سازمان فناوری اطلاعات ایران بر اساس وظایف اساسنامه‌ای (ماده 7 - بندهای 21 ، 23 و 24 ) و اسناد بالادستی همچون سند افتا و تصمیمات کارگروه مدیریت فاوا، وظیفه ارزیابی و صدور گواهی محصولات حوزه افتا را بر عهده دارد. علاوه برآن همکاری در تهیه پیوست‌های امنیتی، حمایت از ایجاد آزمایشگاه‌های ارزیابی حوزه افتا و حمایت از بومی‌سازی محصولات این حوزه را نیز اجرا می‌کند. تدوین شاخص‌های ارزیابی، آیین‌نامه‌ها و مدیریت بر نظارت فرآیند اقدامات تعیین شده، از وظایف دیگر سازمان است. وظایف و اقدامات فوق‌الذکر همگی در اداره کل ارزیابی امنیتی محصولات (ارم) زیرمجموعه معاونت امنیت فضای تولید و تبادل اطلاعات در حال انجام است.

وظایف و اهداف کلی مطابق با اسناد بالا دستی

بر اساس اقدام 3 از راهبرد 2 سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور مصوبه شماره 232690/ت 38518 ک مورخ 11/12/87 مبنی بر ارزیابی امنیتی محصولات فتا، تأیید صلاحیت آزمایشگاهی ارزیابی امنیتی محصولات و صدور گواهی جهت محصولات و آزمایشگاه‌های ارزیابی امنیتی و اقدامات 2 و 4 راهبرد چهارم سند مذکور، مبنی بر طرح حمایت از ایجاد آزمایشگاه‌های تخصصی افتا و حمایت از تولید پشتیبانی و به‌کارگیری محصولات داخلی در حوزه افتا و نیز با عنایت بند(ب) ماده (2) و ماده (5) تصمیمنامه شماره 226967/ت45524ن مورخ 89/10/11 نمایندگان ویژه رییس‌جمهور در کارگروه فاوا، وزارت ارتباطات و فناوری اطلاعات موظف گردید، ضمن حمایت از طراحی و بومی‌سازی محصولات افتا و ضدبدافزار بومی در خصوص ارزیابی امنیتی و صدور گواهی برای محصولات داخلی اقدامات لازم را انجام دهد.

همچنین وزارت ارتباطات و فناوری اطلاعات طی بخشنامه 395/1/م مورخ 90/2/10 به کلیه دستگاه‌­های اجرایی موضوع ماده (5) قانون مدیریت خدمات کشوری ابلاغ نمود که ضمن به­ کارگیری محصولات بومی افتا از تخصیص اعتبار برای خرید محصولات خارجی و همچنین محصولاتی در حوزه افتا که به تائید این وزارتخانه نرسیده است خودداری نمایند.

در این راستا وظیفه ارزیابی امنیتی محصولات فتا به وزارت ارتباطات و فناوری اطلاعات (سازمان فناوری اطلاعات ایران) محول گردید و در نتیجه در تیر ماه 1390 اداره کل ارزیابی امنیتی محصولات (ارم) زیر مجموعه معاونت امنیت فضای تولید و تبادل اطلاعات سازمان با تشکیل یک دبیرخانه، شناسایی شرکت‌های تولیدکننده داخلی محصولات حوزه فتا و آزمایشگاه‌های حائز صلاحیت برای ارزیابی امنیتی محصولات را آغاز نمود.

 

لازم به ذکر است فعالیت‌های ذیل در اداره کل ارزیابی امنیتی محصولات بر اساس آخرین شرح وظایفِ چارت سازمانیِ مصوب مهر ماه 1393 به شرح زیر در حال انجام است.

• شناسایی، استخراج، تدوین و انتشار پروفایل­‌های حفاظتی محصولات
• تهیه و تدوین نظام جامع امنیت شبکه ملی اطلاعات
• تهیه سند «راهنمای آزمایشگاه» جهت اعتبار­سنجی محصولات که در آن چارچوب الزامات مورد تائید مراجع ذی­‌صلاح و سازمان فناوری اطلاعات و روال ارزیابی محصول و نقش و ارتباطات آن با آزمایشگاه شرح داده ‌شده است.
• تهیه سند «تداوم گواهی» راهنمای نگهداری گواهی و ارزیابی مجدد محصول
• تهیه سند «راهنمای تولیدکننده محصول» و «راهنمای سند هدف امنیتی محصول»
• تهیه سند «طرح ارزیابی امنیتی محصولات» که در آن ذی‌نفعان این حوزه را مشخص کرده و ساختار، فرآیندها، روال‌ها، نقش‌ها، تعاملات و ارتباطات فی‌مابین را شرح داده‌ است.
• تهیه سند «راهنمای اعتباربخشی آزمایشگاه» که در آن روال‌ها و الزامات ارزیابی و اعتباربخشی آزمایشگاه‌ها مشخص‌ شده است.
• شناسایی آزمایشگاه‌­های دارای صلاحیت ارزیابی امنیتی و صدور گواهی تهیه و تدوین پیوست امنیتی مربوط به مراکز داده (Data center) و شبکه