ISO 27001 стандартын сүүлийн бүлэг болох сайжруулалтын заалтууд нь үйл ажиллагаанд нийцэхгүй байгаа аливаа үйл ажиллагааг залруулахад чиглэдэг. Үл тохирлыг залруулах үйл явц нь удирдлагын тогтолцоог сайжруулах үр дүнтэй байдлыг хангах явдал юм.
10.1 Үл тохирол ба залруулах үйл ажиллагаа
Үл тохирол илэрсэн үед, байгууллага дараах арга хэмжээг авна. Үүнд:
a) Үл тохиролд дараах арга хэмжээнээс тохиромжтойг хэрэгжүүлнэ:
1) Хянах ба залруулах арга хэмжээ авах
2) Үр дагаврыг арилгах.
b) Дахин илрэх, өөр газарт давтагдахаас сэргийлэхийн тулд үл тохирлын шалтгааныг устгах арга хэмжээг дараах байдлаар авч хэрэгжүүлнэ:
1) Үл тохирлын тохиолдлыг шалгах
2) Үл тохирлын учир шалтгааныг тодорхойлох, ба
3) Ижил төстэй үл тохирол байгаа, эсвэл үүсэх боломжтой эсэхийг тодорхойлно.
c) Шаардлагатай арга хэмжээг авч хэрэгжүүлэх,
d) Залруулах арга хэмжээ авсан бол үр нөлөөг нь шалгах ба,
e) Хэрэв шаардлагатай бол, мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд өөрчлөлт оруулна.
Үл тохирлын тохиолдлын үр нөлөөнд тохирсон залруулах арга хэмжээ сонгон авна.
Байгууллага дараах баримтжуулсан мэдээллийг нотлох баримт болгон хадгална. Үүнд:
f) Үл тохирлын мөн чанар ба түүний дагуу авсан арга хэмжээ, мөн
g) Залруулах арга хэмжээний үр дүн.
МАБУТ-ны хэрэгжүүлэлтийн хувьд удирдлагын дүн шинжилгээ, дотоод аудит, нийцлийн болон гүйцэтгэлийн үнэлгээний үр дүнгүүд нь үл тохирол, залруулах арга хэмжээний үндэс суурийг бүрдүүлж өгдөг. Тогтолцооны үл тохирол болон залруулах арга хэмжээ нь үр дагаврыг бууруулах, үндсэн шалтгааныг арилгах, дахин давтагдахаас урьдчилсан сэргийлэх үйл явц үүднээс шаарлдагатай тохиолдолд бодлого, журмын зохицуулалтыг шинэчлэх замаар системтэй хариу үйл явц юм. Авч хэрэгжүүлсэн арга хэмжээний үр дүнг үнэлж, баримтжуулж, үл тохирлыг залруулах арга хэмжээ ямар үр дүнд хүрсэн талаар мэдээлсэн байх ёстой. ISO 27001 стандарт нь байгууллага МАБУТ-г тасралтгүй сайжруулахыг шаарддаг. Эдгээр сайжруулалт нь хэд хэдэн үйл ажиллагаанаас бүрдэж болох бөгөөд залруулах арга хэмжээ нь сайжруулалт хийх, эмзэг байдлуудыг арилгах нэг арга нь байх болно. Бодит байдалд залруулах арга хэмжээ авах хэрэгцээ нь МАБУТ-ны хэд хэдэн үйл ажиллагаанаас үүдэлтэй байж болно.
Жишээлбэл:
- Дотоод аудит;
- Удирдлагын дүн шинжилгээ;
- Хөндлөгийн аудит;
- Аюулгүй байдлын зөрчил;
- Аюулгүй байдлын шалгалт, туршилт;
- Залруулах арга хэмжээ
Аливаа үл тохирлыг арилгахын тулд тодорхой зохицуулалтын дагуу залруулах арга хэмжээ авах шаардлагатай. Ихэнх тохиолдолд байгууллагууд залруулах арга хэмжээг хэрэгжүүлэх журмыг боловсруулан хэрэгжүүлсэн байдаг. Энэхүү журмаар үл тохирлыг дахин гарахгүйн тулд үндсэн шалтгааныг шинжлэх шаардлага, баримтжуулалт болон бусад холбоотой зохицуулалтуудыг багтаасан байдаг. Баталгаажуулалтын байгууллагуудын гаргасан үл тохирлоос бусад тохиолдолд хариу арга хэмжээ авах, залруулах арга хэмжээг хэрэгжүүлэх хугацааг байгууллага өөрөө тогтоож хэрэгжүүлж болно. Баталгаажуулалт эсвэл явцын аудитын үеэр илэрсэн үл тохирол, зөрчил дутагдлыг арилгах арга хэмжээг хэрэгжүүлэх тодорхой хугацааг ихэнхдээ зааж өгдөг.
Сайжруулах үйл явцын нэг гол хөшүүрэг бол аюулгүй байдлын зөрчил, аудитаар илэрсэн асуудлууд, хяналт шалгалтаар илэрсэн гүйцэтгэлийн асуудал, сонирхогч талуудын гомдол, удирдлагын дүн шинжилгээний явцад хэлэлцсэн асуудлуудаас суралцах явдал юм. Үүнийг хэрэгжүүлэхдээ дараах зүйлийг бүртгэх ёстой.
- Юу тохиолдсон;
- Үйл явдал нь хүсээгүй үр дагавартай байсан бол тэдгээрийг арилгах, бууруулахын тулд ямар арга хэмжээ авсан;
- үйл явдлын үндсэн шалтгаан юу байсан;
- үндсэн шалтгааныг арилгах арга хэмжээ нь юу болох;
Үндсэн шалтгааны шинжилгээ
Үр дүнтэй залруулах арга хэмжээг хэрэгжүүлэхийн тулд үүссэн асуудлын үндсэн шалтгааны шинжилгээг хийх хэрэгтэй. Хэрвээ үндсэн шалтгааныг нь олж шийдвэрлэхгүй бол асуудалд байнга давтагдах болно гэдгийг санах хэрэгтэй. Үндсэн шалтгааныг нь олж яагаад, яаж бий болсныг ойлгохгүй бол хэрэгжүүлсэн ажил үр дүнд хүрэхгүй байх магадлалтай. Үүнийг шийдвэрлэхдээ “5 Яагаад” гэх мэт энгийн аргыг ашиглаж болно.
Асуудал үүссэнээс эхлээд “Яагаад” гэж асууж, үндсэн шалтгааныг олж мэдэхийг зорино. Энэхүү аргын хувьд 5 удаа асуухад хангалттай бөгөөд илүү төвөгтэй асуудлуудын хувьд илүү гүнзгий ухах хэрэгтэй байж болно.
Жишээлбэл:
Асуудлын мэдэгдэл:
Байгууллагын компьютерүүд барьцаалах төрлийн вирусээр халдварласан.
Яагаад?
Хэн нэгэн цахим шуудангаар ирсэн холбоос дээр дарж вирусыг татан авч компьютеруудад халдварлуулсан байна.
Яагаад?
Ажилтан сэжиг бүхий үл мэдэгдэх цахим шуудангийн холбоос дээр дарж болохгүй талаар ямар нэгэн сургалтанд хамрагдаж мэдлэг ойлголт аваагүй байсан.
Яагаад?
Сургалт хариуцсан менежер урт хугацааны амралтаа авсан байсан тул сургалтын үйл ажиллагаа зохион байгуулагдаагүй.
Яагаад?
Орлон ажиллах ажилтан байхгүй байгааг мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээнд тооцоогүй.
Байгууллагын үйл ажиллагаанаас хамаарч үндсэн шалтгааныг тодорхойлох шинжилгээ хийх хангалттай нөөц байхгүй байж магадгүй. Иймээс үйл явдалд энгийн байдлаар эрсдэлийн үнэлгээ хийж зөвхөн дунд эсвэл өндөр эрсдэлтэй хүмүүсийн үндсэн шалтгааныг тодорхойлох шинжилгээг хийж болно.
10.2 Байнгын сайжруулалт
Байгууллага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зохистой байдал, хүрэлцээ, үр нөлөөг байнга сайжруулж байх ёстой.
Байнгын сайжруулалт нь байгууллагын зорилгод нийцсэн мэдээллийн аюулгүй байдлын зохистой, хүрэлцээтэй, үр дүнтэй байдлыг хангах, хадгалахад чиглэсэн байна. МАБУТ хэрэгжүүлсэн байгууллагууд тогтолцоогоо сайжруулахын тулд байнга хичээх ёстой. Энэ нь бүх удирдлагын тогтолцооны үр дүнтэй байх үндэс суурь болдог.
Сайжруулалтыг хэд хэдэн эх сурвалжаас авч болно. Үүнд:
- Дотоод аудит;
- Удирдлагын үнэлгээний үр дүн;
- Гадаад аудит;
- Зөрчил;
- Аюулгүй байдлын шалгалт, туршилт;
- Сонирхсон талуудын саналыг оролцуулан санал;
Дүгнэж хэлэхэд, МАБУТ-ны үр дүнтэй байдлыг хангахын тулд тасралтгүй сайжруулах үйл ажиллагаанд байгууллагын бүх түвшний ажилтнууд, оролцогч талууд анхаарал хандуулах хэрэгтэй. Тасралтгүй сайжруулна гэдэг нь байнга өөрчлөх тухай ойлголт биш бөгөөд хүрсэн үр дүнгээ хадгалж зорилтуудаа үе шаттайгаар биелүүлэхэд чиглэсэн цогц үйл ажиллагаа гэдгийг санах хэрэгтэй.