پیاده‌سازی ISMS و ITILجهت بهبود سیستم‌های اطلاعاتی و خدمات فناوری اطلاعات در مرکز ملّی شماره‌گذاری کالا و خدمات ایران

فصلنامه شماره 46(پاییز 1401)- لیلا حسین‌زاده، میلاد بزمونه

چکیده

در طول سال‌های اخیر ماهیت سیستم‌های اطلاعاتی به طور عمده‌ای تغییریافته و تبدیل به بخش بزرگی از فرآیندهای کسب‌وکار شده است. اطلاعات، به یک دارایی استراتژیکی توسعه‌یافته و سیستم‌های اطلاعاتی به یک ابزار استراتژیکی برای سازمان‌ها و دولت‌ها تبدیل شده است. سیستم‌های اطلاعاتی نیز همواره در خطر سرقت یا تغییر اطلاعات و ایجاد وقفه در خدمات‌رسانی هستند.

1. مقدمه

بدیهی است که در این شرایط روش‌های حفاظت فیزیکی به‌تنهایی قادر به تأمین امنیت نخواهند بود؛ لذا سازمان‌ها ناچار به به‎‌کارگیری روش‌های جدید حفاظت اطلاعات و کنترل دسترسی‌ها به منابع سازمان شده‌اند. به‌منظور حل مسئله امنیت اطلاعات، سازمان‌ها نیازمند به‌کارگیری طیف گسترده‌ای از دانش، فناوری و قوانین سازمانی است. ازاین‌رو طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS[1]) راهکاری جامع برای هر سازمان است.

همچنین امروزه در سازمان‌ها علاوه بر برقراری مداوم امنیت فرایندهای کسب‌وکار و سیستم‌های اطلاعاتی همه چیز به‌عنوان یک خدمت در نظر گرفته می‌شود که می‌تواند در ارتباط مستقیم و غیرمستقیم با مشتری باشد. به‌کارگیری فناوری اطلاعات نیز به مدیریت خدمات در جهت کاهش هزینه‌های ارائه و بهبود کیفیت خدمات و در نتیجه به موفقیت سازمان در جلب رضایت مشتریان کمک می‌کند. از طرفی محیط رقابتی کسب‌وکار و وابستگی شدید به خدمات، باعث شده که سازمان‌ها بر پایه میزان توانایی در ارائه مستمر و دائمی و خدمات، مورد ارزیابی قرار گیرند.

هر سازمانی که باهدف پشتیبانی از فرایندهای کسب‌وکار، خدمات فناوری اطلاعات را به مشتریانش تحویل می‌دهد به ساختار مناسبی نیاز دارد. درگذشته، این ساختار بر مبنای کارکردها و توانایی‌های فنی بود. اما امروزه این رویکرد دیگر مناسب نیست.

کتابخانه زیرساخت فناوری اطلاعات (ITIL[2]) برای سازمان‌ها یک راه بسیار خوب برای مدیریت‌کردن، تحویل خدمات و اجرا کردن فعالیت‌های فناوری اطلاعات در فرایندها است. ازآنجایی‌که یکی از حوزه‌های مدیریت خدمات، بحث امنیت است و باتوجه‌به انتشار بخشنامه‌های منتشر شده از سوی شورای‌عالی امنیت فضای تبادل اطلاعات کشور در سال‌های گذشته و مصوبه‌ها و بخشنامه‌های مختلف که پیاده‌سازی یکی از دیدگاه‌های فرایندی، موسوم به سیستم مدیریت امنیت اطلاعات به کلیه سازمان‌های دولتی توصیه شده است، ضرورت پیاده‌سازی چنین سیستم‌هایی بیش‌ازپیش شده است.

درعین‌حال در چارچوب کتابخانه زیرساخت فناوری اطلاعات مباحثی چون تداوم خدمات فناوری اطلاعات و مدیریت حوادث که نقشی در پشتیبانی تداوم کسب‌وکار دارد مطرح شده است؛ بنابراین اهمیت مباحث مربوط به مدیریت خدمات فناوری اطلاعات و مدیریت امنیت سیستم‌های اطلاعاتی و تداوم خدمات کسب‌وکار بیش‌ازپیش نمایان می‌شود. تنها درصورتی‌که به این مفاهیم صحیح و منسجم پرداخته شود، در رشد و بقای سازمان تأثیر به سزایی می‌گذارد.

• سیستم مدیریت امنیت اطلاعات (ISMS)

  سیستم مدیریت امنیت اطلاعات (ISMS) استانداردهایی را برای ایمن‌سازی فضای تبادل اطلاعات و سیستم‌های اطلاعاتی در سازمان‌ها ارائه می‌دهد.

   باتوجه‌به هدف قراردادن شرکت‌های مجهز به شبکه‌های بزرگ‌تر به جهت ارزش بالای اطلاعات کسب‌وکار و پیچیده بودن حملات سایبری، مهاجمان تلاش می‌کنند تا به عمق شبکه و اطلاعات آن نفوذ و دسترسی پیدا کنند؛ بنابراین یک الزام امنیتی مهم این است که متخصصین و مدیران شبکه دارای یک دانش مشترک برای به اشتراک گذاشتن امنیت اطلاعات باشند تا به‌سرعت به یکدیگر کمک کنند و به تهدیدات جدید پاسخ دهند.

مرکز ملّی شماره‌گذاری کالا و خدمات ایران با استفاده از این استانداردها توانسته است فضای تبادل اطلاعات سازمان را با اجرای یک طرح مخصوص مرکز ایمن نماید. سیستم مدیریت امنیت اطلاعات مرکز ملّی شماره‌گذاری کالا و خدمات ایران، با به‌کارگیری یک فرایند مدیریت از مخاطرات (تهدیدات سایبری و غیر سایبری)، محرمانگی، صحت و دسترس‌پذیری اطلاعات محافظت می‌کند و به طرف‌های ذی‌نفع این اطمینان را می‌دهد که مخاطرات، به میزان کافی مدیریت می‌شوند. توجه داشته باشید که سیستم مدیریت امنیت اطلاعات با فرایندهای سازمان و ساختار مدیریتی کلان، یکپارچه بوده و بخشی از آن‌ها است و همچنین امنیت اطلاعات در طراحی، فرایندها، سیستم‌های اطلاعاتی و کنترل لحاظ می‌شود.

   مرکز ملّی شماره‌گذاری کالا و خدمات ایران از استانداردی برای ایجاد امنیت اطلاعات سازمانی استفاده می‌کند که شامل حوزه‌های خط و مشی، مدیریت دارایی، امنیت منابع انسانی، امنیت فیزیکی و محیطی، امنیت عملیات، امنیت ارتباطات، کنترل دسترسی، رمزنگاری، ارتباط با تأمین‌کنندگان، اکتساب، توسعه و نگهداری سیستم‌های اطلاعاتی، مدیریت حوادث امنیت اطلاعات، مدیریت تداوم کسب‌وکار و انطباق که جنبه‌های گوناگون مدیریتی، عملیاتی و فنی را پوشش می‌دهد.

   مرکز ملّی شماره‌گذاری کالا و خدمات ایران با استفاده از گام‌های حیاتی زیر برای پیاده‌سازی سیستم مدیریت امنیت اطلاعات استفاده کرده است:

• ایجاد مقدمات استقرار  ISMS
• شناخت زمینه سازمان
• تعیین محدوده و دامنه کاربرد ISMS
• انطباق سنجی
• تدوین بیانیه خط‌مشی امنیت اطلاعات
• سازماندهی امنیت اطلاعات در سازمان
• شناسایی فرصت‌ها و ریسک‌های پروژه ISMS
• شناسایی و مدیریت دارایی‌های اطلاعاتی
• تدوین متدولوژی مدیریت ریسک امنیت اطلاعات
• شناسایی ریسک‌های امنیت اطلاعات
• ارزیابی و تحلیل ریسک‌های امنیت اطلاعات
• مقابله با ریسک‌های امنیت اطلاعات
• تدوین بیانیه کاربردپذیری
• تعیین اهداف امنیت اطلاعات
• تدوین خط‌مشی‌ها، رویه‌ها و دستورالعمل‌های امنیت اطلاعات
• آموزش و آگاهی‌رسانی امنیت اطلاعات
• اجرا و عملیاتی‌سازی سیستم
• اندازه‌گیری عملکرد
• ممیزی داخلی
• انجام بازنگری مدیریتی
• اجرای اقدامات اصلاحی

• کتابخانه زیرساخت فناوری اطلاعات (ITIL)

کتابخانه زیرساخت فناوری اطلاعات (ITIL) رویکردی نظام‌مند برای عرضه خدمات فناوری اطلاعات ارائه می‌دهد. برخی از منافع آن عبارت‌اند از: زیرساخت قابل پیش‌بینی‌تر، وضوح نقش‌ها و مسئولیت‌ها، کاهش وقفه در سیستم خدمت بهبود هماهنگی میان تیم‌های کاری، خدمات بی‌نقص و مستقیم، فرآیندهای ثابت و مستند شده در سازمان، ثبت مدام وقایع، بهبود سودآوری و بهره‌وری، کاهش هزینه‌ها و بهبود رضایت مشتری که مدیران می‌توانند با استفاده از این چارچوب‌ها بهترین روش را برای تغییرات داخلی و مدیریت یا تمرکز نیازهای مشتریان و کارمندان اعمال کنند.

استفاده از تفکر کتابخانه زیرساخت فناوری اطلاعات در مرکز ملّی شماره‌گذاری کالا و خدمات ایران باعث شده است منابع فناوری اطلاعات به‌صورت بهینه و کارآمد و از نظر مالی به‌صورت معتبر استفاده شود. به‌طورکلی می‌توان بیان کرد که کتابخانه زیرساخت فناوری اطلاعات مجموعه‌ای از تجربه‌های موفق و بهترین افکار، الگوها و روش‌ها در زمینه مدیریت خدمات فناوری اطلاعات است که در سازمان مرکز ملّی شماره‌گذاری کالا و خدمات ایران گردش فرآیندهای کسب‌وکار را مشخص می‌کند. کتابخانه زیرساخت فناوری اطلاعات را می‌توان یک خط کش دانست که مفاهیم تجربه شده را مستند کرده و با زبان واحد بیان می‌کند. به‌عبارت‌دیگر کتابخانه زیرساخت فناوری اطلاعات، مجموعه‌ای از مفاهیم و قوانین برای مدیریت فناوری اطلاعات است. هدف اولیه آن رسیدن به یک سیستم مدیریت خدمات برای شرکت‌های فعال در زمینه فناوری اطلاعات و رضایت مشتری بود.  گام‌هایی که در مرکز ملّی شماره‌گذاری کالا و خدمات ایران برای استقرار ITIL صورت‌گرفته است به شرح زیر می‌باشد:

• تعریف پروژه ITIL و اقدامات اولیه
• تعریف ساختار خدمات فناوری اطلاعات
• انتخاب نقش‌ها و مسئولیت‌های موردنظر از ITIL و صاحبان آن نقش‌ها در سازمان
• تحلیل وضعیت جاری فرآیندها و ارزیابی بر اساس ITIL
• تعریف وضعیت مطلوب
• تعریف ارتباطات سرویس‌ها
• تدوین رویه کنترل فرآیندهای ITIL
• تعریف جریان فرآیندهای ITIL
• تأمین نرم‌افزاری کاربردی
• استقرار فرآیندهای ITIL و آموزش
• نتیجه‌گیری

پیاده‌سازی سیستم مدیریت امنیت اطلاعات و کتابخانه زیرساخت فناوری اطلاعات بر ارتقا سیستم‌های اطلاعاتی و خدمات فناوری اطلاعات دارای تأثیر مستقیم و مثبت می‌باشد و همچنین پنج عامل سازمانی، انسانی، مدیریت پروژه، مدیریتی و فرآیندی بر اجرای موفق کتابخانه زیرساخت فناوری اطلاعات تأثیر مستقیم دارد و ناهمخوانی ساختار سازمانی با نیازهای سیستم مدیریت امنیت اطلاعات، برخوردار نبودن از کمیته راهبری شایسته و بی‌ثباتی مدیریت ارشد سازمان مهم‌ترین موانع پیاده‌سازی سیستم مدیریت امنیت اطلاعات می‌باشد.

• منابع
• وب‌سایت پایگاه مرکز اطلاعات علمی جهاد دانشگاهی
• وب‌سایت رایان سامانه گستر

---

¹ Information Security Management System

 ²Information Technology Infrastructure Library