تجارت الکترونیک پارسیان موفق به دریافت گواهی ISO27001 شد

شرکت تجارت الکترونیک پارسیان به‌عنوان یکی از بزرگ‌ترین شرکت‌های پرداخت کشور، موفق به اخذ گواهینامه ملی استاندارد ISO27001 از مرکز مدیریت راهبردی افتای ریاست‌جمهوری شد. لازم به ذکر است این گواهینامه یکی از معتبرترین گواهینامه‌های حال حاضر در حوزه امنیت اطلاعات است که مرکز مدیریت راهبردی افتای ریاست‌جمهوری در حوزه زیرساخت‌های حیاتی، متولی بررسی احراز شرایط اعطای آن در کشور است. این گواهی توسط امین مهاجر، مدیر امنیت اطلاعات بانک مرکزی به احمد جعفری، مدیرعامل شرکت تجارت الکترونیک پارسیان اهدا شد.

در همین راستا راه پرداخت برای آشنایی بیشتر با جزئیات این گواهینامه طی گفت‌وگویی با مدیر امنیت اطلاعات شرکت تاپ به بررسی اهمیت این گواهی پرداخت.

به گفته رضایی، تا پیش از ابلاغ بخشنامه افتا مبنی بر لزوم دریافت ایزو 27001 از سازمان، تمام مجموعه‌ها و شرکت‌های متقاضی می‌توانستند طی یک قرارداد با شرکت‌های cb گواهینامه را دریافت کنند.

او در ادامه توضیح داد: «cbها همان Certification Body یا نهادهای معتبر صادرکننده گواهینامه‌های استاندارد ایزو هستند که در کشورهای مختلف شعبه دارند. بعد از ابلاغ بخشنامه مذکور همه شرکت‌های فعال حوزه پرداخت و بانکداری موظف به دریافت گواهینامه ایزو 27001 از سازمان افتا شدند.»

رضایی ادامه داد: «ایزو 27001 در حقیقت سیستم مدیریت امنیت اطلاعات است که به تداوم کسب‌وکارها کمک می‌کند. سیستم مدیریت امنیت اطلاعات ISO27001  یک استاندارد بین‌المللی است که به مفاهیمی مانند حفظ داده‌ها و محرمانگی می‌پردازد. گواهینامه افتا هم بر پایه ایزو 27001 است با این تفاوت که در داخل کشور صادر می‌شود.»

او با اشاره به اهمیت گواهینامه داخلی بیان کرد: «ممیزی و بررسی کسب‌وکارها توسط cbها، باعث خروج اطلاعات از مرزهای داخلی می‌شود. در همین راستا افتا، سازمان معاونت امنیت فضای تولید و تبادل اطلاعات نظامی را راه‌اندازی و اعلام کرده کسب‌وکارهای داخلی باید گواهینامه سیستم مدیریت اطلاعات از نهادهای داخلی دریافت کنند.»

رضایی تصریح کرد: «سازمان افتا برای ارائه این گواهینامه از برخی شرکت‌های مکمل و چندین آزمون‌ استفاده می‌کند. در این فرایند عناصر مؤثر دیگری مانند وزارت فناوری اطلاعات و ارتباطات و معاونت امنیت فضای تولید و تبادل اطلاعات وجود دارند و دست به دست هم می‌دهند تا مجموعه‌های داخلی دیگر با cbهای خارجی کار نکنند؛ زیرا بحث ممیزی این گواهینامه بسیار محرمانه است.»

او در ادامه تأکید کرد: «تجارت الکترونیک پارسیان در سنوات گذشته برای دریافت گواهینامه از طریق شرکت cb خارجی اقدام و موفق به دریافت آن شده بود که اینک با تکیه بر دانش متخصصان تاپ و حمایت مدیریت ارشد نسبت به اخذ گواهینامه از سازمان افتا صورت پذیرفته است. لازم به ذکر است که برای کل سازمان،  مجوز مذکور صادر شده است، به عبارتی قلمرو پیاده‌سازی isms  کل شرکت تاپ بوده است.»

او در ادامه توضیح داد: «تمام اقدامات ما جهت تداوم کسب‌وکارمان و بهبود عملکرد آن است. ایزو 27001 بر سه اصل محرمانگی، یکپارچکی و دسترس‌پذیری استوار است که مخفف آن cia است. اصل محرمانگی می‌گوید اطلاعات به هیچ‌عنوان نباید فاش و آشکار شود و فقط باید در دسترس افراد مجاز قرار بگیرد. یکپارچکی اطلاعات هم یعنی نباید بدون اجازه، داده‌ای ایجاد، تغییر و حذف شود. دسترس‌پذیری به‌عنوان اصل دیگر اعلام می‌کند که موجودیت مجاز هر زمانی باید به اطلاعات دسترسی داشته باشد و باید در مواقع لزوم از آنها استفاده کند.»

رضایی در پایان تأکید کرد: «ما برای کاهش مخاطرات و آسیب‌پذیری، حفظ اطلاعات، بستن راه‌های نفوذ و دسترسی به اطلاعات ذی‌نفعان شرکت به این سمت حرکت کردیم. این ذی‌نفعان می‌توانند سهام‌داران، کارمندان و سازمان‌های بالادستی‌مان باشند. تمام این موارد چرایی حرکت تاپ به سمت isms است.»

به گفته او، برای حاکمیت نظام امنیت اطلاعات در سازمان باید برنامه‌ریزی کرد و ممیزی داخلی و برنامه‌ها را بهبود بخشید. برنامه بهبود یکی از پایه‌های اساسی استاندارد مذکور است. تاپ اصول قانون‌گری، مدیریت و اقدامات پیشگیرانه را محور اصلی برنامه بهبود خود قرار داده است.