امنیت صد در صد در سیستمی ممکن است بدست آید که آن سیستم خاموش باشد، از برق کشیده شده باشد، اطراف آن محافظ فیزیکی باشد، آن محافظ داخل حفاظ سیمانی باشد و این مجموعه را درون لایهای از آتش قرار دهید؛ تازه آنوقت هم نمیتوان از امنیت اطلاعات آن سیستم رایانه کاملا مطمئن بود.
روابط عمومی شرکت پتروشیمی فجر در هر دوره از فعالیت ماهانه خود سعی دارد با یکی از روسای امور شرکت در زمینههای مختلف شغلی مصاحبه کند. در همین راستا در دفتر مهندس مرتضی رحیمی، رئیس برنامه ریزی و فن آوری اطلاعات حاضر شدیم تا به بهانه دریافت گواهی ملی مدیریت امنیت اطلاعات با ایشان گفتوگویی داشته باشیم.
مهندس رحیمی لیسانس مهندس الکترونیک و فوق لیسانس مهندسی فن آوری اطلاعات مدیریت در سال 1377 با کارآموزی در شرکت پتروشیمی رازی آغاز بکار کرده است و پس از گذراندن مشاغلی چون مهندس تعمیرات ابزار دقیق، کارشناس اداره مهندسی کارشناس ارشد ابزار دقیق در رازی، از سال 1387 همکاری خود را با فجر آغاز کرد.
سید مرتضی رحیمی پس از ورود به شرکت فجر، ابتدا به عنوان کارشناس و سپس به عنوان مدیر پروژه واحد هوای طرح توسعه پتروشیمی فجر مشغول به کار شد. وی که پیش از سال 93 به صورت جسته گریخته در واحد برنامه ریزی و اطلاعات مدیریت همکاری داشت، از ابتدای سال 94 تاکنون به عنوان رئیس این واحد در حال انجام خدمت است.
ISMS در واقع یک استاندارد بر مبنای ایزو است که با شماره 27001 از سری 27000 به عنوان استاندارد شاخص در زمینه امنیت اطلاعات شناخته میشود و نگاه غالب آن به اینگونه است که اطلاعات را به عنوان سرمایه شرکت تلقی میکند.
این استاندارد سرمایه اطلاعاتی را به عنوان زیر ساخت هر سازمان در نظر میگیرد و راهکارها و دستورالعملهای جهانی که ارائه میدهد، برای حفظ سرمایه اطلاعاتی است.
محافظت از سرمایههای اطلاعاتی هر شرکت برپایه یک مثلث صورت میگیرد؛ حفظ محرمانگی، حفظ صحت و دقت و دسترسی پذیری توسط کسانی که به اطلاعات نیاز دارند سه ضلع این مثلث را تشکیل میدهند.
مطابق این استاندارد، اضلاع سه گانه ISMS باید به صورت یک سیستم متوازن در کنار هم قرار گیرند به طوری که هیچکدام از این عناصر نه باید آنچنان سخت گرفته شوند که قواعد دیگر را محدود کند و نه آنچنان کم اهمیت که کارایی خود را از دست دهد و سیستم از هم بگسلد. در واقع صحت، سرعت و امنیت سه اصل جدایی ناپذیر و متوازن استاندارد مدیریت امنیت اطلاعات (ISMS) هستند.
پایه سیستم امنیت اطلاعات، مدیریت ریسک در محیط فن آوری اطلاعات است و در فضای فن آوری اطلاعات فجر هم در ابتدای امر پلان ریسکهای امنیت اطلاعات بررسی و برای رفع 90 ریسک شناسایی شده برنامه ریزی لازم انجام و اجرا شد. این برنامههای بهبود توسط سازمانی ذیصلاح مورد ممیزی قرار گرفت و شرکت پتروشیمی فجر در این ارزیابی سربلند خارج شد و توانست گواهینامه ISMS را دریافت کند.
شرکت پتروشیمی فجر کماکان برای تمامی ریسکهای خود برنامه رفع دارد و بازنگری لیست ریسکهای خود را نیز به صورت دورهای توسط کمیتههای سه گانهای در دست اجرا دارد.
هر استانداردی قصد دارد فعالیتها را روشمند کند. روشهای کاری تمامی کارکنان شرکت مشخص است و براساس همان تعاریف فرایندهای مرتبط شرکت را براساس استاندارد به روز رسانی کردیم.
خوشبختانه این امر باعث شد که رفتار فردی کارکنان هم دچار تغییرات مثبت شد. اکنون هر کدام از افراد شاغل در فناوری اطلاعات شرکت ما برنامه کاری دارند و شاخصهای تعریف شده، میزان و نحوه عملکرد مثبت آنها را به نمایش خواهد گذارد.
قصد اجرای این استاندارد از حدود یک سال و نیم پیش در واحد برنامه ریزی و اطلاعات مدیریت وجود داشت و خوشبختانه شرکت پتروشیمی فجر اولین شرکت صنعت نفت است که در حوزه ملی این استاندارد را پیاده سازی کرده است.
این استاندارد پس از یک دوره ممیزی داخلی و یک ممیزی خارجی بدون هیچ اشکال ماژور در تیرماه 97 موفق به دریافت گواهینامه 27001 شدیم. علاوه بر این ما نسبت به انجام تست نفوذ در یک لایه اقدام کردیم و در آن نیز سربلند بیرون آمدیم. لازم به ذکر است که در این استاندارد تست نفوذ الزام نیست و این کار به صورت داوطلبانه انجام شد.
ممکن است برخی همکاران ما حوزه ISMS را صرفا محدود به فن آوری اطلاعات ببینند در حالی که طبق تعریف، ISMS به هیچ وجه در حوزه IT خلاصه نمیشود. در هر مکان، اداره، امور و واحدی که نوعی از اطلاعات وجود داشته باشد الزامات ISMS در آنجا اجرا میشوند و میتواند در آن زمینه به شما راهکار دهد.
رفتار صحیح با سرمایه اطلاعاتی سازمان در ISMS تعریف شده است. در حال حاضر ما صرفا در سطح راهبری فن آوری اطلاعات وارد عمل شدهایم که عمدهترین بخشی است که اطلاعات در آن وجود دارند. بخش عمده کار در سطح مجتمع است که بایستی با انجام طیف وسیعی از اقدامات از جمله فرهنگ سازی آن را پیاده سازی کرد.
سه کمیته راهبری ISMS، کمیته تغییرات و کمیته برخورد با حوادث امنیت اطلاعات سه کمیته استاندارد مدیریت امنیت اطلاعات در شرکت پتروشیمی فجر را تشکیل میدهند.
برای ورود به توضیحات بخش IT باید ابتدا از تعریف آن شروع کنم: IT به هیچ وجه به معنی کامپیوتر و شبکه نیست در حالی که فن آوری اطلاعات فراتر از اینهاست. کامپیوتر و شبکه ابزار کار ماست. خیلی علاقمندیم که نگاه به کار ما به همین صورت تغییر کند. همکاران بنده در IT علاقه دارند که سرویسی که همکاران از ما انتظار دارند سرویس فن آوری اطلاعات باشد چرا که سرویس خدمات کامپیوتری تنها بخشی از کار ماست.
اما در خصوص زیرساختها باید گفت که روشهای کاری که اخیرا پیش گرفتهایم و مهمترین آن مسئله استاندارد سازی کارهاست که همان باعث شد تعدادی پروژه تعریف شود؛ اولین پروژه گرفتن گواهینامه استاندارد بود که به حمدالله در مرحله نخست به اتمام رسید. این پروژه به نوبه خود منجر به تعریف چندین پروژه دیگر شد.
جاری سازی مدیریت دانش و قدرتمند سازی سیستم امنیت اطلاعات به لحاظ فیزیکی، که این پروژه باعث شد ساختار فیزیکی شبکه شرکت را تغییر دهیم. تغییر زیرساخت شبکه بایستی در شرایطی اجرا میشد که هیچ سیستمی خاموش نمیشد و هیچکدام از سرویسهای شرکت معلق نمیماند که خوشبختانه در حال حاضر با قوت در جریان است.
سرورهای مجازی با کارایی و ظرفیت بسیار بالاتر تا پایان تابستان در سرویس خواهند بود و همچنین تمامی سیستم ذخیره سازی شرکت در یک فضای چند برابر با سرعت و قابلیت اعتماد بالا در اختیار کاربران خواهد بود.
باید خاطر نشان کرد که تمامی این تغییرات در شرکت با سرمایه گذاری بالغ بر 5 میلیارد ریال انجام شده است.