روش اخذ گواهی مدیریت امنیت اطلاعات

عضو هيئت مديره سازمان فناوري اطلاعات با بين اينكه این سازمان، مرجع رسميت‌دهي به گواهي است؛ نه مرجع صدور گواهينامه، سازوكار اخذ گواهي مديريت امنيت اطلاعات براي سازمان‌هاي دولتي و خصوصي را تشريح كرد.

به گزارش خبرگزاری فارس، براساس مصوبه هيئت دولت، تمامي دستگاه‌هاي دولتي موظف به پياده‌سازي نظام مديريت امنيت اطلاعات
(ISMS) در سازمان هستند و سازمان فناوري اطلاعات ايران نيز به عنوان بازوي حاكميتي دولت در توسعه و مديريت ICT در كشور، موظف به ايجاد ساختاري براي اعتباردهي به ارائه‌كنندگان گواهي ISMS در كشور شده است.

سازمان فناوري اطلاعات به طور مستقيم گواهينامه‌اي صادر نمي‌كند و هيچ‌گونه ارزيابي براي سازمان‌ها انجام نمي‌دهد. شركت‌ها و سازمان‌ها براي اخذ گواهينامه ISMS ابتدا بايد حيطه كار خود را مشخص كنند. سپس شركـ‌ت‌هاي مشاور، ارزيابي‌هاي امنيتي را براي سازمان انجام مي‌دهند و اشكالات امنيتي سازمان را به آنها مي‌گويند. سازمان بايد اشكالات امنيتي خود را رفع كند. پس از رفع اشكالات، مجدد بازرسي‌‌ها انجام مي‌شود. در نهايت پس از بررسي و بازرسي‌ها، براي سازمان گواهينامه صادر مي‌شود.

گواهي‌نامه ISMS مي‌تواند در مواردي از بخش‌هاي 11 گانه مديريت امنيت اطلاعات صادر شود. مرحله ارزيابي حدود 4 ماه طول مي‌كشد و گواهينامه مي‌تواند ظرف 6 ماه صادر شود. اگر اين سازمان بخواهد براي تمامي حوزه‌هاي فعاليت سازمان و در تمامي بخش‌هاي 11 گانه مديريت امنيت اطلاعات گواهينامه داشته باشد، ‌بیشتر از 5 سال زمان می‎برد. هر چه حوزه و موضوع اخذ گواهينامه كوچك‌تر باشد، ارزيابي، رفع اشكال و بازرسي آسان‌تر و سريع‌تر خواهد بود. حتي چنانچه دو سازمان مختلف در تمام موضوعات گواهينامه ISMS اخذ كرده باشند، باز هم قابل مقايسه با يكديگر نيستند؛ زيرا سه بعد جغرافيايي، موضوعي و حجم حوزه كاري تعيين كننده ميزان كار و زمان لازم خواهد بود.