به گزارش ایران اکونومیست؛ مهندس مهدی رازپوش نظری از سال 82 در شرکت توسعه سامانههای نرمافزاری نگین(توسن) مشغول کار است و اکنون به عنوان معاون خدمت این شرکت حضوری فعال در توسن دارد.
با او درباره مزایای اخذ این گواهینامه برای توسن و مشتریانش و همین طور اکوسیستم بانکداری الکترونیکی کشور گفت و گویی داشتیم که در ادامه میخوانید.
** گواهینامه بینالمللی ISO/IEC 27001:2013 که شرکت توسن دریافت کرده چیست و از فرایند اخذ آن توسط توسن کمی برای ما بگویید.
* ابتدا میخواهم کمی درباره توسن و انگیزه مستمر این شرکت در رعایت الزامات و استانداردهای جهانی بگویم. توسن در سال 1378 تاسیس شد و هدف از آن ایجاد بستر بومی و مستقل برای تولید راهکارهای حوزه فناوری اطلاعات بود و هم اکنون با بیش از 700 کارمند، سرویسهای متنوعی به بانکها ، موسسات مالی-اعتباری و همچنین برخی سازمانهای دولتی ارائه میدهد. توسن در دوره های مختلف فعالیت خود اهتمام زیادی به تطابق با استانداردهای حوزه فناوری اطلاعات و بانکی داشتهاست.
حدود 10 سال پیش فعالیتهای عمدهای در راستای اخذ استاندارد Tick-IT برای مدیریت کیفیت نرمافزار انجام دادیم که این استاندارد ، مشابه ISO 9000 در حوزه تولید نرمافزار است . توسن همیشه سعی در ارائه بهترین کیفیتها داشته است ؛ به عنوان نمونه ، در مهرماه 96 از میان 9 بانک عضو شبکه شتاب که جریمه شتابی آنها صفر بوده است ، 6 بانک از مشتریان توسن بودند و این نشانگر تلاش ما در ارائه راهکارهای باکیفیت است.
پس از چندسال که به صورت جدی وارد حوزه سرویسدهی به مشتری شدیم به موضوع دریافت استاندارد ISO 20000 پرداختیم که در حوزه مدیریت خدمات فناوری اطلاعات و مبتنی بر ITIL است و اولین شرکت ایرانی و همچنین نخستین شرکت خاورمیانه در حوزه بانکداری بودیم که موفق به دریافت این گواهینامه از APMG انگلیس شدیمما با این کار به مشتریان خود اطمینان دادیم که در ارائه سرویسهای خود ، فرایند مشخصی را در برنامه کار داریم.
از طرفی طبق استراتژی توسن ، حضور بینالمللی برای ما بسیار مهم بود و از این رو شرکتی در مالزی را ایجاد کردیم و بعد کوشیدیم راهکارهای داخلی را با استانداردهای بینالمللی تطابق دهیم و در این مسیر تاییدیه کمیته شرعی ISRA را هم گرفتیم و کوشیدیم به فروش محصولات بومی خود در بازارهای خارجی هم برسیم. اما چه شد که به سراغ استاندارد ISO 27001 رفتیم؟
از سال 86 که معاون اول رئیس جمهور بخشنامهای مبنی بر طرح سیستم مدیریت امنیت اطلاعات را به ارگانهای دولتی و غیر دولتی ابلاغ کرد اکثر سازمانها در این راه شروع به ایجاد تطابق کردند و ما هم به همین ترتیب فعالیت خود را در این زمینه شروع کردیم تا هم بحث تطابق با الزامات حاکمیتی را در نظر گرفتهباشیم و هم به رضایت مشتریان توسن و همینطور حضور موفق در عرصه بینالمللی جامه عمل بپوشانیم.
هر آنچه که برای یک سازمان دارای ارزش باشد دارایی آن سازمان محسوب میشوند و طبق این تعریف میتوان گفت که اطلاعات و دادهها از داراییهای ارزشمند یک سازمان هستند که باید از آنها محافظت شود؛ فارغ از اینکه این اطلاعات در چه بستری تولید، منتقل و نگهداری میشوند.
ISO 27001 که با نام ISMS هم شناختهمیشود یک استاندارد بینالمللی است که چارچوب مدیریتشدهای برای افزایش اثربخشی فرایندهای امنیت اطلاعات در اختیار می گذارد. این استاندارد یک سری الزاماتی دارد و ما برای اینکه آن را پیادهسازی کنیم دو محرک اصلی داشتیم.
اصلیترین محرک ما حمایت مدیریت ارشد بود. ما از این نقطه شروع کردیم که جلسات کمیته راهبری را بهصورت ماهانه با معاونان و مدیرعامل توسن برگزار میکردیم. محرک دوم ما که باعث تسریع در انجام این پروژه بود این بود که از خدمات مشاورهای یک شرکت موفق در این حوزه را به کار گرفتیم و توانستیم در فازهای مختلف پیادهسازی، تطابق بیشتری با دامنه کسبوکار و مخاطرات وارده داشتهباشیم و کارهای عملیاتی را با توان عملیاتی بدنه توسن پیش ببریم.
یکسری گامهایی را نیز مشابه دریافت دیگر استانداردهایی که قبلا دریافت کردهبودیم، گذراندیم. بحث نیاز آموزشی کارکنان و آگاهیسازی در چند سطح انجام شد و سعی کردیم فرهنگسازی در این زمینه را با ابزارهای مختلف در همه سطوح سازمان انجام دهیم. از آنجایی که امنیت رابطه تنگاتنگی با افراد دارد ما کوشیدیم به کارکنان کمک کنیم تا همراهی بیشتری با الزامات استاندارد داشتهباشند.
** این استانداردها، چه فوایدی برای توسن و مشتریانش دارد؟
*این استانداردها رابطه تنگاتنگی با تدوام کسبوکار دارند و با پیادهسازی استانداردها میخواستیم به مشتریان خود پیام بدهیم که توسن دارای فرایندهایی است که میتواند مخاطرات امنیت اطلاعات وارده را به شکل صحیح مدیریت کند و به آنها اطمینان بدهیم که در توسن با پیادهسازی فرایندهای استاندارد از اطلاعات مشتریانمان که در دست ماست به شکل صحیح حفاظت میشود.
ما می خواستیم این اطمینان را برای آنها ایجاد کنیم که در داخل توسن اتفاق ناگواری برای امنیت اطلاعات آنها نمیافتد و به آنها تجربه کار کردن با شرکتی را بدهیم که مخاطرات را میشناسد، با تهدیدات آشناست و با پیادهسازی این استاندارد میکوشد سطح مخاطرات را به حداقل برساند.
این حرکتی رو به بهبود و مستمر است و ما نمیگوییم کار تمام شدهاست و این اطمینان را میدهیم که به دنبال پوشش سطوح بالاتر هستیم. دریافت این استاندارد از نظر داخلی هم این اطمینان را برای مدیران وسهامداران به همراه دارد که فرایندهای تدوینشده در داخل توسن از تداوم کسب و کار توسن پشتیبانی میکند.
** اسکوپ این استاندارد برای توسن چه چیزی تعیین شدهاست و آیا این استاندارد تمایز بیشتری به توسن میدهد؟
* اسکوپ آن در حوزه فرایندهای تولید و ارائه خدمت است که سعی کردیم با کمک مشاوران ، پوشش حداکثری داشتهباشیم. این نهایت کار نیست و ما کماکان در تلاش هستیم. امنیت یک موضوع نسبی است و ما کوشیدیم سطح ریسک را با تلاشهای سازماندهیشده به سطح قابل قبولتری برسانیم و این روند رو به رشد را ادامه خواهیم داد.
ما قبلا در حوزه مدیریت فناوری اطلاعات ، استاندارد ایزو 20000 را گرفتهبودیم. این استاندارد شاید مشابهتهایی داشتهباشد، اما تفاوت عمدهای که وجود دارد تمرکز آن روی حوزه مدیریت امنیت اطلاعات است. ما آنجا بحثهایی درباره نحوه ارائه خدمت به مشتریان داشتیم.
در ایزو 27001 با موضوع امنیت اطلاعات روبرو هستیم و سعی میکنیم فرایندهای شرکت را بر اساس امنیت اطلاعات ارزیابی کنیم و در این راه حتی ممکن است به تغییر فرایندهای موجود و بازنویسی آنها هم برسیم. این استاندارد به جای نگاه از نظر ارائه سرویس به نگاه از نظر امنیت اولویت میدهد.
نکتهای که سعی کردیم در پیادهسازی این استاندارد رعایت کنیم این بود که دستاوردهای پیشین حاصل از کسب استانداردهای پیشین را حفظ کردیم و کوشیدیم در پیادهسازی ایزو 27001 تطابق و هماهنگی با آنها ایجاد کنیم.
** فکر میکنید دریافت این استاندارد توسط توسن میتواند بر روی صنعت بانکداری الکترونیکی و امنیت نیز اثرگذاری داشتهباشد؟
* این حرکتی مثبت در صنعت بانکداری الکترونیکی کشور است که میتواند برای شرکتهای دیگر فعال در حوزه بانکداری الکترونیکی انگیزه دریافت این گواهینامه ایجاد کند و ما از کمک و مشاوره به آنها در رسیدن به این نقطه استقبال میکنیم، چرا که استاندارد شدن اکوسیستم بانکداری الکترونیکی کشور به توسن هم کمک میکند تا کارهای بزرگتری انجام دهد و صنعت بانکداری کشور نیز در این بستر شکوفایی بیشتری خواهد داشت.
ما این پیام را برای مشتریان توسن داریم که اطمینان داشتهباشند همیشه در راه تطابق با استانداردهای کاری مصر و پیشرو خواهیم بود و تعهد میدهیم که در سالهای آینده حرفهای بیشتری در عرصه بینالمللی در حوزه بانکداری الکترونیکی داشته باشیم و در حوزههای جدیدتری حرکت کنیم.