به استناد سند افتا و لزوم حفظ امنیت در کلیه دستگاهها، سازمان
فناوری اطلاعات از سال 1390 با راه اندازی نظام مدیریت امنیت اطلاعات موسوم به نما
به عنوان یک سازمان ملی اعتباردهنده در حوزه استاندارد ISMS جایگزین سازمان های
معتبر بین المللی شد.
تا پیش از این تمامی دستگاه های دولتی و خصوصی کشور موظف بودند
گواهینامه ISMS خود را از نهادهای بین المللی فعال در
این زمینه تامین کنند تا اینکه طبق تصمیم کارگروه فاوا این گواهینامه بومی شد و در
حال حاضر به دلیل ملاحظات امنیتی تنها شرکت های تایید شده ایرانی مجاز به صدور این
گواهینامه برای شرکت ها و سازمان های داخلی هستند. به همین دلیل سازمان فناوری
اطلاعات نیز تبدیل به یک سازمان اعتبار دهنده شد تا در جایگاهی معادل سازمان های
بین المللی قرار گیرد.
این سازمان حق دارد مجموعه ای از شرکت های حایز شرایط را مورد
بررسی قرار دهد و نسبت به صلاحیت آنها اظهار نظر کند و پس از تایید به آنها اعتبار
دهد تا گواهینامه هایی که شرکت های تایید شده صادر میکنند نیز اعتبار پیدا کند.
به گفته سازمان فناوری اطلات ایران، هر تعداد شرکتی که خواستار
فعالیت در این زمینه باشند و تعیین صلاحیت شوند، مجوز صدور این گواهینامهها را
دریافت خواهند کرد و محدودیتی برای واگذاری پروانه صدور ISMS وجود ندارد.
گواهینامه ها در سه نوع مشاوره، آموزشی و ممیزی صادر میشوند،
که بررسی چگونگی اعطای گواهینامه نوع سوم (ممیزی) در این بحث نمی گنجد. هم اکنون
مجموعاً 34 شرکت دارای پروانه فعال از سوی سازمان فناوری هستند که از این میان 11
گواهینامه در حوزه آموزشی و 23 گواهینامه در حوزه مشاوره میباشد. گواهینامه های مشاوره
در سه سطح 1، 2 و 3 صادر می شوند. لیست شرکتهای دارای گواهینامه های مذکور در
سایت سازمان فناوری به آدرس https://ito.gov.ir/fa/afta موجود است.
با توجه به اینکه روال بررسی مدارک ارزیابی شرکتهای متقاضی
گواهینامه آموزشی و یا مشاوره ISMS حساس و بعضاً
زمانبر است و نیز به منظور جلوگیری از رخداد سیکل مراجعه مکرر شرکتهای استانی به
پایتخت، اداره کل ICT استان خوزستان به عنوان سومین استان بعد
از استانهای گیلان و فارس، مدارک شرکتهای متقاضی را بررسی و پس از تایید جهت
صدور گواهینامه به سازمان فناوری ارسال نماید.
مدارک مذکور در دو زونکن اعتباری و فنی به همراه CDهای ضمیمه ارائه می گردد، که زونکن
ارزیابی فنی توسط کارشناسان اداره کل ICT استان خوزستان و
زونکن ارزیابی اعتباری پس از بررسی مدارک توسط این اداره کل، به نفر منتخب افتا
جهت استعلام و هرگونه اقدام مقتضی ارائه میگردد. درصورت تایید مدارک ارزیابی شده،
کلیه مدارک توسط اداره کل ICT به سازمان فناوری
ارسال شده و پس از تایید آن سازمان، دو نسخه از موافقتنامه مربوطه توسط نماینده ICT استان جهت مهر و امضا به شرکت متقاضی ارائه شده و پس از بررسی فنی و اعتباری نهایی توسط این اداره کل، یک نسخه از موافقتنامه به همراه پروانه فعالیت شرکت متقاضی به آن شرکت ارسال خواهد شد.