عضو هيئت مديره سازمان فناوري اطلاعات با بين اينكه این سازمان، مرجع رسميتدهي به گواهي است؛ نه مرجع صدور گواهينامه، سازوكار اخذ گواهي مديريت امنيت اطلاعات براي سازمانهاي دولتي و خصوصي را تشريح كرد.
به گزارش خبرگزاری فارس، براساس مصوبه هيئت دولت، تمامي دستگاههاي دولتي موظف به پيادهسازي نظام مديريت امنيت اطلاعات
(ISMS) در سازمان هستند و سازمان فناوري اطلاعات ايران نيز به عنوان بازوي حاكميتي دولت در توسعه و مديريت ICT در كشور، موظف به ايجاد ساختاري براي اعتباردهي به ارائهكنندگان گواهي ISMS در كشور شده است.
سازمان فناوري اطلاعات به طور مستقيم گواهينامهاي صادر نميكند و هيچگونه ارزيابي براي سازمانها انجام نميدهد. شركتها و سازمانها براي اخذ گواهينامه ISMS ابتدا بايد حيطه كار خود را مشخص كنند. سپس شركـتهاي مشاور، ارزيابيهاي امنيتي را براي سازمان انجام ميدهند و اشكالات امنيتي سازمان را به آنها ميگويند. سازمان بايد اشكالات امنيتي خود را رفع كند. پس از رفع اشكالات، مجدد بازرسيها انجام ميشود. در نهايت پس از بررسي و بازرسيها، براي سازمان گواهينامه صادر ميشود.
گواهينامه ISMS ميتواند در مواردي از بخشهاي 11 گانه مديريت امنيت اطلاعات صادر شود. مرحله ارزيابي حدود 4 ماه طول ميكشد و گواهينامه ميتواند ظرف 6 ماه صادر شود. اگر اين سازمان بخواهد براي تمامي حوزههاي فعاليت سازمان و در تمامي بخشهاي 11 گانه مديريت امنيت اطلاعات گواهينامه داشته باشد، بیشتر از 5 سال زمان میبرد. هر چه حوزه و موضوع اخذ گواهينامه كوچكتر باشد، ارزيابي، رفع اشكال و بازرسي آسانتر و سريعتر خواهد بود. حتي چنانچه دو سازمان مختلف در تمام موضوعات گواهينامه ISMS اخذ كرده باشند، باز هم قابل مقايسه با يكديگر نيستند؛ زيرا سه بعد جغرافيايي، موضوعي و حجم حوزه كاري تعيين كننده ميزان كار و زمان لازم خواهد بود.