به استناد سند افتا و لزوم حفظ امنیت در کلیه دستگاه­ها، سازمان فناوری اطلاعات از سال 1390 با راه اندازی نظام مدیریت امنیت اطلاعات موسوم به نما به عنوان یک سازمان ملی اعتباردهنده در حوزه استاندارد ISMS جایگزین سازمان های معتبر بین المللی شد.

تا پیش از این تمامی دستگاه های دولتی و خصوصی کشور موظف بودند گواهینامه ISMS خود را از نهادهای بین المللی فعال در این زمینه تامین کنند تا اینکه طبق تصمیم کارگروه فاوا این گواهینامه بومی شد و در حال حاضر به دلیل ملاحظات امنیتی تنها شرکت های تایید شده ایرانی مجاز به صدور این گواهینامه برای شرکت ها و سازمان های داخلی هستند. به همین دلیل سازمان فناوری اطلاعات نیز تبدیل به یک سازمان اعتبار دهنده شد تا در جایگاهی معادل سازمان های بین المللی قرار گیرد.

این سازمان حق دارد مجموعه ای از شرکت های حایز شرایط را مورد بررسی قرار دهد و نسبت به صلاحیت آنها اظهار نظر کند و پس از تایید به آنها اعتبار دهد تا گواهینامه هایی که شرکت های تایید شده صادر می­کنند نیز اعتبار پیدا کند.

به گفته سازمان فناوری اطلات ایران، هر تعداد شرکتی که خواستار فعالیت در این زمینه باشند و تعیین صلاحیت شوند، مجوز صدور این گواهینامه‌ها را دریافت خواهند کرد و محدودیتی برای واگذاری پروانه صدور ISMS وجود ندارد.

گواهینامه­ ها در سه نوع مشاوره، آموزشی و ممیزی صادر می­شوند، که بررسی چگونگی اعطای گواهینامه نوع سوم (ممیزی) در این بحث نمی ­گنجد. هم اکنون مجموعاً 34 شرکت دارای پروانه فعال از سوی سازمان فناوری هستند که از این میان 11 گواهینامه در حوزه آموزشی و 23 گواهینامه در حوزه مشاوره می­باشد. گواهینامه ­های مشاوره در سه سطح 1، 2 و 3 صادر می­ شوند. لیست شرکت­های دارای گواهینامه ­های مذکور در سایت سازمان فناوری به آدرس https://ito.gov.ir/fa/afta موجود است.

با توجه به اینکه روال بررسی مدارک ارزیابی شرکت­های متقاضی گواهینامه آموزشی و یا مشاوره ISMS حساس و بعضاً زمانبر است و نیز به منظور جلوگیری از رخداد سیکل مراجعه مکرر شرکت­های استانی به پایتخت، اداره کل ICT استان خوزستان به عنوان سومین استان بعد از استان­های گیلان و فارس، مدارک شرکت­های متقاضی را بررسی و پس از تایید جهت صدور گواهینامه به سازمان فناوری ارسال نماید.

مدارک مذکور در دو زونکن اعتباری و فنی به همراه CDهای ضمیمه ارائه می گردد، که زونکن ارزیابی فنی توسط کارشناسان اداره کل ICT استان خوزستان و زونکن ارزیابی اعتباری پس از بررسی مدارک توسط این اداره کل، به نفر منتخب افتا جهت استعلام و هرگونه اقدام مقتضی ارائه میگردد. درصورت تایید مدارک ارزیابی شده، کلیه مدارک توسط اداره کل ICT به سازمان فناوری ارسال شده و پس از تایید آن سازمان، دو نسخه از موافقتنامه مربوطه توسط نماینده ICT استان جهت مهر و امضا به شرکت متقاضی ارائه شده و پس از بررسی فنی و اعتباری نهایی توسط این اداره کل، یک نسخه از موافقتنامه به همراه پروانه فعالیت شرکت متقاضی به آن شرکت ارسال خواهد شد.