8.1 Үйл ажиллагааны төлөвлөлт ба хяналт
Байгууллага мэдээллийн аюулгүй байдлын шалгуурыг хангахад хэрэгжүүлэх шаардлагатай үйл явцыг төлөвлөж, хэрэгжүүлэн, хянах ба 6.1 дүгээр зүйлд тодорхойлсон арга хэмжээг хэрэгжүүлнэ. Байгууллага 6.2 дугаар зүйлд тодорхойлсон мэдээллийн аюулгүй байдлын зорилтыг төлөвлөж, хэрэгжүүлнэ.
Үйл явцыг төлөвлөгөөний дагуу явагдаж буй эсэхийг баталгаажуулахын тулд байгууллага баримтжуулсан мэдээллийг хадгална.
Байгууллага төлөвлөгөөт өөрчлөлтийг хянаж, санамсаргүй өөрчлөлтийн үр дагаврыг шалган, сөрөг нөлөөг арилгахын тулд шаардлагатай арга хэмжээг авч ажиллана.
Байгууллага гаднаас буюу аутсорсинг хэлбэрээр гүйцэтгүүлж байгаа үйл явцыг тодорхойлж, хянана.
Эрсдэл, аюулгүй байдлын зорилт, мэдээллийн аюулгүй байдлын шаардлагыг хангахын тулд МАБУТ нь үйл явцыг төлөвлөх, хэрэгжүүлэх, хянах ёстой. Мэдээллийн аюулгүй байдлыг хангахад чиглэгдсэн МАБУТ нь төлөвлөлт, өөрчлөлтийн хяналт, өөрчлөлтийн нөлөөллийн дүн шинжилгээг хийхдээ шаардлагатай бол сөрөг нөлөөллийг бууруулах арга хэмжээ авах боломжтой байх ёстой.
Мэдээллийн аюулгүй байдлын эрсдэлийг удирдах, зорилгодоо хүрэхийн тулд үйл ажиллагаагаа тодорхой, уялдаатай албан ёсны үйл явц болгох шаардлагатай. Үр дүнтэй үйл явцыг хэрэгжүүлэхийн тулд дараах практикийг хэрэгжүүлэх нь чухал юм. Үүнд:
1. Байгууллагын үйл ажиллагааг албажуулах замаар үйл явцыг бий болгох.
2. Үйл явц бүртэй холбоотой мэдээллийн аюулгүй байдлын эрсдэлийг тодорхойлох.
3. Үйл явдал, нөхцөл байдалд мэдээллийн аюулгүй байдлын эрсдэлийг удирдахад шаардлагатай үйл ажиллагааг тодорхойлж холбогдох талуудад мэдээлэх.
4. Үйл ажиллагааг явуулах үүрэг хариуцлагыг тодорхой хуваарилах.
5. Шаардлагатай үед үйл ажиллагааг явуулах нөөцийг зохистой хуваарилалт.
6. Үйл явц бүрийг дагаж мөрдөж буй тууштай байдал, мэдээллийн аюулгүй байдлын холбогдох эрсдэлийг удирдах үр дүнтэй байдлын тогтмол үнэлэх.
Дээр үйл явцуудын хувьд 2-6-р алхмуудын хэрэгжилтийг хангах үүрэгтэй албан тушаалтныг үйл явцын эзэмшигчээр томилон ажиллуулах шаардлагатай.
8.2 Мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ
Байгууллага төлөвлөгөөт хуваарийн дагуу, эсвэл далайцтай өөрчлөлт хийхээр зэхэж байгаа буюу хийсэн үед 6.1.2 (а зүйлд тодорхойлсон шалгуур нөхцөлийн) дагуу мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ хийнэ.
Байгууллага мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээний үр дүнг баримтжуулсан мэдээлэл хэлбэрээр хадгална.
Стандартын 6-р зүйлд тодорхойлсон эрсдэлийн үнэлгээний арга, техникийг байгууллагын МАБУТ-ны хамрах хүрээний бүх үйл явц, хөрөнгө, мэдээлэл, үйл ажиллагаанд хэрэглэнэ. Эрсдэл нь тогтмол утга бүхий статик шинж чанартай биш үнэлгээний үр дүнг зохих давтамжтайгаар хянан үзэх шаардлагатай байдаг. Энэ нь ихэвчлэн жилдээ дор хаяж нэг удаа, шаардлагатай тохиолдолд тухай бүр нь олон удаа хэрэгжүүлнэ гэсэн утгатай. Эрсдэлийг мөн дараах тохиолдолд хянаж байх ёстой.
1. Бууруулах арга хэмжээг авч хэрэгжүүлж дууссан ;
2. Байгууллагын хөрөнгө, мэдээлэл, үйл явцад өөрчлөлт орсон;
3. Шинэ нөхцөл үүссэн;
4. Магадлал, нөлөөлөл өөрчлөгдсөн;
ISO 27001 нь эрсдэлийн удирдлагад суурилсан стандарт тул энэ талбарт чиглэсэн хэд хэдэн тодорхой заалтуудыг агуулж байдаг. Үйл явцыг тодорхойлсон байх ёстой (6.1.2). Гэхдээ стандарт нь эрсдэлийн үнэлгээний тодорхой аргуудыг санал болгож заагаагүй болно. Байгууллага өөрийн үйл ажиллагаанд нийцсэн эрсдэлийн үнэлгээний аргачлалыг сонгож болно гэсэн үг.
Эрсдэлийн шалгуур
Удирдлага эрсдэлийн хүлээж авах шалгуурыг тодорхойлж, баталсан байх ёстой. Жишээлбэл, байгууллага “Бага” түвшинд хамаарах эрсдэлийг хүлээн авч түүнээс дээш үнэлгээтэй эрсдэлийг онцгойлон авч үзэх болно” гэж хэлж тодорхойлж болно. Түүнчлэн эрсдэлийн үнэлгээний шалгуурыг тодорхойлох ёстой. Энэ нь төслийн явцад эрсдэлийн үнэлгээ хийх, томоохон өөрчлөлтүүд, онцгой байдал, бизнесийн тасралтгүй байдлын дасгалын үр дүн зэргийг агуулсан байж болно. Шалгуур үзүүлэлтүүд нь холбогдох мэдээллийн хөрөнгийн үнэ цэнэд тулгуурласан байж болно. Жишээлбэл, эмзэг чухал хөрөнгөнүүдийн хувьд хөрөнгийг ашиглахад гарсан аливаа өөрчлөлт бүрийн хувьд эрсдэлийн үнэлгээг давтан хийх шаардлагатай болдог. Эрсдэлийн үнэлгээний үйл явцыг баримтжуулсан байхыг стандарт шаарддаг. Эрсдэлийн үнэлгээ хийж буй ажилтнууд эдгээр үйл ажиллагааг хэрэгжүүлэх чадвартай байх ёстой.
Мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг хийх алхамыг энгийнээр дараах байдлаар тодорхойлж болно.
- Шаардлагатай мэдээллийн хөрөнгийг тодорхойлох
- Хөрөнгөнд учирч болох аюул тодорхойлох
- Эмзэг байдлыг тодорхойлох
- Эрсдэлийн нөлөөллийг үнэлэх
- Эрсдэл тохиох магадлалыг үнэлэх
- Эрсдэлийн түвшинг тодорхойлох
- Эрсдэлийн утгыг хүлээн авах шалгууртай харьцуулах
- Эрсдэлийг бууруулах төлөвлөгөө боловсруулах
- Бууруулах үйл ажиллагааны хэрэгжилтэнд хяналт тавих
8.3 Мэдээллийн аюулгүй байдлын эрсдэлийг бууруулах арга хэмжээ
Байгууллага мэдээллийн аюулгүй байдлын эрсдэлийг бууруулах үйл ажиллагааны төлөвлөгөөг хэрэгжүүлнэ.
Байгууллага мэдээллийн аюулгүй байдлын эрсдэлийг бууруулах үйл ажиллагааны хэрэгжилтийн үр дүнг баримтжуулсан мэдээлэл хэлбэрээр хадгална.
Эрсдэлийн үнэлгээ хийсний дараа үр дүнг нь эрсдэлийг хүлээн зөвшөөрөх шалгуур үзүүлэлттэй харьцуулна. Эрсдэлийн түвшин хүлээн зөвшөөрөгдөх түвшнээс дээш байвал эрсдэлийг бууруулах стратегийн хувилбаруудаас сонгон авч хэрэгжүүлнэ. Эрсдэлийг бууруулах стратегийн үндсэн дөрвөн хувилбар байдаг.
- Хяналтыг хэрэгжүүлэх замаар эрсдэлийг бууруулах;
- Эрсдэлийг хүлээж авах;
- Эрсдэл үүсгэж буй үйл ажиллагаанаас зайлсхийх;
- Эрсдэлийг бусад талуудад шилжүүлэх
Эрсдэлийн нөлөөлөл нь санхүүгийн хувьд ноцтой нөлөө үзүүлэхээр бол түүнийг шилжүүлэх нь үр дүнтэй сонголт байх болно. Байгууллагын эрсдэлийг бууруулах төлөвлөгөө хуулийн шаардлага, сонирхогч талуудад харуулах мэдэгдэл төдий байж болохгүй. Харин эрсдэлийн шинэ мэдээллийг тусгах үүднээс шаардлагатай тохиолдолд төлөвлөгөөг шинэчилж байх шаардлагатай. Төлөвлөгөөний үр нөлөөг үнэлж үр дүнг бүртгэж байх нь төлөвлөгөө хэрэгжиж боломжийг улам нэмэгдүүлдэг.
Гадаад нөөцийг ашиглах нь эрсдэлийг шилжүүлэх нэг хэлбэр гэж үздэг тал бий. Бодит байдалд хэн хамгийн их хохирол амсах вэ? гэсэн асуултанд хариулах хэрэгтэй. Ерөнхийдөө гадаад нөөц нь өөрөө хамгийн их хохирол хүлээхгүй байж болно. Эрсдэлийг бууруулах үйл ажиллагааны зарим хэсгийг нь гадаад нөөц шилжүүлдэг боловч үнэндээ байгууллагын түвшинд эрсдэлийг удирдах асуудал хэвээрээ байх болно. Эрсдэлийг бууруулах стратегийн өөр нэг сонголт бол хяналтыг сонгон хэрэгжүүлэлт байдаг. Хяналтыг хаанаас хэрхэн яаж сонгон хэрэгжүүлэх боломжтой вэ? Мэдээж олон эх сурвалжаас жишиг хяналтуудыг явч хэрэгжүүлж болно. Жишээлбэл: ISO 27002 (ISO 27001 Хавсралт А), Зээлийн картын аюулгүй байдлын стандарт, NIST гэх мэтийг дурдаж болно.
Эрсдэлийг бууруулах үйл ажиллагаа
Эрсдэлийг бууруулах үйл ажиллагааг хэрэгжүүлсний дараа эрсдэлийн үнэлгээг дахин хийж үлдэгдэл эрсдэлийн хэмжүүрийг тооцоолох хэрэгтэй. Ингэснээр эрсдэлийг бууруулах үйл ажиллагаа хэр амжилттай болсныг харж чадна. Хяналтын сонгон шалгаруулалтын үйл явцын төгсгөлд шаардлагатай хяналтыг орхигдуулахгүй байх үүднээс сонгосон хяналтын зорилго, хяналтыг хавсралт А-д заасан хяналтын зорилт, хяналттай харьцуулах шаардлагатай. Эрсдэлийн эзэн нь сонгон авсан эрсдэлийг бууруулах үйл явц, үлдэгдэл эрсдэлийг хүлээн зөвшөөрч баримтжуулсан байх ёстой.
Байгууллага нь эрсдэлийг бууруулах үйл явцыг энгийн маягтуудыг ашиглан хийх боломжтой бөгөөд шаардлагатай бол эрсдэлийн удирдлагын тусгай хэрэгсэл ашиглаж болно. ISO 27001 стандартын дагуу эрсдэлийг бууруулах үйл ажиллагааны үр дүнг эрсдэлийн үнэлгээний тайланд баримтжуулах шаардлагатай бөгөөд үр дүн нь нийцлийн тунхагийн баримт бичиг боловсруулах гол орц нь байх болно. Эрсдэлийг бууруулах төлөвлөгөөг нийцлийн тунхаг баримт бичгийг боловсруулж дууссан дараа бичдэг.
Учир нь эрсдэлийг бууруулах төлөвлөгөөг “Үйл ажиллагааны төлөвлөгөө” гэж үзэж болох бөгөөд үүнд та аюулгүй байдлын ямар хяналтыг хэрэгжүүлэх, хэн хариуцах, хэрэгжүүлэх дуусах эцсийн хугацаа, ямар нөөц (санхүү, хүний нөөц) ашиглах, юуг хэнд зааж өгөх зэрэг шаардлагуудыг тусгасан байх ёстой. Энэхүү баримт бичгийг боловсруулахын тулд эхлээд ямар хяналтыг хэрэгжүүлэх шаардлагатайг шийдэх хэрэгтэй бөгөөд үүнийгээ нийцлийн тунхаг баримт бичгийг бэлтгэх замаар хэрэгжүүлнэ. Нийцлийн тунхаг баримт бичигт ямар хяналтыг хамаарах, алийг хамаарахгүй гэдгийг шийдэхдээ зөвхөн эрсдэлийг бууруулах үйл ажиллагааны үр дүнг цорын ганц орцоор авдаггүй. Өөрөөр хэлбэл хууль эрх зүй, зохицуулалтын болон гэрээний шаардлага, бизнесийн бусад шаардлага гэх мэтийг мөн авч үзэх хэрэгтэй гэсэн үг. Нийцлийн тунхаг нь байгууллагыг дэлхийн хэмжээнд авч үзэх нэг төрлийн хяналтын хуудас болж өгдөг бөгөөд ингэснээр эрсдэлийг эмчлэх төлөвлөгөө бүрэн хэрэгжих боломжийг бүрдүүлж өгдөг.