ISO 27001: Стандартын тухай

By /

ISO 27001 стандартын үндсэн зорилго нь байгууллагын мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг хамгаалахад чиглэгддэг. Энэхүү зорилго нь байгууллагууд өөрийн мэдээллийн хөрөнгөнд учирч болзошгүй эрсдэлийг үнэлж, тухайн эрсдэлийг бууруулах үйл ажиллагааг явч хэрэгжүүлэх үйл явцаар дамжин хэрэгждэг гэж ойлгож болно. Тиймээс ISO 27001 стандартын гол зарчим нь эрсдэлийг удирдах үйл явцад суурилдаг бөгөөд эрсдэлийг тодорхойлох, үнэлэх, бууруулах үйл ажиллагааг системтэйгээр авч үздэг.

ISO 27001 стандартын бүтэц

Стандарт нь үндсэн хоёр хэсгээс бүрддэг. Эхний үндсэн хэсэг нь 11 заалтаас бүрдэнэ. (0-ээс 10 хүртэл) Хоёр дахь хэсэг нь Хавсралт А гэж нэрлэгддэг 4 бүлэг 93 хяналтын удирдамжийг (ISO 27002:2022) агуулдаг. Стандартын 0-3-р зүйлд (Танилцуулга, Хамрах хүрээ, Норматив лавлагаа, Нэр томьёо, тодорхойлолт) зэргийг агуулдаг бол 4-10 заалтууд нь тухайн байгууллага уг стандартыг үйл ажиллагаандаа нэвтрүүлэхээр шийдсэн бол заавал дагаж мөрдөх үндсэн шаардлагуудыг агуулдаг.
Стандартын хавсралт А нь заавал дагаж мөрдөх албагүй ч сонгон авсан бол хэрэгжүүлэх шаардлагатай хяналтын жагсаалт болон тэдгээрийн шаардлагыг агуулдаг гэж ойлгож болно.

Learn how to implement the ISO 27001 standard with best-in-class compliance resources and expert support

Үндсэн шаардлагууд

4-р зүйл: Байгууллагын нөхцөл байдал

Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог амжилттай хэрэгжүүлэх нэг урьдчилсан нөхцөл бол байгууллагынхаа нөхцөл байдлыг ойлгох явдал юм. Гадаад, дотоод асуудал, сонирхогч талууд болон тэдгээрийн шаардлагыг анхаарч үзэх хэрэгтэй. Шаардлагуудыг нь задалж харвал хууль эрх зүй, гэрээ, бизнесийн болон бусад агуулгын хүрээнд тодорхойлогдсон байж болно.

5-р зүйл: Манлайлал

 ISO 27001 стандартын манлайллын шаардлага чухал бөгөөд олон талын үйл ажиллагааг хамаарна. Удирдлагын тогтолцооны хувьд байгууллагын дээд удирдлагын амлалт заавал байх ёстой. Байгууллагын стратеги зорилттой нийцүүлэн удирдлагын тогтолцоо хэрэгжүүлэх зорилгоо тодорхойлох шаардлагатай. МАБУТ-г хэрэгжүүлэх, тасралтгүй сайжруулахад шаардлагатай нөөцөөр хангах, тогтолцоонд хувь нэмрээ оруулах хүмүүсийг дэмжих, байгууллагын түвшинд удирдлагын тогтолцооны шаардлагуудыг биелүүлэх зэргээр удирдлагын баг идэвхтэй ажиллах хэрэгтэй. Байгууллагын дээд түвшний удирдлага нь мэдээллийн аюулгүй байдлын бодлого боловсруулж үйл ажиллагаанд хэрэгжүүлэх үүрэг хүлээхээс гадна бодлогыг баримтжуулж, сонирхогч талуудад мэдээлэх ёстой. МАБУТ-ны үр дүнтэй байдлыг хангах үүднээс ажилтнуудын үүрэг хариуцлагыг оновчтой хуваарилах, холбогдох эрх мэдлийг хэрэгжүүлэх боломжийг тодорхойлох нь мөн удирдлагын манлайллын нэг хэсэг юм.

6-р зүйл: Төлөвлөлт

МАБУТ-г төлөвлөхдөө эрсдэл, боломжуудыг авч үзнэ. Мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ нь энэхүү хэсгийн үндсэн үйл ажиллагааг байдаг. Мэдээллийн аюулгүй байдлын зорилтууд ч мөн эрсдэлийн үнэлгээнд үндэслэсэн байх ёстой. Учир нь зорилтууд нь байгууллагын бизнесийн зорилгод нийцсэн байхаас гадна тэдгээрийг дэмжихэд чиглэгдсэн байх ёстой. Түүнчлэн, дээрх зорилтуудыг байгууллагын бүх түвшинд ойлгуулах үүднээс дотооддоо сурталчлах шаардлагатай болдог. Түүнчлэн байгууллагын ажилтнууд болон холбогдох этгээдүүдэд ч зарим талаараа аюулгүй байдлын зорилтуудыг ханган шаардлага тавигддаг. Эрсдэлийн үнэлгээ болон аюулгүй байдлын зорилтуудаас Хавсралт А-д заасан хяналтад үндэслэн эрсдэлийн бууруулах төлөвлөгөөг боловсруулдаг.

7-р зүйл: Тулгаар хүчин зүйл 

Байгууллагын хувьд нөөц, ажилчдын мэдлэг, ур чадвар, харилцаа холбоо нь аливаа асуудлыг шийдвэрлэх, хэрэгжүүлэхэд голлох асуудлыг үүсгэдэг. Өөр нэг тавигддаг шаардлага бол ISO 27001 стандартын дагуу мэдээллийг баримтжуулах явдал юм. Мэдээллийг баримтжуулах, үүсгэх, шинэчлэх зэрэг бүхий л үйл ажиллагаанд хяналт тавих шаардлагатай. МАБУТ-ны үр дүнтэй байдлыг дэмжихийн тулд зохих баримт бичгүүдийг хадгалах шаардлагатай байдаг.

8-р зүйл: Үйл ажиллагаа

Мэдээллийн аюулгүй байдлыг хэрэгжүүлэхийн тулд тодорхой үйл явцууд заавал байх ёстой. Эдгээр үйл явцыг төлөвлөх, хэрэгжүүлэхээс гадна тэдгээрийн үнэ зөв ажиллаж байгаа эсэхийг ч хянах шаардлагатай. Эрсдэлийн үнэлгээ, эрсдэлийг бууруулах үйл явц нь байгууллагын дээд түвшний удирдлагын анхааралд байх ёстой түүнийг үйл ажиллагаанд бодитоор хэрэгжүүлдэг байх ёстой.

9-р зүйл: Гүйцэтгэлийн үнэлгээ

ISO 27001 стандартын шаардлага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд хяналт, хэмжилт, дүн шинжилгээ, үнэлгээ хийхийг шаарддаг. Байгууллагын нэгжүүд нь хийж буй ажлуудаа хянаж шалгахаас гадна дотоод аудитын үйл ажиллагааг зохион байгуулах шаардлага тавигддаг. Байгууллагын дээд түвшний удирдлага нь МАБУТ-г шалгах үйл ажиллагааг тогтсон хуваарийн дагуу тогтмол хэрэгжүүлэх шаардлагатай.

10-р зүйл: Сайжруулалт

Өмнөх шаардлагад заасан үнэлгээнд үндэслэн сайжруулалтыг хийнэ. Удирдлагын тогтолцоонд илэрсэн үл тохирлыг арилгах чиглэлээр сайжруулалтыг хийх бөгөөд уламжлалт PDCA (Төлөвлөх-Хийх-Шалгах-Үйлдэл хийх) мөчлөгийг ашиглан сайжруулах үйл явцыг хэрэгжүүлж болдог.

Стандартын ач холбогдол 

ISO 27001 стандартыг үйл ажиллагаандаа нэвтрүүлснээр олон талын ач холбогдол, үр ашгийг байгууллагад бий болгодог. Хэдийгээр байгууллагуудын үйл ажиллагаа, бүтэц, зохион байгуулалт, соёл нь харилцан адилгүй ялгаатай байдаг боловч нийтлэг шинж чанарууд түгээмэл харагддаг.  Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны стандартыг үйл ажиллагаанд нэвтрүүлснээр бий болох зарим үр ашиг, ач холбогдлыг дараах байдлаар тодорхойлж болно. 

Баталгаа

Байгууллагын хувьд  хүлээн зөвшөөрөгдсөн тогтолцоо, арга барилыг дагаж мөрдсөнөөр мэдээллийн аюулгүй байдлыг хангаж буйгаа баталгаажуулах боломжтой байдаг. 

Зохих шалгуурыг хангах

Олон улсын стандартад үйл ажиллагаагаа нийцүүлснээр  сонирхогч талуудаас тавьж буй зохих шалгуурыг хангасан байгаагаа харуулах боломжийг олгодог. 

Зах зээлийн харьцуулалт

Удирдлагын тогтолцоог хэрэгжүүлснээр салбарын болон нийгмийн түвшинд харьцуулагдаж одоогийн байгаа түвшнээс ахисан түвшинд шилжсэн жишиг шалгуур болгон ашиглаж болно. 

Мэдлэг, ойлголт 

ISO 27001 стандартыг нэвтрүүлснээр байгууллагын бүх түвшний ажилтнуудын мэдээллийн аюулгүй байдлын мэдлэг, ойлголт сайжирдаг.  

Зэрэгцүүлэлт

ISO 27001 стандартыг нэвтрүүлэх үйл ажиллагаанд бизнесийн  болон техникийн ажилтнуудын оролцоог хангаснаар  технологийн болон бизнесийн нэгжүүдийн уялдаа холбоо, харилцан ойлголцлыг нэмэгдүүлдэг. 

Нийцлийг хангах

Байгууллагуудад мэдээллийн ашиглалт, хамгаалалт, хувийн мэдээллийн нууцлал, мэдээллийн технологийн засаглалтай холбоотой янз бүрийн зохицуулалтуудыг үйл ажиллагаандаа дагаж мөрдөх шаардлагууд тулгардаг.  ISO 27001 нь эдгээр шаардлагыг хамгийн үр ашигтайгаар хангах, нийцүүлэх боломжийг олгодог. 

Давуу тал олох

Бизнесийн болон салбарын өрсөлдөөн улам бүр нэмэгдэж буй зах зээлд үйлчлүүлэгчдийнхээ өмнө бусдаас ялгарах зүйлийг олох нь заримдаа маш хэцүү байдаг.  Тухайн байгууллага нь харилцагчдынхаа  эмзэг мэдээллийг онцгойлон авч үзэх шаардлагатай байдаг бол ISO 27001 стандарт нь үнэхээр онцгой давуу талыг бий болгож болох юм.

Зардлаа бууруулах

Мэдээллийн аюулгүй байдлыг ихэвчлэн зардал гэж харах нь түгээмэл байдаг. Гэвч байгууллага учирч болох эрсдэлийг удирдаж  түүнээс үүдэлтэй зардлаа бууруулж чадвал энэ нь  ашиг байх болно.  Танай байгууллагад үйлчилгээ тасалдсан,  харилцагчийн мэдээлэл алдагдсан, эсвэл ажилчдын итгэмжит байдал алдагдсан  гэх мэт нөхцөл байдал үүсэж болно. Ийм асуудлуудаас урьдчилсан сэргийлж чадвал хэр их хэмжээний санхүүгийн хохирлоос зайлсхийх боломжтой болно. 

Бизнесээ зохистой удирдах

Танай байгууллага харьцангуй хурдан өсөж буй ирээдүйтэй бизнесийн салбарт өрсөлддөг бол цаашдаа хэн юуг шийдвэрлэх, мэдээллээ хэрхэн удирдах, хандах эрхийн зохицуулалтыг хэрхэн хэрэгжүүлэх гэх мэт мэдээллийн аюулгүй байдлын  асуудлууд тулгарах болно. Мэдээллээр бизнес хийдэг байгууллагуудын хувьд энэ асуудлыг системтэйгээр шийдвэрлэхгүй бол илүү том асуудал болж үлдэж болно. 

Стандартыг хэрэгжүүлэх үйл явц

ISO 27001 стандартыг нэвтрүүлэх үйл явцыг ерөнхийд нь дараах хэсгүүдэд хувааж болно. Үүнд: 

  1.  Удирдлагын дэмжлэг авах
  2. Төслийн удирдлагын аргачлалыг ашиглах
  3. Хамрах хүрээг тодорхойлох
  4. Мэдээллийн аюулгүй байдлын бодлого боловсруулах
  5. Эрсдэлийн үнэлгээний аргачлал боловсруулах
  6. Эрсдэлийн үнэлгээ болон эрсдэлийг бууруулах үйл ажиллагааг хэрэгжүүлэх
  7. Нийцлийн тунхаг боловсруулах
  8. Эрсдэлийг бууруулах төлөвлөгөө боловсруулах
  9. Хяналтуудыг хэрэгжүүлэх
  10. Хяналтын үр дүнтэй байдлыг дүгнэх
  11. Сургалтын хөтөлбөр боловсруулах, хэрэгжүүлэх
  12. МАБУТ-ны баримт бичгээр зохицуулсан үйл ажиллагааг хэрэгжүүлэх
  13. МАБУТ-ны ажиллагааг дүгнэх, хянах
  14. Дотоод аудитыг хэрэгжүүлэх
  15. Удирдлагын дүн шинжилгээ хийх
  16. Залруулах үйл ажиллагааг хэрэгжүүлэх
Scroll to Top