اسفندياري، مديرعامل سازمان فاوا شهرداري قزوين:
سيستم مديريت امنيت اطلاعات در شهرداري قزوين آغاز به کار کرد
پروژه سيستم امنيت اطلاعات (ISMS) توسط سازمان آمار و فناوري اطلاعات شهرداري قزوين آغاز به کار کرد.
محسن اسفندياري، مدير عامل سازمان آمار و فناوري اطلاعات شهرداري قزوين گفت: پروژه سيستم امنيت اطلاعات (ISMS) توسط سازمان آمار و فناوري اطلاعات شهرداري قزوين آغاز به کار کرد.
به گزارش روابط عمومي سازمان آمار و فناوري اطلاعات شهرداري قزوين؛ اسفندياري افزود: رشد و گسترش روزافزون فناوري اطلاعات، انقلابي را در ابعاد مختلف زندگي انسانها و عملکرد سازمانها ايجاد کرده است.
وي بيان کرد: اين فناوري روشهاي کارکرد و نگرش افراد، سازمانها و دولتها را دگرگون ساخته و باعث ايجاد تحول در انجام امور، به ويژه ارائه خدمات مختلف به مشتريان شده است.
اين مسوول اظهار کرد: امروزه ارائه سرويس و داشتن توانايي پاسخگويي به انتظارها، يکي از نيازمنديهاي کسب و کار مطمئن است و به همين دليل در سازمانها، داشتن شبکهاي قوي، مؤثر و امن بسيار مهم است.
وي ادامه داد: کسب آمادگي کافي براي مقابله يا اتخاذ تصميمات مناسب در مقابل حوادث فيزيکي، جرائم سايبري، اختلالات ناشي از تغييرات و غيره در هر دو لايه زيرساخت و کاربرد فناوري اطلاعات، رهيافتي اجتنابناپذير براي تضمين پايايي کسب و کار است و بر اين اساس امنسازي شبکه و سيستمهاي اطلاعاتي به يکي از مسائل مهم پيش رو و دغدغههاي عمده مديران فناوري اطلاعات سازمانها تبديل شده است.
اسفندياري بيان کرد: مهمترين اقدام در راستاي امنسازي يک سازمان، ايجاد يک چارچوب قدرتمند براي مديريت اقدامات امنيتي است و بايد اذعان داشت که فرآيند امنسازي سازمان بدون لحاظ کردن مسائل مديريت امنيت و بسط و گسترش آن در سطح همة بخشهاي حساس و استراتژيک سازمان ميسر نيست.
وي افزود: سيستم مديريت امنيت اطلاعات با انتخاب کنترلهاي امنيتي کافي و متناسب، محافظت از داراييهاي اطلاعاتي را تضمين ميکند و به اين ترتيب به طرفين ذينفع اطمينان خاطر داده ميشود و به اين ترتيب راهحلهاي امنيتي استاندارد به تمامي سختافزارها، نرمافزارها، ارتباطات و بسترهاي آنها اعمال ميشود تا سازمان را در جهت نيل به موفقيت در ساية داشتن محيطي امن ياري کند.
وي گفت: منظور از طراحي و پيادهسازي سيستم مديريت امنيت اطلاعات ايجاد بستري براي ايجاد هماهنگي بين همه پرسنل حوزه پروژه به منظور حرکت براي امنيت اطلاعات در سازمان است و اين امر محقق نميشود مگر با مشارکت و همراهي همه کارشناسان و پشتيباني مديران ارشد سازمان و لذا تمامي مراحل طراحي و پيادهسازي هر پروژه توسط مشاوران سيستم و با مشارکت و همراهي کارشناسان و مديران سازمان امکانپذير خواهد بود و در حقيقت ضمانت اثر بخش بودن سيستم وابسته به اين مشارکت ميباشد. چرا که طبعاً سيستم مديريت امنيت اطلاعات يک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رويکرد بهبود مستمر تداوم خواهد يافت.
وي گفت: همه مراحل استقرار سيستم مديريت امنيت اطلاعات مبتني بر استاندارد ISO/IEC 27001:2005 بوده و بدين جهت منطبق با چرخه دمينگ (PDCA) است و چرخه دمينگ پيشبرد يک فرايند را در چهار فاز طراحي (Plan)، اجرا (Do)، بررسي (Check) و اقدام (Act) تبيين ميکند که با توجه به تعريف اين چرخه به طور مداوم در حرکت بوده و بارها و بارها اين فازها تکرار ميشوند و موجب بهبود مستمر سيستم خواهد شد.
اين مسوول اظهار کرد: با اين رويکرد ميتوان روند استقرار سيستم مديريت امنيت اطلاعات را در چهار مرحله شناخت الزامات امنيت اطلاعات و نياز به سياستگذاري و هدفگذاري براي امنيت اطلاعات، پيادهسازي و بهرهبرداري از موارد کنترلي به منظور مديريت مخاطرههاي امنيت اطلاعات يک سازمان در چارچوب مجموعه مخاطرههاي کسبوکار سازمان، پايش و بازنگري اجرا و اثربخشي سيستم مديريت امنيت اطلاعات و بهبود مستمر بر اساس اندازهگيري هدف عنوان کرد.
وي ادامه داد: خطرهاي تهديد کنندهي امنيت اطلاعات به دو دسته عمدي و غير عمدي تقسيم مي شوند، خطرهاي عمدي خطرهايي هستند که امنيت اطلاعات سيستم را با برنامه ي قبلي و هدفي خاص مورد حمله قرار مي دهند مثل خطر هکرها و خطرهاي غيرعمدي خطرهايي هستند که بر اثر اشتباهات انسان و نيروي کار به سيستم وارد مي شود که اين نوع خطر بيشترين ميزان خسارات را به سيستم اطلاعاتي وارد مي کنند همچنين خطرهاي ناشي از عوامل طبيعي مثل سيل ،زلزله،طوفان و... جزء تهديدات غير عمدي به حساب مي آيد .
وي اضافه کرد: براي اينکه در سيستم ها بتوانيم خطرهاي موجود را رفع کنيم قبل از هر چيز بايد به فکر ايجاد امنيت شبکه هاي اطلاعاتي خود باشيم اين ايجاد امنيت ابتدا بايد شامل اتخاذ سياست هاي امنيتي باشد.
اين مسوول بيان کرد: تعيين سياست امنيتي، اعمال سياست هاي مناسب، بررسي بلادرنگ وضعيت امنيت اطلاعاتي بعد از اعمال سياست امنيتي، بازرسي و تست امنيت شبکه ي اطلاعاتي، بهبود روش هاي امنيت اطلاعاتي سازمان و سيستم مديريت امنيت اطلاعات در ايران مواردي است که يک سازمان براي پياده سازي يک سيستم امنيتي اعمال مي کند.
اسفندياري بيان کرد: متأسفانه تاکنون توجه چنداني به ISMS در ايران نشده است و هيچ سازمان و ارگاني از ايران موفق به کسب گواهينامه ي لازم براي استاندارد امنيت اطلاعات نگرديده است حال اينکه کشور ما به لحاظ موقعيت خاص خود هميشه مورد هجوم و دستبردهاي اطلاعاتي از طرق مختلف بوده که بعضا ضرباتي جبران ناپذير را نيز متحمل گرديده. با توجه به اين مسأله به نظر مي آيد لزوم استاندارد سازي در مبحث امنيت اطلاعات در کشور ما يک نياز اساسي جهت حفظ محرمانگي و امنيت اطلاعات است.
وي گفت: شايد استفاده از سيستم امنيت اطلاعات به نظر سخت آيد اما به کارگيري آن لازم و ضروري است و هزينه هايي نيز دارد که در نگاه اول ممکن است اين هزينه ها زياد به نظر آيد اما هزينه هايي هستند که فوايد بيشتري دارند.
وي افزود: استقرار اين نظام باعث ايجاد حساسيت و کنترل بهتر جهت حفظ محرمانگي اسرار يک سيستم است و در آن نقش آموزش و برنامه ريزي کلان براي نيروهاي انساني و جلوگيري از حوادث اطلاعاتي نقشي بسيار موثر است که به جز با حمايت مديران يک مجموعه امکان پذير نمي باشد.
اين مسوول گفت: براي اينکه بتوانيم حمايت مديران را جهت برقراري امنيت اطلاعات جلب کنيم بهتر است سيستمي مناسب را ارايه کنيم تا حمايت آنان را براي تقويت امنيت اطلاعات به دست آوريم و در اين راستا ( ISMS ) يک سيستم مناسب و استاندارد براي اين امر مي باشد .
پايان پيام
