سازمان فناوری اطلاعات ایران


سوالات متداول


سؤالات متداول در خصوص آزمایشگاه(ارم)

ارائه مدارک آزمایشگاه‌های مستقر در استان‌ها از چه طریق انجام می‌شود؟

از طریق ادارات کل ارتباطات و فناوری اطلاعات مستقر در استان‌ها این فعالیت انجام می‌شود.

آیا یک آزمایشگاه می‌تواند هم‌زمان متقاضی انجام فعالیت در چند حوزه کاری باشد؟

بله، با توجه به قابلیت انجام کار توسط آزمایشگاه، حوزه کاری فعالیت آزمایشگاه در چند حوزه قابل تعریف است.

آیا فرآیند ارزیابی آزمایشگاه برای بار اول و تمدید گواهی متفاوت است؟

شاخص‌های ارزیابی در حال حاضر برای هر دو حالت یکسان است ولی هنگام تمدید، گواهی فعالیت عملکرد آزمایشگاه در یک سال گذشته نیز مؤثر خواهد بود.

آیا برای دریافت و پر کردن فرم‌های ارزیابی آزمایشگاه نیاز به نصب نرم‌افزار خاصی است؟

بله، فرم‌های ارزیابی در قالب نرم افزار Infopath از مجموعه نرم‌افزاری Microsoft Office طراحی شده‌اند.

سؤالات متداول در خصوص محصولات (ارم)

فرآیند ارزیابی امنیتی محصول چگونه است و مدارک مورد نیاز چیست؟

  • مذاکره با آزمایشگاه و عقد قراردادبین تولیدکننده و آزمایشگاه
  • تکمیل مدارک زونکن اعتباری توسط تولید کنندهو ارسال به سازمان فناوری اطلاعات ایران
  • ارزیابی امنیتی محصول در آزمایشگاه بر اساس استاندارد ISO15408 و مستندات چهارگانه محصول
  • تعیین موارد عدم انطباق محصول با استاندارد و ارائه گزارش و مهلت سه ماهه به تولیدکننده برای رفع نواقص
  • مراجعه تولیدکننده به آزمایشگاه پس ازرفع موارد عدم انطباق با استاندارد برای ارزیابی مجدد محصول
  • بررسی گزارش‌های ارزیابی محصول توسط نهاد حاکمیتی و تصمیم در خصوص صدور گواهی
  • صدور گواهی ارزیابی امنیتی محصول و ارائه به تولیدکننده در قبال اخد تعهدنامه محصول
  • تداوم گواهی در پایان اعتبار آن بر اساس درخواست تولیدکننده و با توجه به شرایط محصول

در حال حاضر چه گواهی‌های در اداره کل ارم صادر می‌شود؟

اداره کل ارم دو گواهی صادر می‌کند:

  1. گواهی ارزیابی امنیتی محصول که صرفاً برای محصولات بومی و داخلی اعم از نرم‌افزار و سخت‌افزار در حوزه فتا (فضای تولید و تبادل اطلاعات) صادر می‌شود.
  2. گواهی ارزیابی امنیتی آزمایشگاه که برای آزمایشگاه‌های ارزیاب محصولات امنیتی دارای واجد شرایط صادر می‌شود .

نمونه‌های هر دو گواهی در سایت قرار داده شده و قایل مشاهده است.

الزامات، مستندات و مصوبات قانونی مربوط به ارزیابی امنیتی محصولات کدامند؟

بر اساس اقدام 3 از راهبرد 2 سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور مصوبه شماره 232690/ت 38518 ک مورخ 11/12/87 مبنی برارزیابی امنیتی محصولات فتا، تائید صلاحیت آزمایشگاهی ارزیابی امنیتی محصولات و صدور گواهی جهت محصولات و آزمایشگاههای ارزیابی امنیتی و اقدامات 2و 4 راهبرد 4 سند مذکور، مبنی بر طرح حمایت از ایجاد آزمایشگاه‌های تخصصی افتا و حمایت از تولید پشتیبانی و بکارگیری محصولات داخلی در حوزه افتا و نیز با عنایت بند(ب) ماده(2) و ماده(5) تصمیم نامه شماره 226967/ت45524ن مورخ 11/10/89 نمایندگان ویژه رییس جمهور در کارگروه فاوا، وزارت ارتباطات وفناوری اطلاعات موظف گردید، ضمن حمایت از طراحی و بومی سازی محصولات افتا و ضد بدافزار بومی در خصوص ارزیابی امنیتی و صدور گواهی برای محصولات داخلی اقدامات لازم را انجام دهد. 

همچنین وزارت ارتباطات و فناوری اطلاعات طی بخشنامه 395/1/م  مورخ 10/2/90 به کلیه دستگاه های اجرایی موضوع ماده(5) قانون مدیریت خدمات کشوری ابلاغ نمود که ضمن به کارگیری محصولات بومی افتا از تخصیص اعتبار برای خرید محصولات خارجی و همچنین محصولاتی در حوزه افتا که به تایید این وزارتخانه نرسیده است خودداری نمایند.

ارزیابی امنیتی محصولات در کدام زمینه‌ها انجام می‌شود؟

هر محصول بومی که در فضای تولید و تبادل اطلاعات قرار می‌گیرد.

برای ارزیابی امنیتی محصولات خارجی چه باید کرد؟

در حال حاضر فقط برای محصولات خارجی که از طریق سازمان تنظیم مقررات و ارتباطات رادیویی معرفی شوند، نامه معرفی به آزمایشگاه صادر می‌شود و پس از طی فرآیند ارزیابی در آزمایشگاه معرفی شده توسط سازمان فناوری اطلاعات ایران، محصول خارجی (وارداتی) مجوز ورود دریافت می‌کند.

سوالات متداول(نما)

1- آیا این امکان وجود دارد شرکت هایی که به تازگی وارد عرصه ارائه خدمات سیستم مدیریت امنیت اطلاعات(ISMS) شده اند، بتوانند رتبه 1 دریافت نمایند؟

خیر. برای دریافت رتبه 1 نیاز به داشتن تجربه و قراردادهای مرتبط با موضوع سیستم مدیریت امنیت اطلاعات می باشد.

2- آیا برای ارسال درخواست ها محدودیت زمانی وجود دارد؟

خیر. محدودیتی برای ارسال درخواست ها وجود نداشته و فرایند ارزیابی به طور مستمر می باشد.

3- آیا برای دریافت و پر نمودن فرم های ارزیابی، نیاز به نصب نرم افزار خاصی است؟

فرم¬های ارزیابی در قالب نرم افزار Infopath از مجموعه نرم افزاری office Microsoft طراحی شده که لازمست پس از دریافت فرم ها از سایت و تکمیل آن ها مطابق دستورالعمل به صورت حضوری توسط نماینده مطلع شرکت به اداره کل نما ارائه شود.

4- آیا فرایند ارزیابی برای بار اول و تمدید پروانه متفاوت است؟

در حال حاضر شاخص های ارزیابی برای هر دو حالت یکسان بوده، با این تفاوت که در هنگام تمدید پروانه، عملکرد شرکت در یکسال گذشته نیز موثر خواهد بود.

5- آیا می توان فرم های ارزیابی تکمیل شده الکترونیکی را از طریق اینترنت ارسال نمود؟

در حال حاضر تحویل مدارک فقط به صورت حضوری انجام می¬شود.

6- آیا می توان فرم های ارزیابی تکمیل شده کاغذی را از طریق پست، پیک، کارپرداز و ... ارسال نمود؟

در حال حاضر با توجه به نیاز به بررسی شکلی مدارک، لازمست نماینده مطلع شرکت، جهت دریافت رسید تحویل کامل مدارک و یا اعلام حضوری نواقص آن به همراه معرفی نامه به اداره کل نما مراجعه نماید.

7- آیا یک شرکت می تواند همزمان متقاضی دریافت پروانه ارائه در چهار حوزه خدمات افتا باشد؟

با رعایت الزامات مندرج در راهنما مانعی وجود ندارد.

8- ارائه مدارک شرکت های مستقر در استان ها از چه طریقی انجام میشود؟

از طریق ادارات کل ارتباطات و فناوری اطلاعات مستقر در استانها که آدرس و تلفن تماس آنها در پرتال نما موجود می باشد.

9- اعضای هیات مدیره می توانند جز نفرات اصلی باشند؟

با داشتن شرایط لازم مانعی وجود ندارد.

10- اعطای پروانه فعالیت چه مدت پس از درخواست تعیین صلاحیت صورت خواهد گرفت؟

حداقل دو ماه پس از تحویل مدارک .