-
اکثر پروژه های ISMS در حد یه سری مشاوره تقریباً به درد نخوره که خود مشتری در آخر کار هیچ تغییری در هیچ جایی حس نمی کنه.و حتی 1 % از پروژهای ISMS هم منجر به ارائه گواهینامه official نمیشه.
فقط یه سری checklist میان بهشون می دن و هی میگن مثلاً نذارین هر کسی سرشو بندازه زیر بیاد تو اتاق سرور یا اینکه مثلاً passwordهاتون complex باشه و نرم افزارها و سیستم عامل هاتون آپدیت باشه و ....!!!
اینارو خود مشتری هم از 200 سال قبل می دونسته !!!
حالا چرا باید بابتش بیاد میلیون میلیون پول بده بابت این اراجف ISMS من که نمی فهمم. !!!!!!
بالاخره باید بودجه IT سازمان ها یه جوری خرج بشه تا آخر سال ......نه ؟ !
اگه سازمانا میومدن پولی که بابت ISMS می دادن ، خرج training پرسنلشون می کردن و هم یه infrastructure
درست حسابی و به قول برو بچ Robust توی سازمانشون پیاده می کردن خیلی بهتر بود.
البته جسارت به کسی نباشه من خیلی کلی گفتم.
-
دوست گرامی
شما سخت در اشتباهید اگر تصور می کنید قرار است در انتهای پروژه های ISMS برایتان Firewall تنظیم کنند و به شما اطمینان بدهند که ایمن شده اید!
به نظر می رسد شما با مشاوری مواجه شده اید که دانش لازم برای پیاده سازی و استقرار ISMS نداشته است (که متاسفانه این گونه مشاورین البته پر مدعا کم هم نیستند!). من شرکت های مشاور معروفی را در همین تهران می شناسم که با سواد ترین فردشان فقط در حد کلیات ISMS را می شناسد، در همان حدی که در همایش های یک روزه و سه روزه آموزش می دهند! البته خیلی از این افراد متخصص امنیت شبکه هستند و چون فکر می کنند امنیت اطلاعات همان امنیت شبکه است، وارد این وادی شده اند و متاسفانه نتیجه اش همین شده که می بینید. مطمئن باشید نتیجه پروژه ای که توسط این افراد انجام شود بجز همانی که شما نوشتید نخواهد بود.
ولی با این استدلال نمی توانید ISMS را زیر سوال ببرید.
حتما شما پروژه های مدیریت کیفیت (معروف به ISO 9001) را هم با همین استدلال زیر سوال خواهید برد.
پس از استقرار سیستم مدیریت امنیت اطلاعات (اگر به درستی پیاده سازی شود)، چند اتفاق مهم رخ می دهد:
- دارایی های اطلاعاتی شناسایی می شوند.
- دارایی های اطلاعاتی بر اساس متدولوژی هایی ارزش گذاری می شوند.
- دارایی های اطلاعاتی طبقه بندی می شوند و برچسب گذاری می شوند.
- مسئولیت های دارایی های اطلاعاتی شفاف می شوند.
- خطر ها و تهدید ها شناسایی می شوند.
- میزان تاثیر خطرها و تهدیدها بر دارایی های اطلاعاتی با استفاده از متدولوژی هایی ارزیابی می شوند.
- کنترل های امنیتی انتخاب می شوند تا میزان تهدیدها و خطرها را تا سطح قابل تحمل پایین بیاورند.
- برنامه زمان بندی شده به همراه روش اجرایی برای ممیزی و بازنگری در همه موارد بالا تدوین می شود.
- برنامه زمان بندی شده به همراه روش اجرایی برای آموزش تدوین می شود.
- برنامه مقابله با خطرات امنیتی تدوین می شود و مسئولیت ها شفاف می شود.
- سیاست های امنیتی، چهارچوب ها، روش های اجرایی، راهنماها و پیشنهادها مشخص و مدون می شوند.
شما چون در مورد سیستم مدیریت امنیت اطلاعات - ISMS اطلاعات کافی ندارید و احتمالا با تجربه ناموفقی از پیاده سازی برخورد داشته اید، این طور تصور کرده اید که ISMS همانی است که من دیده ام، در نتیجه بیخود است و به کار نمی آید!
ISMS کمک می کند تا اگر قرار است هزینه ای در سازمان ها انجام شود، در مسیر مشخص و هدفمند قرار گیرد و از هدر رفتن منابع مالی به صورت بی هدف جلوگیری می کند.
چه بسیار سازمان هایی را دیده ایم که بدون داشتن برنامه مشخص و همه جانبه امنیتی، هزینه های بسیار گزافی را صرف خرید سخت افزارهای امنیتی - مثلا Firewall ها - کرده اند و تصور کرده اند که امنیت کامل دارند! ولی در لحظه خطر، آن سخت افزارها به هیچ کارشان نیامده اند. چرا که تهدید از آن نقطه ای وارد شده که آنها اصلا فکرش را هم نمی کرده اند.
در آخر لازم است باز هم تاکید کنم که امنیت اطلاعات همان امنیت شبکه نیست. امنیت شبکه فقط بخشی کوچک از امنیت اطلاعات است. (کنترل های تکنولوژیکی)
از زبان ISMS :
هر کسی از ظن خود شد یار من
از درون من نجست اسرار من
-
[quote=koorosh;210912]دوست گرامی
به نظر می رسد شما با مشاوری مواجه شده اید که دانش لازم برای پیاده سازی و استقرار ISMS نداشته است (که متاسفانه این گونه مشاورین البته پر مدعا کم هم نیستند!). من شرکت های مشاور معروفی را در همین تهران می شناسم که با سواد ترین فردشان فقط در حد کلیات ISMS را می شناسد، در همان حدی که در همایش های یک روزه و سه روزه آموزش می دهند! البته خیلی از این افراد متخصص امنیت شبکه هستند و چون فکر می کنند امنیت اطلاعات همان امنیت شبکه است، وارد این وادی شده اند و متاسفانه نتیجه اش همین شده که می بینید. مطمئن باشید نتیجه پروژه ای که توسط این افراد انجام شود بجز همانی که شما نوشتید نخواهد بود.
پس از استقرار سیستم مدیریت امنیت اطلاعات (اگر به درستی پیاده سازی شود)، چند اتفاق مهم رخ می دهد:
- دارایی های اطلاعاتی شناسایی می شوند.
- دارایی های اطلاعاتی بر اساس متدولوژی هایی ارزش گذاری می شوند.
- دارایی های اطلاعاتی طبقه بندی می شوند و برچسب گذاری می شوند.
- مسئولیت های دارایی های اطلاعاتی شفاف می شوند.
- خطر ها و تهدید ها شناسایی می شوند.
- میزان تاثیر خطرها و تهدیدها بر دارایی های اطلاعاتی با استفاده از متدولوژی هایی ارزیابی می شوند.
- کنترل های امنیتی انتخاب می شوند تا میزان تهدیدها و خطرها را تا سطح قابل تحمل پایین بیاورند.
- برنامه زمان بندی شده به همراه روش اجرایی برای ممیزی و بازنگری در همه موارد بالا تدوین می شود.
- برنامه زمان بندی شده به همراه روش اجرایی برای آموزش تدوین می شود.
- برنامه مقابله با خطرات امنیتی تدوین می شود و مسئولیت ها شفاف می شود.
- سیاست های امنیتی، چهارچوب ها، روش های اجرایی، راهنماها و پیشنهادها مشخص و مدون می شوند.
چه بسیار سازمان هایی را دیده ایم که بدون داشتن برنامه مشخص و همه جانبه امنیتی، هزینه های بسیار گزافی را صرف خرید سخت افزارهای امنیتی - مثلا Firewall ها - کرده اند و تصور کرده اند که امنیت کامل دارند! ولی در لحظه خطر، آن سخت افزارها به هیچ کارشان نیامده اند. چرا که تهدید از آن نقطه ای وارد شده که آنها اصلا فکرش را هم نمی کرده اند.
[/quote]
اول اینکه حرف شما رو قبول دارم.
از همه دوستان دعوت می کنم از همین شرکت های مدعی که کار ISMS کنند یه سری سوال کنند (بهترین جا همین نمایشگاهای IT هست) و بگین ISMS چیه و به چه درد ملت می خوره ؟؟
تقریباً همشون یه سری document فارسی شده رو حفظ کردند و به همه همونو میگن ، حالا فرق نمیکنه مشتری کی باشه !
نمونش شرکت محترم --U (دو حرف بعدی را ننوشتم) که ضد تبلیغ نشه.
فقط هم مشتریاشون ارگان های دولتی هستند که به بهانه اینکه مجلس تصویب کرده که همه ارگان ها باید طرح امنیت اطلاعات رو پیاده کنند ، بیان ما براشون پیاده کنیم.
اون مسئول تو ارگان که بیکر نشسته به شرکته میگه بیا اینکارو بکن....هم من تو سازمان به به میشم ، هم یه چیزی گیر خودم میاد !!!
خدا رو شکر مجلس محترم این لایحه رو تصویب کرد وگر نه اون آدمای باکلاس و به ظاهر زرنگ ، نون شیرین و یا مفت ISMS رو از دست میدادن.
باور کنین تو بازار IT ایران ، هیچ نونی مفت تر از پروژه های ISMS نیست...مواد لازم :چند صد تا ورق کاغذ و یه زبون دراز. (اکه سوال فنی هم پرسیدن بگین اینارو باید از فنی کارا بپرسین ... کار ما نیست !!!)
اگه راست میگن برن با یه مشتری که کاملاً وابسته به بخش خصوصی هست پروژه بگیرن...اگه 1 ریال بهبشون دادن !
ظمناً عمده چیزهایی که تو استاندارد ISO 27001 و قبلاً BS 7799 گفته شده به کار سازمان های بی در و پیکر ایرانی نمیخوره و به درد همون کشورهای پیشرفته مثل آمریکا ، کانادا، استرالیا، سوئیس ، انگلستان و ... میاد.
سازمان های ایرانی چیش استاندارده که حالا اطلاعات توش باید استاندارد بشه.؟
checklistها و methodologyهای ISMS فقط به عنوان یک شعار در سازمان های ایرانی باقی خواهد ماند و اصلاً به تیپ کاری ایرانی جماعت نمیاد.
برادران ، من این نوع پروژه ها رو دیدم به چشم خود که حالا دارم اینا رو میگم.
آقای کوروش بازم میگم ، من فقط فقط چیزهایی رو که دیدم گفتم ، توهین به شما نشه ...
Think More ....
-
من برای نگرانی شما از بابت حضور کاسب کارانه برخی سودجویان کم سواد پر مدعا احترام قائل هستم. البته حتما می دانید این کاسب کاران کم سواد پر مدعا، هرجا که بوی پول شنیده شود سر و کله شان پیدا می شود. عرصه هایی نظیر فروش رب گوجه فرنگی، تخم مرغ، کارتینگ اتومبیل های مسابقه ای، کارت اینترنت (ISP)، فروش سرور، فروش Router و حالا به قول شما پیاده سازی ISMS !
ولی با نظرتان در مورد ضروری نبودن سیستم مدیریت امنیت اطلاعات برای سازمان های ایرانی و این که مستندات ISMS صرفا در حد شعار باقی می مانند به هیچ وجه موافق نیستم، چون حداقل در پروژه هایی که در آنها حضور داشته ام، وضعیت کاملا متفاوت از آنچه شما تصویر کردید بوده است.
- اگر جایی کسی یک Cisco Router خریداری کرد ولی نتوانست آن را درست راه اندازی کند و در نهایت گوشه انبار خاک خرد، نه ارزش آن Cisco Router کم می شود و نه می توان کسانی که از این دستگاه به درستی استفاده کرده اند را زیر سوال برد.
- اگر جایی نرم افزاری بسیار ضعیف نوشته شد و نقایص فراوان داشت، نمی توان کلا برنامه نویسان و نرم افزارها را زیر سوال برد.
به نظر من در این گونه عدم موفقیت ها دو عنصر مقصر هستند:
1- کارفرما که دانش و شناخت کافی در مورد این سیستم را ندارد و در انتخاب پیمانکار نیز به درستی رفتار نکرده است.
2- پیمانکار که بدون داشتن تخصص در این راه قدم گذاشته و به عنوان مشاور، نتوانسته نقش مثبتی ایفا کند.
البته در این وادی، شرکت ها و متخصصانی نیز هستند که با دانش و تجربه ای که دارند، این گونه پروژه ها را با دقت و حساسیت بسیار پیش می برند و سازمان ها از نتیجه فعالیت های ایشان بهره مند می شوند.
-
سوال: 1- تو ایران کسی یا سازمانی هست که گواهی isms بده؟ خارج از کشور چطور؟ 2- شرکت های بزرگ خارجی که isms رو برای سازمان ها (نه لزوما ایرانی) اجرا میکنن چه شرکت هایی هستند؟ (منظورم معتبرترین های اونهاست) 3-برای اینکه یه سازمان بخواد گواهی 27000 بگیره باید چه روالی رو طی کنه؟ منظورم از دید مدیر سازمان هست. 4- اگه منبع خوبی برای آشنایی بیشتر با isms دارین معرفی کنید چون من استاندارد رو خوندم ولی توی اون فقط کلی بحث کرده و اینکه برای اجرای این مفاد از چه طرقی میشه اقدام کرد رو نگفته. اگه بتونین مثال هم بزنید ممنون میشم :).
-
سلام
1- گواهینامه رسمی توسط CB ها صادر می شود. در ایران CB نداریم. CB های مختلفی در دنیا هستند که مجاز به ممیزی و صدور گواهینامه ISO 27001 هستند.
اسامی برخی از آنها:
BSI
TUV
DNV
Certification Europe
KEMA
KPMG
SFS-Sertifiointi Oy
STQC
SQS
BVQi
SAI Global
LRQA
LSTI
2- ISMS یک استاندارد مدیریتی است. در روش درست، پروژه استقرار توسط گروهی در درون سازمان راهبری می شود و برای تعیین درست مسیر حرکت، می بایست ار حضور مشاور بهره برد. این توضیح را نوشتم که بگویم هیچ شرکتی ISMS را اجرا نمی کند. بلکه شرکتهای متخصص در این زمینه، خدمات مشاوره ارائه می دهند. برای یافتن اسامی این شرکت ها کافیست جستجوی ساده ای در گوگل انجام دهید.
3- مراحل کار در نوشته دوم همین مبحث به طور تیتر وار آورده شده است.
4- استاندارد ISO27002، راهنمای استقرار مواردی است که در ISO27001 آورده شده اند. شاید بتوان گفت راهنمای اجرای استاندارد ISO27001 است.
کتاب هایی هم هستند که می توانید از هرکدام از آنها، برخی مطالب را پیدا کنید. هرچند نمی توانید انتظار داشته باشید به صورت Tutorial مراحل کار شرح داده شده باشد. این چند کتاب را توصیه می کنم بخوانید:
The CISSP Prep Guide Mastering the CISSP and ISSEP Exams Second Edition
Certified Information Systems Security Professional Study Guide
The Price of Information Security
Information Security Management Handbook
Zen And The Art Of Information Security
Information Security Principles And Practice
Information Security Principles and Practice
...
-
من فکر میکردم یه تیمی میاد و isms رو پیاده میکنه، پرسنل رو آموزش میده، یه پولی میگیره و میره! :)
خب حالا که اینطور نیست، خدمات مشاوره ای در چه سطحی انجام میشه؟ منظورم اینه که مشاور باید چه کارهایی رو انجام بده؟ چقدر وارد جزییات میشه؟ آیا نیاز به دانش سطح پایین از حملات شبکه ای یا امثال اینها برای مشاور الزامی است یا فقط مثل استاندارد کلیات را بررسی میکند؟
اگر امکان دارد در مورد وظایف و دایره ی اطلاعاتی مشاور بیشتر توضیح دهید.
-
سلام
آقا کوروش اگه مقدوره کمی مدارک و جزوه آموزشی در این مورد لینک بدید تا حداقل علاوه بر توضیحات شما با متن قضیه بیشتر آشنا بشیم .
در ضمن فکر کنم هر چقدر دیتابیس های با ارزشتر تو ایران بیشتر بشه فعالیت هکرها هم خود به خود بیشتر میشه و تازه اون وقته که نیاز به امنیت همه اینها رو با خودش میاره همونطور که در تولید مدیریت تولید خواستار ورود استاندارهای مدیریتی شد و اونها رو با خودش آورد.
-
[QUOTE=azetrom;258055]من فکر میکردم یه تیمی میاد و isms رو پیاده میکنه، پرسنل رو آموزش میده، یه پولی میگیره و میره! :)
خب حالا که اینطور نیست، خدمات مشاوره ای در چه سطحی انجام میشه؟ منظورم اینه که مشاور باید چه کارهایی رو انجام بده؟ چقدر وارد جزییات میشه؟ آیا نیاز به دانش سطح پایین از حملات شبکه ای یا امثال اینها برای مشاور الزامی است یا فقط مثل استاندارد کلیات را بررسی میکند؟
اگر امکان دارد در مورد وظایف و دایره ی اطلاعاتی مشاور بیشتر توضیح دهید.[/QUOTE]
پیاده سازی سیستم مدیریت امنیت اطلاعات پروژه ای نیست که بتوان آن را به صورت Turn key از یک پیمانکار انتظار داشت.
وظیفه مشاور، راهنمایی و مسیردهی برای استقرار است. این که در هر مرحله از استقرار چه فعالیت هایی و چگونه انجام شوند تا بهترین نتیجه به دست آید.
وقتی از مشاور صحبت می کنیم، منظور یک نفر نیست. منظور آن تیم یا شرکتی است که نقش مشاور را بر عهده می گیرد. در بخشی از مسیر، آنجایی که به انتخاب و تعیین کنترل های امنیتی مربوط به شبکه می رسیم، تیم مشاور می بایست با اشرافی که روی مباحث مربوط به امنیت شبکه دارند، در این زمینه راه حل های پیشنهادی شان را ارائه دهند. البته توجه داشته باشید که اگر کل فرایند استقرار استاندارد را 10 واحد در نظر بگیریم، شاید کمتر از 1 واحد آن به امنیت شبکه اختصاص یابد. این اشتباهی است که متاسفانه در اکثر پروژه های استقرار نظام امنیت اطلاعات در ایران مشاهده می شود و در پروژه، بیشتر از آن که به امنیت اطلاعات پرداخته شود، امنیت شبکه در نظر گرفته می شود. این آن چاهی است که بیشتر مدیران فناوری اطلاعات سازمان ها که معمولا مسئول راهبری این پروژه ها هستند، در آن گرفتار می شوند و از مسیر اصلی دور می افتند. شاید بتوان این نکته را یکی از بزرگترین چالش ها در موفقیت پروژه های امنیت اطلاعات دانست.
مشاور (تیم مشاور) می بایست متخصص و مسلط بر امنیت اطلاعات باشد؛ تجربیات متعدد حضور در پروژه های موفق استقرار استاندارد را داشته باشد و بر فرایند ممیزی نیز تسلط داشته باشد. (شاید بتوان این طور گفت که حضور یک سرممیز استاندارد امنیت اطلاعات در تیم که تجربه ممیزی امنیت اطلاعات داشته باشد ضروری است)
یک مشاور قوی می تواند مسیر حرکت را به درستی مشخص کند و در تمام مراحل کنار کارفرما حضور فعال داشته باشد تا بتواند از حرکت در مسیر اشتباه جلوگیری کند.
[QUOTE=ehsan653;258079]سلام
آقا کوروش اگه مقدوره کمی مدارک و جزوه آموزشی در این مورد لینک بدید تا حداقل علاوه بر توضیحات شما با متن قضیه بیشتر آشنا بشیم .
در ضمن فکر کنم هر چقدر دیتابیس های با ارزشتر تو ایران بیشتر بشه فعالیت هکرها هم خود به خود بیشتر میشه و تازه اون وقته که نیاز به امنیت همه اینها رو با خودش میاره همونطور که در تولید مدیریت تولید خواستار ورود استاندارهای مدیریتی شد و اونها رو با خودش آورد.[/QUOTE]
در مورد مستندات و راهنماها، در نوشته قبلی اسامی کتابهایی را آوردم که مطالعه آنها می تواند مفید باشد.
اشاره کردید به یانک های اطلاعاتی با ارزش تر. توجه شما را به این نکته جلب می کنم که امنیت اطلاعات فقط به امنیت بانک های اطلاعاتی دیجیتالی نمی پردازد. بلکه هر نوع اطلاعاتی را می تواند شامل شود. اطلاعات مکتوب؛ کاغذی و شفاهی هم در سیستم امنیت اطلاعات به همان اندازه سیستم های اطلاعاتی الکترونیکی مورد توجه قرار می گیرند.
-
[QUOTE=Hakimi;258040]سلام
1- گواهینامه رسمی توسط CB ها صادر می شود. در ایران CB نداریم. CB های مختلفی در دنیا هستند که مجاز به ممیزی و صدور گواهینامه ISO 27001 هستند.
اسامی برخی از آنها:
BSI
TUV
DNV
Certification Europe
KEMA
KPMG
SFS-Sertifiointi Oy
STQC
SQS
BVQi
SAI Global
LRQA
LSTI
2- ISMS یک استاندارد مدیریتی است. در روش درست، پروژه استقرار توسط گروهی در درون سازمان راهبری می شود و برای تعیین درست مسیر حرکت، می بایست ار حضور مشاور بهره برد. این توضیح را نوشتم که بگویم هیچ شرکتی ISMS را اجرا نمی کند. بلکه شرکتهای متخصص در این زمینه، خدمات مشاوره ارائه می دهند. برای یافتن اسامی این شرکت ها کافیست جستجوی ساده ای در گوگل انجام دهید.
3- مراحل کار در نوشته دوم همین مبحث به طور تیتر وار آورده شده است.
4- استاندارد ISO27002، راهنمای استقرار مواردی است که در ISO27001 آورده شده اند. شاید بتوان گفت راهنمای اجرای استاندارد ISO27001 است.
کتاب هایی هم هستند که می توانید از هرکدام از آنها، برخی مطالب را پیدا کنید. هرچند نمی توانید انتظار داشته باشید به صورت Tutorial مراحل کار شرح داده شده باشد. این چند کتاب را توصیه می کنم بخوانید:
The CISSP Prep Guide Mastering the CISSP and ISSEP Exams Second Edition
Certified Information Systems Security Professional Study Guide
The Price of Information Security
Information Security Management Handbook
Zen And The Art Of Information Security
Information Security Principles And Practice
Information Security Principles and Practice
...[/QUOTE]
با اجازه رئیس
این هم ادرسهای که می تونن مجوز بدن ..
[URL="http://www.dnv.ir"][FONT=Tahoma][SIZE=2]www.dnv.ir[/SIZE][/FONT][/URL]
[FONT=Tahoma][SIZE=2]www.rwtuviran.com
[/SIZE][/FONT][COLOR=black][FONT=Tahoma][SIZE=2]www.tuviran.com
در مورد این شرکتهای سوالی دیگری بود در خدمتیم
[/SIZE][/FONT][/COLOR]
-
پیشنهاد مکینم بعد از پیاده سازی همچین استاندار های
مقوله امنیت رو با روش های مثل تست نفوذ به چالش بکشید!
-
[QUOTE=hashem_wol;259497]پیشنهاد مکینم بعد از پیاده سازی همچین استاندار های
مقوله امنیت رو با روش های مثل تست نفوذ به چالش بکشید![/QUOTE]
اجازه بدهید جمله شما را اصلاح کنم.
پس از پیاده کردن و استقرار استاندارد امنیت اطلاعات، می بایست با ممیزی از استقرار درست استاندارد اطمینان حاصل کرد که در بخش کنترل های امنیتی سطح شبکه (که درصد و حجم کوچکی از کنترل های امنیتی را به خود اختصاص می دهند) می توان از روش های تست نفوذ هم بهره برد.
-
برای تعیین خط مشی، قوانین، الزامات و روش های اجرایی توسط کمیته راهبردی آیا ابزار یا قالب یا پرسشنامه ی خاصی هست؟
-
برای جمع آوری داده ها و اطلاعات، پرسشنامه ها و فرم های مختلفی مورد استفاده قرار می گیرند. برخی مستندات الزامی نیز چارچوب ها و قالب های خاصی دارند که البته نمی توان گفت استاندارد است، ولی معمولا مشاوران براساس تجربیاتشان این چهارچوب ها و قالب ها را تهیه می کنند.
ابزارها و نرم افزارهایی نیز برای مدیریت مستندات و جمع آوری اطلاعات در حین انجام کار ساخته شده اند که نمونه های آنها را می توانید با جستجویی در گوگل بیابید.
-
در پياده سازي هرگونه استاندارد امنيتي و يا هر گونه استاندارد ديگر حتي استاندارد كردن قوطي رب گوجه فرنگي شركت يادتون باشه اولين گام اينه كه به مدير يا رئيس محترم دو تا مطلب رو بگي:
1- رئيس جون ميخواي كارت استاندارد باشه؟
2- رئيس جون هزينه داره ها حدودا اينقدر؟
هرجايي كه ديدم پياده سازي استاندارهاي امنيتي با شكست مواجه شده مدير با حساسيت قضيه و هزينه هاي محتمل آشنا نبوده. شخصا هروقت تو ادارات دولتي به عنوان مشاور افتا حضور پيدا ميكنم اولين پيشنهاد رو سعي ميكنم يه پيشنهاد پرخرج(مثلا اتاق سرور استاندارد) بدم تا ببينم واقعا دنبال اينكار هستند يا كلمه استاندارد و امنيت براشون خوشكل بوده.
تا بالاييها به حساسيت موضوع و ضرورت اون پي نبرن خودتون رو سركار گذاشتيد.
اگه اشتباه نكنم بند هفتم هشتم سند افتاي اران هم به همين نكته اشاره داره.