گفت‌وگو با مهندس نظری، معاون خدمت شرکت توسن
استاندارد شدن باعث پیشرفت بانکداری کشور می‌شود
کد مطلب: 13617
تاریخ انتشار : سه شنبه ۱۹ دی ۱۳۹۶ ساعت ۱۷:۰۰
 
استاندارد شدن اکوسیستم بانکداری الکترونیکی کشور به توسن هم کمک می‌کند تا کارهای بزرگ‌تری انجام دهد و صنعت بانکداری کشور نیز در این بستر شکوفایی بیشتری خواهد داشت.
استاندارد شدن باعث پیشرفت بانکداری کشور می‌شود
 
 
Share/Save/Bookmark
استاندارد شدن اکوسیستم بانکداری الکترونیکی کشور به توسن هم کمک می‌کند تا کارهای بزرگ‌تری انجام دهد و صنعت بانکداری کشور نیز در این بستر شکوفایی بیشتری خواهد داشت.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، توسن به تازگی موفق به دریافت گواهی‌نامه بین‌المللی ISO/IEC ۲۷۰۰۱:۲۰۱۳ شد. مهندس مهدی رازپوش نظری از سال ۸۲ در شرکت توسعه سامانه‌های نرم‌افزاری نگین (توسن) مشغول کار است و اکنون به‌عنوان معاون خدمت این شرکت حضوری فعال در توسن دارد. با او درباره مزایای اخذ این گواهی‌نامه برای توسن و مشتریانش و همین‌طور اکوسیستم بانکداری الکترونیکی کشور گفت‌وگویی داشتیم که در ادامه می‌خوانید.

گواهی‌نامه بین‌المللی ISO/IEC ۲۷۰۰۱:۲۰۱۳ چیست و از فرایند اخذ آن توسط توسن کمی برای ما بگویید.
ابتدا می‌خواهم کمی درباره توسن و انگیزه مستمر این شرکت در رعایت الزامات و استانداردهای جهانی بگویم. توسن در سال ۱۳۷۸ تاسیس شد و هدف از آن ایجاد بستر بومی و مستقل برای تولید راهکارهای حوزه فناوری اطلاعات بود و هم اکنون با بیش از ۷۰۰ کارمند، سرویس‌های متنوعی به بانک‌ها، موسسات مالی-اعتباری و همچنین برخی سازمان‌های دولتی ارائه می‌دهد. توسن در دوره های مختلف فعالیت خود اهتمام زیادی به تطابق با استانداردهای حوزه فناوری اطلاعات و بانکی داشته‌است.

حدود ۱۰ سال پیش فعالیت‌های عمده‌ای در راستای اخذ استاندارد Tick-IT برای مدیریت کیفیت نرم‌افزار انجام دادیم که این استاندارد، مشابه ISO ۹۰۰۰ در حوزه تولید نرم‌افزار است. توسن همیشه سعی در ارائه بهترین کیفیت‌ها داشته است؛ به عنوان نمونه در مهرماه ۹۶ از میان ۹ بانک عضو شبکه شتاب که جریمه شتابی آنها صفر بوده است، ۶ بانک از مشتریان توسن بودند و این نشانگر تلاش ما در ارائه راهکارهای باکیفیت است.

پس از چندسال که به صورت جدی وارد حوزه سرویس‌دهی به مشتری شدیم به موضوع دریافت استاندارد ISO 20000 پرداختیم که در حوزه مدیریت خدمات فناوری اطلاعات و مبتنی بر ITIL است و اولین شرکت ایرانی و همچنین نخستین شرکت خاورمیانه در حوزه بانکداری بودیم که موفق به دریافت این گواهی‌نامه از APMG انگلیس شدیم. ما با این کار به مشتریان خود اطمینان دادیم که در ارائه سرویس‌های خود ، فرایند مشخصی را در برنامه کار داریم.

از طرفی طبق استراتژی توسن، حضور بین‌المللی برای ما بسیار مهم بود و از این رو شرکتی در مالزی را ایجاد کردیم و بعد کوشیدیم راهکارهای داخلی را با استانداردهای بین‌المللی تطابق دهیم و در این مسیر تاییدیه کمیته شرعی ISRA را هم گرفتیم و کوشیدیم به فروش محصولات بومی خود در بازارهای خارجی هم برسیم. اما چه شد که به سراغ استاندارد ISO ۲۷۰۰۱ رفتیم؟ از سال ۸۶ که معاون اول رئیس جمهور بخش‌نامه‌ای مبنی بر طرح سیستم مدیریت امنیت اطلاعات را به ارگان‌های دولتی و غیر دولتی ابلاغ کرد اکثر سازمان‌ها در این راه شروع به ایجاد تطابق کردند و ما هم به همین ترتیب فعالیت خود را در این زمینه شروع کردیم تا هم بحث تطابق با الزامات حاکمیتی را در نظر گرفته‌باشیم و هم به رضایت مشتریان توسن و همین‌طور حضور موفق در عرصه بین‌المللی جامه عمل بپوشانیم.

هر آنچه که برای یک سازمان دارای ارزش باشد دارایی آن سازمان محسوب می‌شوند و طبق این تعریف می‌توان گفت که اطلاعات و داده‌ها از دارایی‌های ارزشمند یک سازمان هستند که باید از آنها محافظت ‌شود؛ فارغ از اینکه این اطلاعات در چه بستری تولید، منتقل و نگهداری می‌شوند. ISO ۲۷۰۰۱ که با نام ISMS‌ هم شناخته‌می‌شود یک استاندارد بین‌المللی است که چارچوب مدیریت‌شده‌ای برای افزایش اثربخشی فرایندهای امنیت اطلاعات در اختیار می گذارد. این استاندارد یک سری الزاماتی دارد و ما برای اینکه آن را پیاده‌سازی کنیم دو محرک اصلی داشتیم.

اصلی‌ترین محرک ما حمایت مدیریت ارشد بود. ما از این نقطه شروع کردیم که جلسات کمیته راهبری را به‌صورت ماهانه با معاونان و مدیرعامل توسن برگزار می‌کردیم. محرک دوم ما که باعث تسریع در انجام این پروژه بود این بود که از خدمات مشاوره‌ای یک شرکت موفق در این حوزه را به کار گرفتیم و توانستیم در فازهای مختلف پیاده‌سازی، تطابق بیشتری با دامنه کسب‌وکار و مخاطرات وارده داشته‌باشیم و کارهای عملیاتی را با توان عملیاتی بدنه توسن پیش ببریم. یک‌سری گام‌هایی را نیز مشابه دریافت دیگر استانداردهایی که قبلا دریافت کرده‌بودیم، گذراندیم. بحث نیاز آموزشی کارکنان و آگاهی‌سازی در چند سطح انجام شد و سعی کردیم فرهنگ‌سازی در این زمینه را با ابزارهای مختلف در همه سطوح سازمان انجام دهیم. از آنجایی که امنیت رابطه تنگاتنگی با افراد دارد ما کوشیدیم به کارکنان کمک کنیم تا همراهی بیشتری با الزامات استاندارد داشته‌باشند.

این استانداردها، چه فوایدی برای توسن و مشتریانش دارد؟
این استانداردها رابطه تنگاتنگی با تدوام کسب‌وکار دارند و با پیاده‌سازی استانداردها می‌خواستیم به مشتریان خود پیام بدهیم که توسن دارای فرایندهایی است که می‌تواند مخاطرات امنیت اطلاعات وارده را به شکل صحیح مدیریت کند و به‌ آنها اطمینان بدهیم که در توسن با پیاده‌سازی فرایندهای استاندارد از اطلاعات مشتریان‌مان که در دست ماست به شکل صحیح حفاظت می‌شود. ما می خواستیم این اطمینان را برای آنها ایجاد کنیم که در داخل توسن اتفاق ناگواری برای امنیت اطلاعات آنها نمی‌افتد و به‌ آنها تجربه کار کردن با شرکتی را بدهیم که مخاطرات را می‌شناسد، با تهدیدات آشناست و با پیاده‌سازی این استاندارد می‌کوشد سطح مخاطرات را به حداقل برساند.

این حرکتی رو به بهبود و مستمر است و ما نمی‌گوییم کار تمام شده‌است و این اطمینان را می‌دهیم که به دنبال پوشش سطوح بالاتر هستیم. دریافت این استاندارد از نظر داخلی هم این اطمینان را برای مدیران وسهام‌داران به همراه دارد که فرایندهای تدوین‌شده در داخل توسن از تداوم کسب‌وکار توسن پشتیبانی می‌کند.

اسکوپ این استاندارد برای توسن چه چیزی تعیین شده‌است و آیا این استاندارد تمایز بیشتری به توسن می‌دهد؟
اسکوپ آن در حوزه فرایندهای تولید و ارائه خدمت است که سعی کردیم با کمک مشاوران ، پوشش حداکثری داشته‌باشیم. این نهایت کار نیست و ما کماکان در تلاش هستیم. امنیت یک موضوع نسبی است و ما کوشیدیم سطح ریسک را با تلاش‌های سازمان‌دهی‌شده به سطح قابل قبول‌تری برسانیم و این روند رو به رشد را ادامه خواهیم داد.

ما قبلا در حوزه مدیریت فناوری اطلاعات ، استاندارد ایزو ۲۰۰۰۰ را گرفته‌بودیم. این استاندارد شاید مشابهت‌هایی داشته‌باشد، اما تفاوت عمده‌ای که وجود دارد تمرکز آن روی حوزه مدیریت امنیت اطلاعات است. ما آنجا بحث‌هایی درباره نحوه ارائه خدمت به مشتریان داشتیم. در ایزو ۲۷۰۰۱ با موضوع امنیت اطلاعات روبرو هستیم و سعی می‌کنیم فرایندهای شرکت را بر اساس امنیت اطلاعات ارزیابی کنیم و در این راه حتی ممکن است به تغییر فرایندهای موجود و بازنویسی آنها هم برسیم. این استاندارد به جای نگاه از نظر ارائه سرویس به نگاه از نظر امنیت اولویت می‌دهد.

نکته‌ای که سعی کردیم در پیاده‌سازی این استاندارد رعایت کنیم این بود که دستاوردهای پیشین حاصل از کسب استانداردهای پیشین را حفظ کردیم و کوشیدیم در پیاده‌سازی ایزو ۲۷۰۰۱ تطابق و هماهنگی با آنها ایجاد کنیم.

فکر می‌کنید دریافت این استاندارد توسط توسن می‌تواند بر روی صنعت بانکداری الکترونیکی و امنیت نیز اثرگذاری داشته‌باشد؟
این حرکتی مثبت در صنعت بانکداری الکترونیکی کشور است که می‌تواند برای شرکت‌های دیگر فعال در حوزه بانکداری الکترونیکی انگیزه دریافت این گواهی‌نامه ایجاد کند و ما از کمک و مشاوره به آنها در رسیدن به این نقطه استقبال می‌کنیم، چراکه استاندارد شدن اکوسیستم بانکداری الکترونیکی کشور به توسن هم کمک می‌کند تا کارهای بزرگ‌تری انجام دهد و صنعت بانکداری کشور نیز در این بستر شکوفایی بیشتری خواهد داشت.

ما این پیام را برای مشتریان توسن داریم که اطمینان داشته‌باشند همیشه در راه تطابق با استانداردهای کاری مصر و پیشرو خواهیم بود و تعهد می‌دهیم که در سال‌های آینده حرف‌های بیشتری در عرصه بین‌المللی در حوزه بانکداری الکترونیکی داشته‌باشیم و در حوزه‌های جدیدتری حرکت کنیم.