«الأوراق المالية والسلع» تحصل على شهادة «أيزو»
أبوظبي (الاتحاد) - حصلت إدارة تقنية المعلومات في هيئة الأوراق المالية والسلع على شهادة أيزو ISO 27001:2005 لأمن المعلومات.
وتسلم عبد الله الطريفي الرئيس التنفيذي للهيئة شهادة الجودة من باسم عبيد، المدير الإقليمي للشرق الأوسط وأفريقيا لهيئة “لويدز لضمان الجودة”، في حفل أقيم بهذه المناسبة بمقر الهيئة بأبوظبي مؤخرا.
وثمن الطريفي حصول الهيئة على شهادة الجودة في هذا المجال، ونوه إلى أن هذا الإنجاز يأتي تماشياً مع توجهات الخطة الاستراتيجية للحكومة الإلكترونية الاتحادية 2012 - 2014، التي تهدف إلى رفع مستوى التحول الإلكتروني في الخدمات الحكومية وإقامة بنية تحتية الكترونية متقدمة.
وقال إن الحصول على “الأيزو” يؤكد حرص الهيئة على غرس ثقافة التميز لدى كافة قطاعاتها وإداراتها في إطار سعيها لتبوأ موقع الصدارة بين نظيراتها من الهيئات الرقابية إقليمياً وعالمياً، وذلك وفق أرقى الممارسات الدولية، وبما يمكنها من الفوز بمستوى رضى عالمي قبل كافة المتعاملين معها، فضلاً عن أن الشهادة تمثل اعترافاً من الجهة المانحة بالتزام الهيئة بالمعايير القياسية العالمية المعتمدة لحماية المعلومات.
وأضاف الرئيس التنفيذي للهيئة أن التدقيق للحصول على الشهادة شمل 3 أقسام؛ هي الشبكات والحماية، والعمليات والدعم الفني، والتطوير والبرمجة.
ويتطلب للحصول على شهادة الأيزو تطبيق معايير الأمن والحماية لمشاريع تقنية المعلومات وفق المواصفات المطلوبة، وتجهيز خطة للطوارئ وإعداد سياسات وإجراءات تطبيقية لضمان أمن المعلومات.
ونوه إلى أنه تم تدريب الموظفين المعنيين لتطبيق المعايير المطلوبة وتعريفهم بالسياسات الخاصة بأمن المعلومات والمواصفات المطلوبة للحصول على الشهادة، إضافة إلى ذلك، فقد تم تنفيذ ورشات عمل حضرها جميع موظفي الهيئة لتوعيتهم بطرق الأمن المعلوماتية المناسبة.
واشتملت عملية التدقيق، التي تم الإعداد لها من خلال الحصول على مشورة ودعم شركة “بروتيفتىممبر فيرم” إحدى أكبر الشركات الاستشارية بالشرق الأوسط وبإشراف محمد الحضري نائب الرئيس التنفيذي لقطاع الخدمات المؤسسية والمساندة بالهيئة، على عدة إجراءات تضمنت تقييم الحالة الراهنة لعمل تكنولوجيا المعلومات وإدارة أمن المعلومات لتقييم ضوابط(ISO 27001)، وتجربة عملية الاختراق الخارجي للعناوين الداخلية لـ (IP)، وتقييم شبكة الأمن الداخلي للعناوين الداخلية لـ (IP)، وتقييم أمن التطبيقات لجميع أعمال التطبيقات الحيوية الداخلية، ومراجعة النظام الأمني لجميع موجودات تكنولوجيا المعلومات الداخلية المحددة، وتطوير شبكة أمن المعلومات المبنية على نظام إدارة مخاطر المعلومات (ISMS) مدعومة بنظام توثيق، وإعداد الوثائق المناسبة لمعايير (ISO 27001) لدعم المبادرة الخاصة بإصدار شهادة (ISO 27001)، وتحديد نطاق نظام إدارة مخاطر المعلومات (ISMS) وتوثيقه، وتنظيم عرض خاص عن نظام إدارة مخاطر المعلومات (ISMS) لتوعية المسؤولين عن النظام، ومراجعة التركيب الراهن للمنظمة وتحديثه وفق نظام (ISO 27001)، وتطوير بيان تطبيقي للنظام، والقيام بعملية تحديد الموجودات وتصنيفها، والقيام بعملية تقييم المخاطر وتطوير استراتيجية خاصة بتخفيف حدة المخاطر لجميع المخاطر التي يتم تحديدها.
يشار إلى أن شــــهادة أيــزو ISO 27001 تعد بمثابة معيار دولي لنظام إدارة مخاطر المعلومات (ISMS) لضمان عدم تعريض نظم المعلومات والمعلومات المخزونة فيها للمخاطر. إذ أن استخدام نظم تكنولوجيا المعلومات قد يؤدي إلى الوقوع في بعض المخاطر المتعلقة بأداء نظم تكنولوجيا المعلومات، ومعلومات الأعمال، وفي المخاطر المتعلقة بقدرة تلك النظم وسريتها، ومصداقيتها، وتواجدها.