درخواستکنندگان گواهی انطباق توصیه کرد در چرخههای بعدی طراحی و استقرار سیستم مدیریت امنیت اطلاعات تلاش کنند تا علل بروز عدم انطباقهای چرخه قبلی را شناسایی و نسبت به تحلیل و رفع ریشهای آنها در صورت امکان اقدام کنند و جهت تداوم اهداف تعیین شده در حوزه ISMS بهصورت دورهای، نسبت به انجام ممیزیهای مراقبتی اقدام کنند.
کیامهر در خصوص تشریح ارکان بهبود وضعیت امنیت اطلاعات تصریح کرد: استمرار ممیزیهای مراقبتی داخلی، بهبود روش و متدولوژی مدیریت مخاطرات، انجام بازنگریهای موثر ISMS، رفع ریشهای عدم انطباقها، فرهنگسازی امنیت اطلاعات درون سازمان و طراحی مدل بلوغ سفارشی امنیت اطلاعات سازمانی، نقش موثری را در بهبود وضعیت امنیت اطلاعات سازمانها ایفا میکنند. مدل یادشده با توجه به تنوع کسبوکار و فرایندهای داخلی دارای گوناگونی مختلفی است و سفارشیسازی آن تحت نظارت کمیته امنیت اطلاعات سازمان میتواند اصلاح روند حرکت سازمان در چارچوبهای استاندارد امنیت اطلاعات را به همراه داشته باشد.
بر اساس گزارش سازمان فناوری اطلاعات، ایجاد درگاه الکترونیکی جهت اخذ مستندات و الزامات مورد نیاز برای متقاضیان دریافت پروانه در حوزه خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات (افتا)، توانسته است گام موثری در زمینه شناسایی و بهکارگیری بهینه ظرفیتهای ملی و سامان دهی شرکتهای توانمند در ارائه خدمات متنوع امنیت فضای تولید و تبادل اطلاعات در سراسر کشور بردارد.