راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

وقتی از استاندارد حرف می‌زنیم از چه حرف می‌زنیم

بانک‌تکامنیت
نویسنده: رضا قربانی 0

شناخت استانداردهای فناوری اطلاعات ۹۰۰۱: ۲۰۰۵، ISO/IEC ۲۰۰۰۰: ۲۰۰۵ ISO/IEC و ۲۷۰۰۱: ۲۰۰۵ ISO/IEC

نویسندگان:

حسین شاهینی تیران، کار‌شناس مهندسی کامپیو‌تر (نرم افزار)، دانشگاه شهید بهشتی

مریم حق‌شناس، کار‌شناس ارشد مدیریت فناوری اطلاعات، دانشگاه علوم و تحقیقات تهران

رقیه السادات معرفت، کار‌شناس مهندسی کامپیو‌تر (نرم افزار)، دانشگاه آزاد اسلامی‌واحد تهران شمال

تبسم پورباقی، دانشجوی کار‌شناسی مهندسی کامپیو‌تر (نرم افزار)، دانشگاه کوثر قزوین

راحله ندافیون، کار‌شناس ارشد مهندسی صنایع (گرایش سیستم‌ها)، دانشگاه علوم و تحقیقات تهران

 

مقدمه

این مقاله به معرفی اجمالی سه استاندارد بین المللی ISO/IEC ۹۰۰۱: ۲۰۰۵، ISO/IEC ۲۰۰۰۰: ۲۰۰۵ و ISO/IEC ۲۷۰۰۱: ۲۰۰۵ می‌پردازد. در شماره‌های بعدی استانداردهای مذکور به تفصیل توضیح داده می‌شوند.

اطلاعات را می‌توان کالای قرن حاضر نامید. کالایی که انتخاب تکنولوژی، جاده‌های بس سهل الوصول را برایش آماده ساخته است. اطلاعات و تکنولوژی در یک چرخه رو به رشد، یکدیگر را با اثر متقابل ارتقاء می‌دهند و هر یک به رشد دیگری کمک می‌کند. ولی در این میان سیستم‌هایی که حجم عظیم اطلاعات را سازماندهی کرده، سپس آن‌ها را در قالبهای تکنولوژی جای داده و امکان استفاده موثر از آن‌ها را پدید می‌آورند، نقش به سزایی را برعهده دارند. از این رو بهترین راه رسیدن به این دستاورد مهم استقرار سیستم‌های کیفیتی، خدماتی و امنیتی مناسب و کارآمد می‌باشد.

 

سیستم مدیریت کیفیت (QMS) براساس استاندارد ۹۰۰۱: ۲۰۰۸ ISO/IEC

در سال ۱۹۷۸ کمیته فنی مربوط به سازمان بین المللی ایزو، سری استانداردهای ایزو ۹۰۰۱ را به دنیا ارائه نمود.

هدف از تدوین این سری استاندارد بوجود آوردن الگوی بین المللی برای پیاده سازی و استقرار سیستم مدیریت کیفیت و تضمین کیفیت بود که موجب شد این استاندارد مورد استقبال فراوان در سطح دنیا قرار گیرد.

سیستم‌های مدیریت کیفیت به منظور حفظ سطح کیفیت و بهبود مستمر کیفیت، از طریق اصلاح فرایند‌ها در سازمان پیاده سازی می‌شود.

(فرآیند: «مجموعه‌ای از فعالیت‌های مرتبط و تاثیرگذار، که ورودی‌ها را به خروجی‌ها تبدیل می‌کند.»)

امروزه بزرگ‌ترین چالش شرکت‌ها و سازمان‌های سرویس دهنده خدمات فن آوری اطلاعات، صرف کمترین هزینه ممکن و ارائه بالا‌ترین کیفیت می‌باشد. این امر در بخش‌های مختلف سازمان نمود پیدا می‌کند که از آن جمله می‌توان به مواردی، همچون افزایش بهره وری نیروی انسانی، استفاده بهینه از ظرفیت‌های موجود و ایجاد امکانات و ظرفیت‌های جدید منطبق بر نیاز واقعی کسب و کار اشاره نمود. در اختیار داشتن تکنولوژی پیشرفته و نیروی انسانی متخصص به تنهایی کارگشا نبوده و مساله بسیار مهمی به نام روال‌ها و خطوط راهنمای مدیریت کیفیت مطرح می‌گردد که در واقع حلقه مرتبط کننده تکنولوژی و افراد می‌باشد. از طرفی یک سازمان با دریافت گواهینامه ایزو برای همه روشن می‌کند که سیستم مدیریت آن توسط شخص ثالث بی‌طرفی مورد ممیزی و بازرسی قرار گرفته است بنابراین اعتماد مشتری به چنین سازمانی بیش از سازمان‌های دیگر است.

شایان ذکرست که منافع حاصل از استقرار سیستم در یک سازمان فقط به کسب اعتماد مشتری و دستیابی به سهم بیشتر در بازار خلاصه نمی‌شود بلکه منافع بسیاری برای مدیریت سازمان در پی خواهد داشت که برخی از آن‌ها به شرح ذیل می‌باشد.

بهبود در برنامه ریزی سازماندهی و کنترل سازمان توسط مدیریت

بازاریابی مؤثر و کارآمد در جهت افزایش تعداد مشتریان

بالا بردن سطح رضایت مشتریان از طریق ایجاد اطمینان بیشتر و ارائه خدمات بهتر به آنان

اعمال کنترل‌های مؤثر بر فرایند‌ها و بهبود روش‌ها

کاهش هزینه‌ها ضایعات دوباره کاری‌ها و تعداد خطا‌ها

بهبود کیفیت و نحوه ارائه خدمات

 

سیستم مدیریت خدمات فناوری اطلاعات (ITSM) براساس استاندارد ۲۰۰۰۰: ۲۰۰۵ ISO/IEC

استاندارد ۲۰۰۰۰ ISO/IEC اولین استاندارد در زمینه مدیریت خدمات فناوری اطلاعات است که توسط سازمان جهانی استاندارد ISOمنتشر گردیده است. این استاندارد با رویکردی فرایندگرا، در جهت دستیابی به اهداف کسب و کار و خواسته‌های مشتریان در حوزه مدیریت خدماتIT تدوین گردیده است. نکته قابل توجه در این استاندارد استفاده کتابخانه‌ای از بهترین افکار، الگو‌ها و بهروش‌ها (Best Practice) برای مدیریت خدمات فناوری اطلاعات است، که تحت چارچوب (It Infrastructure Library) ITIL موجود می‌باشد. ITIL نگاهی نوین برای ارائه، پشتیبانی و بهبود خدمات فناوری اطلاعات ارائه داده، که امروزه بسیار مورد توجه سازمان‌ها و بنگاه‌های اقتصادی قرار گرفته است.

ISO/IEC ۲۰۰۰۰، مجموعه‌ای یکپارچه از فرآیندهای مدیریتی را جهت ارائه موثر خدمات، برای سازمان و مشتریان. این استاندارد شامل ۱۳ فرآیند اصلی است که ۱۰ فرآیند آن با فرآیندهای ITIL مشترک است و ۳ فرآیند دیگر (گزارش دهی خدمات، مدیریت تامین کنندگان و مدیریت روابط کسب و کار) در ITIL V۲ موجود نمی‌باشد.

۲۰۰۰۰ ISO/IEC متشکل از دو بخش است:

بخش اول: استاندارد بین المللی

۲۰۰۵-۲۰۰۰۰ ISO/IEC

۲۰۰۵-۲۰۰۰۰ ISO/IEC، مشخصه‌ای قراردادی است و الزامات سازمان را برای ارائه خدمات مدیریتی در حد قابل قبول به مشتریان، معین می‌کند.

این بخش موارد زیر را شامل می‌شود:

• الزامات سیستم‌های مدیریتی

• برنامه ریزی و اجرای مدیریت خدمات

• برنامه ریزی و اجرای خدمات تغییر یافته یا جدید

• فرآیند‌های ارائه خدمات

• فرآیند‌های ارتباطی

• فرآیند‌های تصمیم گیری

• فرآیند‌های کنترلی

• فرآیندهای استقرار

 

بخش دوم: راهنمای اجرایی (code of practice)

این بخش، بهترین تکنیک‌ها را برای فرآیندهای مدیریت خدمات در حدود حوزه بخش اول استاندارد شرح می‌دهد.

 

مزایای پیاده سازی استاندارد

 

۲۰۰۰۰ ISO/IEC در سازمان

از مزایای پیاده سازی این استاندارد در سازمان‌ها می‌توان به موارد زیر اشاره نمود:

ارتقا کیفیت خدمات ارائه شده با وجود کاهش هزینه‌ها

ارتقا اثربخشی و کارایی سازمان

ارتقا رضایتمندی مشتریان

سیستماتیک شدن و اتوماسیون فرآیند‌ها

کاهش دوباره کاری‌ها و در نتیجه کاهش هزینه‌ها

افزایش بهره وری و کارایی کارکنان

حضور در عرصه بین المللی

سیستم مدیریت امنیت اطلاعات (ISMS) براساس استاندارد ۲۷۰۰۱: ۲۰۰۵ ISO/IEC

این استاندارد که مجموعه‌ای از کنترلر‌ها و چک لیست‌های پیشنهاد شده امنیتی می‌باشد برای استفاده همزمان با استاندارد ۲۷۰۰۲ ISO/IEC و به منظور صدور گواهینامه تدوین گردیده است.

سیستم مدیریت امنیت اطلاعات ابزاری است برای شناسایی، مدیریت و به حداقل رساندن احتمال وقوع تهدیداتی که امروزه سازمان‌ها بواسطه از دست دادن اطلاعات خود با آن رو به رو می‌باشند. این تهدیدات مشتمل بر، تهدیدات داخلی سازمان، تهدیدات اتفاقی، تهدیدات ناشی از خطاهای عمدی و غیرعمدی می‌باشد. که بدین وسیله اطمینان از تداوم کسب و کار، به حداقل رساندن ریسک تجاری و به حداکثر رساندن نرخ بازگشت سرمایه را حاصل می‌نماید.

بر خلاف آنچه در ذهن بسیاری از کار‌شناسان به چشم می‌خورد، امنیت اطلاعات صرفا «به منظور محرمانگی اطلاعات نیست بلکه امنیت اطلاعات صرفا» اطلاعاتی را امن تلقی می‌نماید که دارای ۳ ویژگی ذیل به صورت تواما «باشد:

۱- محرمانگی اطلاعات

۲- یکپارچگی و تمامیت اطلاعات

۳- دسترس پذیری اطلاعات

سازمان‌ها برای طراحی سیستم مدیریت امنیت اطلاعات نیاز به مهارت‌های زیر دارند:

۱- توانایی طراحی فرآیند مدیریتی برای ایجاد، پیاده سازی، ارزیابی و بهبود سیستم مدیریت امنیت اطلاعات

۲- توانایی ایجاد قابلیت لازم به منظور مدیریت و ارزیابی ریسک

۳- توانایی لازم برای مستندسازی و پیاده سازی سیستم مدیریت امنیت اطلاعات

سازگاری با سایر استانداردهای سیستم مدیریت

استاندارد ۲۷۰۰۱ ISO با سایر استانداردهای سیستم‌های مدیریتی در یک راستا بوده و استقرار و اجزای سازگار و یکپارچه آن با استانداردهای مدیریتی مرتبط امکان پذیر می‌باشد. نتایج حاصل از این همسویی:

– هماهنگی با دیگر استاندارد‌های سیستم مدیریت مانند ۹۰۰۱ ISO و ۱۴۰۰۱ ISO

– تاکید بر رشد و بهبود مداوم فرآیندهای سیستم مدیریت امنیت اطلاعات

– شفاف سازی الزامات مستند سازی

– ارزیابی ریسک و فرآیندهای مدیریتی به صورت یکپارچه

– بکارگیری یک مدل فرآیندی PDCA در تمامی ‌سیستم‌های مدیریتی

منبع: ماهنامه مهندسی ارتباطات

رضا قربانی

رضا قربانی هستم؛ بنیان‌گذار راه پرداخت و یکی از هم‌بنیان‌گذاران راه‌کار. در سال‌های گذشته تلاش کرده‌ام در دنیای رسانه کسب‌وکار و کسب‌وکار رسانه تجربه کنم. همچنین علاوه بر فعالیت‌هایی که در راه‌کار به عنوان مدیر محصول انجام می‌دهم تلاش می‌کنم در زمینه توسعه صنف فناوری اطلاعات و ارتباطات ایران نیز فعال باشم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.