Байгууллага өөрийн зорилго хийгээд мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зорилго болон зорьсон үр дүнд хүрэхэд нөлөөлж болох гадаад болон дотоод хүчин зүйлийг тодорхойлно.
ТАЙЛБАР: Байгууллагын гадаад болон дотоод хүчин зүйлсийг тодорхойлох тухай ISO 31000:2009
[5] стандартын 5.3 дугаар зүйлд заасан
ISO 27001:2013 гаргаснаас хойш түүний 4.1 заалт нь нэлээд тодорхой бус байгаа тул нэлээд төөрөгдөл үүсгэж байна зарим хүмүүс ярьдаг. Бизнесийн зорилгодоо хүрэхийн тулд мэдээллийн аюулгүй байдлын талаар юуг анхаарах ёстой вэ? Энэ сэдвийн хувьд мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны ISO 27001 нь эрсдэлийн удирдлагын ISO 31000-ыг иш татан байгууллагын нөхцөл байдлын тодорхойлолтыг шаарддаг.
ISO 27001 нь байгууллагын нөхцөл байдлыг ойлгохын ач холбогдлыг онцгойлон авч үздэг. Байгууллагын нөхцөл байдал нь Мэдээллийн Аюулгүй байдлын Удирдлагын Тогтолцоонд нөлөөлж болох гадаад болон дотоод асуудлуудыг хамаарна. Стандартын шаардлагаас гадна байгууллагын нөхцөл байдлын талаар мэдлэгтэй байх нь мэдээллийн аюулгүй байдлын асуудлуудыг илүү тодорхой харж, МАБУТ-ны зорилгыг зөв тодорхойлох боломжийг олгоно.
ISO 31000-ын 5.3.1-д заасны дагуу хоёр төрлийн асуудлыг авч үзэх шаардлагатай байдаг.
Дотоод асуудал: байгууллагын шууд хяналтад байдаг хүчин зүйлүүд;
Гадаад асуудал: Байгууллагын зүгээс хяналт чадахгүй боловч урьдчилан харж, дасан зохицож чаддаг хүчин зүйлүүд;
Зарим нэг дотоод асуудлын жишээг авч үзье.
Бүтэц.
Байгууллагын үүрэг, хариуцлага, шатлалыг мэдэх нь МАБУТ-г хаана удирдахаа тодорхойлоход тусална.
Гол тодорхойлогчид
Байгууллагын дотоод соёл, бодлого, зорилго, стратегиар илэрхийлсэн үнэт зүйл, эрхэм зорилго, алсын хараа нь мэдээллийн аюулгүй байдлын бодлого, зорилго, стратегийг тодорхойлоход тусалдаг. Эдгээр хүчин зүйлүүд нь тухайн байгууллагад ажиллаж буй ажилтнууд болон бусад хүмүүс ихээхэн нөлөөлдөг гэдгийг анхаарах нь чухал юм. Тэдний үзэл бодол, санаа бодлыг бас анхаарч үзэх хэрэгтэй.
Байгууллага хэрхэн ажилладаг
Процессууд хэрхэн ажилладаг, мэдээлэл хэрхэн урсаж, шийдвэр хэрхэн гаргадгийг мэдэх нь мэдээллийн аюулгүй байдлын үйл явц, хяналтыг бизнесийн үйл ажиллагаа, удирдлагын үйл ажиллагаатай нэгтгэхэд хялбар болгоно.
Боломжтой нөөц
Байгууллагадаа ямар тоног төхөөрөмж, технологи, систем, хөрөнгө, цаг хугацаа, боловсон хүчин, мэдлэг чадвар байгаагаа мэдэх нь удирдан чиглүүлэх, шийдлийг боловсруулах төдийгүй мэдээллийн аюулгүй байдлыг хангахад шаардлагатай чадамжийг бий болгоход тусална.
Гэрээний харилцаа
Нийлүүлэгчид болон үйлчлүүлэгчидтэй харилцах харилцааг ойлгох нь хэрэглэгчид болон ханган нийлүүлэгчдийн шаардлагыг илүү сайн удирдахад шаардлагатай хяналтуудыг МАБУТ-ны хүрээнд оруулах боломжийг олгоно.
Дотоод асуудлыг тодорхойлох нь МАБУТ-г бизнесийн стратегитай уялдуулах болон үүрэг, хариуцлагыг тодорхойлох , нөөц болон чадавхыг тодорхойлох зэрэг стандартын шаардлагыг биелүүлэхэд тань туслах болно.
Гадаад асуудлын зарим жишээг авч үзье.
Зах зээл ба үйлчлүүлэгчдийн чиг хандлага
Бидний амьдралд технологийн шинэ шийдлүүд өргөнөөр нэвтэрч байгаагийн нэг нь үүлэн үйлчилгээний хэрэглээ нэмэгдэж байгаа явдал юм. Энэ нь МАБУТ-ны анхаарах ёстой чиг хандлагын бодит жишээ юм.
Гадаад сонирхогч талуудын ойлголт, үнэлэмж
Гуравдагч талуудтай харилцах харилцаа нь зөвхөн гэрээгээр хязгаарлагдахгүй. Тэдэнд анхаарч үзэх ёстой өөрсдийн соёл, түүнчлэн тэдэнтэй хамтран ажилладаг хүмүүсийн итгэл үнэмшил байдаг.
Холбогдох хууль тогтоомж, дүрэм журам
Мэдээллийн аюулгүй байдлын хууль эрх зүйн шаардлагуудыг МАБУТ-нд онцгойлон авч үздэг. Монгол улсын хувьд 2022 оны 5-р сарын 1-ны өдрөөс эхлэн зарим нэг мэдээллийн аюулгүй байдлын хуулиуд үйлчилж эхэлсэн. Кибер аюулгүй байдлын тухай хууль, хувийн мэдээлэл хамгаалах тухай хууль гээд. Эдгээр хуулиудыг байгууллагууд мөрдөн ажиллаж тэдгээрийг нийцлийг хангах үүрэг хүлээж эхэлсэн гэсэн үг.
Улс төр, эдийн засгийн нөхцөл байдал.
Төрийн бодлогын чиг хандлага өөрчлөгдөх, үндэсний мөнгөн тэмдэгтийн ханшийн өөрчлөлт зэрэгт хяналт тавих ёстой. Манай улсын хувьд Ковид болон Орос-Украйны дайны нөлөө, улс төрчдийн буруу шийдвэр зэргээс хамаарч эдгээр нөлөөллүүд маш хүчтэй илэрч байна.
Технологийн чиг хандлага, инноваци.
Шилдэг технологи эсвэл инноваци нь аюулгүй байдлын хяналтыг ашиггүй болгож эсвэл мэдээллийг хамгаалах шинэ арга замыг бий болгож болзошгүй юм. Аливаа шинэ зүйлсийг дагаж шинэ эрсдэлүүд байнга бий болж байдаг.
Гадаад асуудлуудыг зөв тодорхойлсноор сонирхогч талуудын хэрэгцээ, хүлээлтийг ойлгох 4.2-р заалтыг дагаж мөрдөхөд тань туслах болно. ISO 31000 стандартын өгч буй мэдээллүүд дээр нэмж илүү бүтэцлэгдсэн дүн шинжилгээ хийхийг хүсвэл 7S мэтийн бусад ашиглаж аргачлалуудыг ашиглаж болно.
Гадаад асуудлын хувьд нарийвчилсан дүн шинжилгээ хийхийн тулд байгууллагынхаа улс төр, эдийн засаг, нийгэм, технологийн асуудлуудыг PEST шинжилгээг ашиглан тодорхойлж болно.
Дээр дурдсан асуудлуудыг хэрхэн баримтжуулах вэ?
ISO 27001 нь байгууллагынхаа нөхцөл байдлыг бие даасан баримт бичгээр баримтжуулахыг шаарддаггүй бөгөөд зөвхөн дотоод болон гадаад асуудлын тодорхой хэсгүүдийг баримтжуулсан байх шаардлагатай гэж үздэг. Дотоод асуудлын хувьд мэдээллийн аюулгүй байдлын зорилтууд болон эрсдэлийн үнэлгээний үр дүнгийн хүрээнд холбогдох асуудлуудыг баримтжуулж, ажилтнуудынхаа ур чадварын бүртгэл хөтлөх ёстой. Гадаад асуудлын хувьд хяналтын А.18.1.1-д заасны дагуу холбогдох хууль тогтоомж, хууль тогтоомж, зохицуулалт, гэрээнд заасан шаардлагын жагсаалтыг байлгах шаардлага тавигддаг.
Дээр дурдсан үйл ажиллагаанд ашиглаж болох PEST болон 7S шинжилгээг заавал баримтжуулах шаардлагагүй боловч байгууллага бизнесийн үйл ажиллагаагаа хянах зорилгоор баримтжуулалтыг хийж болно.
Сонирхогч талуудыг тодорхойлох
Байгууллага:
a) Мэдээллийн аюулгүй байдлын менежментийн системтэй хамааралтай сонирхогч талууд,
b) Мэдээллийн аюулгүй байдалтай хамааралтай тэдгээр сонирхогч талын мэдээллийн аюулгүй байдалтай хамааралтай шаардлагыг тус тус тодорхойлно.ТАЙЛБАР: Сонирхогч талын шаардлагад хууль болон зохицуулалтын, гэрээний үүргүүд байж
болно.
Байгууллагын нөхцөл байдалтай холбоотой өөр нэг асуудал ISO 27001 стандартын 4.2-р зүйлтэй холбоотой юм. Энэ бол сонирхогч талуудын хэрэгцээ, хүлээлтийг ойлгох асуудал. Үнэндээ тэдгээрийг тодорхойлох нь тийм ч төвөгтэй биш бөгөөд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог сайжруулах чухал орц болж өгдөг.
Сонирхогч тал гэж юу вэ? Сонирхогч тал гэдэг нь байгууллагын мэдээллийн аюулгүй байдалд нөлөөлж болох этгээд буюу хүн эсвэл байгууллага юм. Эдгээрт байгууллагын ажилчид, ажилчдын гэр бүл, хувьцаа эзэмшигчид/эзэмшигч, төрийн байгууллага/зохицуулагчид, онцгой байдлын алба, үйлчлүүлэгчид, хэвлэл мэдээлэл, ханган нийлүүлэгчид, түншүүд байж болно.
Байгууллагын хувьд сонирхогч талуудаа хэрхэн тодорхойлох вэ? Зөвхөн дээд удирдлагууд, нэгжийн удирдлагуудаасаа тэдний бизнест хэн чухал болохыг асууж, байгууллагын мэдээллийн аюулгүй байдалд нөлөөлөх эсэхийг нь үнэлж болно. Эдгээр сонирхогч талууд яагаад чухал вэ? Сонирхогч талуудын тодорхойлолтыг мэдэж байгаа тул тэдгээрийн ач холбогдлын талаар бодож үзэх хэрэгтэй. Сонирхогч талуудыг тодорхойлох нь тэдний шаардлагыг тодорхойлох хоёр дахь алхам шиг чухал биш байж болно. Яагаад вэ гэвэл бүх сонирхогч талууд танай байгууллагаас юу хүсэж байгааг мэдсэнээр МАБУТ-ны хувьд эдгээр бүх шаардлагыг хэрхэн хангахаа олж мэднэ гэсэн үг.
Жишээлбэл
Хувьцаа эзэмшигчид хөрөнгө оруулалт сайн өгөөжтэй аюулгүй байхыг хүсдэг, үйлчлүүлэгчид тэдэнтэй байгуулсан гэрээн дэх аюулгүй байдлын заалтуудыг дагаж мөрдөхийг хүсэж байна, төрийн байгууллагууд мэдээллийн аюулгүй байдал хууль тогтоомжийг дагаж мөрдөхийг хүсдэг, хэвлэл мэдээллийнхэн байгууллагын үйл явдалтай холбоотой үнэн зөв мэдээ өгдөг байхыг хүсэж байж болно. Хэдийгээр шаардлагууд нь ерөнхий мэт харагдаж байж болох ч байгууллага үүнээс илүү тодорхой байх ёстой. Өөрөөр хэлбэл байгууллага яг ямар хууль тогтоомж, гэрээнд аюулгүй байдлын ямар заалтууд байгаа гэх мэтийг тодорхойлсон байх хэрэгтэй. Эдгээр мэдээллийг цуглуулах хамгийн сайн арга бол шаардлагыг тодорхойлсон баримт бичгүүдийг (хууль тогтоомж, гэрээ гэх мэт) судлах эсвэл тэдний төлөөлөгчтэй уулзаж ярилцлага хийх явдал юм. Энэ бүх мэдээллийг олж авсны дараа байгууллага өөрийн мэдээллийн аюулгүй байдлыг сонирхогч талуудын хүлээлттэй нийцүүлэхийн тулд “тохируулах” шаардлагатай болно. Өөрөөр хэлбэл МАБУТ-ны нарийвчилсан мэдээллийг боловсруулж эхлэхээсээ өмнө шаардлагыг тодорхойлох хэрэгтэй гэсэн үг юм.
Тэгвэл үүнийг хэрхэн хийдэг вэ? Сонирхогч талуудын тодорхойлолт, шаардлагыг ойлгохын зэрэгцээ бүх сонирхогч талуудыг хэн хэн хариуцаж, тэдгээрийн хууль эрх зүй, зохицуулалт, гэрээний болон бусад шаардлага, ашиг сонирхлыг тодорхойлох журмыг бичих нь тэргүүн туршлага байдаг. Энэ төрлийн журам нь мөн энэ мэдээллийг шинэчлэх ажлыг хэн хариуцаж, хэр давтамжтайгаар хийж байгааг тодорхойлох шаардлагатай.
Зохион байгуулалт
Томоохон байгууллагууд ихэвчлэн нийцлийг шалгах хэлтэс эсвэл тусгай ажилтнуудтай байдаг бол зарим байгууллагуудад хуулийн хэлтэс нь энэ чиг үүргийг хэрэгжүүлж байдаг. Ийм боломжгүй бол мэдээллийн аюулгүй байдал хариуцсан ажилтнууд үүнийг хийх хэрэгтэй болно. Шаардлагуудыг тодорхойлсны дараа байгууллага тэдгээрийг дагаж мөрдөх үүрэгтэй хүмүүсийг тодорхойлох хэрэгтэй. Эдгээр үүрэг хариуцлага нь өөр өөр байж болно. Мэдээлэл технологийн нэгж нь техникийн шаардлагыг дагаж мөрдөх, хүний нөөцийн хэлтэс нь нууцлалын мэдэгдэл, мэдээлэл зэргийг хариуцаж болно. Тиймээс санах ёстой зүйл бол бүх сонирхогч талууд болон тэдний шаардлагыг тодорхойлоогүй бол тэдний хүлээлтээс хоцрох эрсдэл учирч болно. Мөн хувьцаа эзэмшигчид эсвэл төрийн байгууллагуудын сэтгэл ханамжгүй байдал нь илүү аюултай байдлыг үүсгэж болох юм.
МАБУТ-ны хамрах хүрээг тодорхойлох
Байгууллага мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хамрах хүрээг тогтоохын тулд хэрэглээ ба хэрэглээний хязгааруудыг тодорхойлно.
Байгууллага МАБМТ-ны цар хүрээг тодорхойлохдоо дараах хүчин зүйлсийг харгалзан үзнэ. Үүнд:
a) 4.1 дүгээр зүйлд хамаарах гадаад болон дотоод хүчин зүйлс;
b) 4.2 дугаар зүйлд хамаарах шаардлага; ба
c) Байгууллагын үйл ажиллагаа ба бусад байгууллагын үйл ажиллагаа хоорондын холбоо, харилцан хамаарал.
Хамрах хүрээ нь баримтжуулсан мэдээлэл байна.
Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны хамрах хүрээг тодорхойлж буй зорилго нь байгууллагын хувьд ямар мэдээллийнхээ аюулгүй байдлаа хангахыг зорьж байгаагаа тодорхойлж байгаа явдал гэж ойлгож болно. Мэдээлэл байгууллагын ажлын байранд эсвэл үүлэн үйлчилгээний аль нэгэнд хадгалагддаг болон тухайн мэдээлэлд байгууллагын дотоод сүлжээнээс эсвэл зайнаас хандалт хийх эсэх нь чухал биш . Гол асуудал нь мэдээлэлд хаанаас, хэн, яаж хандсан ч хамгаалагдсан байх нь үйл ажиллагааны шаардлага байх болно. Байгууллагын ажилтнууд ажлын байрандаа зөөврийн компьютер ашигладаг бол эдгээр зөөврийн компьютерууд хамрах хүрээний гадна байна гэж ойлгож болохгүй. Мөн эдгээр зөөврийн компьютеруудаар дамжуулан ажилтнууд дотоод сүлжээнд байгаа эмзэг чухал мэдээлэл, үйлчилгээнд хандах боломжтой бол тэдгээр зөөврийн компьютерууд таны хамрах хүрээнд зүй ёсоор багтах ёстой.
Нөгөө талаас танай байгууллага мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр дүнтэй байдлаа хөндлөнгийн аудитын байгууллагаар шалгуулж баталгаажуулах үед хамрах хүрээг тодорхойлсон байх нь чухал. Өөрөөр хэлбэл хамрах хүрээнд багтаагүй байгууллагын үйл ажиллагаанд аудит хийгдэхгүй.
ISO 27001 стандартын хамрах хүрээтэй холбоотой шаардлагыг дараах байдлаар харж болно.
Стандартын шаардлагын 4.1-д тодорхойлсон дотоод болон гадаад асуудлуудыг тодорхойлсон байх мөн 4.2-т заасан сонирхогч талууд тэдгээрийн шаардлагуудыг анхаарч үзэх хэрэгтэй.
МАБУТ-ны хамрах хүрээ болон гадаад хэсгийн хоорондын интерфейс ба хамаарлыг авч үзье.
Байгууллагын МАБУТ-ны хамрах хүрээний баримт бичигт байгууллагын байршлын мэдээлэл болон бүтэц зохион байгуулалтыг оруулж өгч болно. Стандартын эдгээрийг зайлшгүй тусгасан байхыг шаарддаггүй боловч аудитын үйл ажиллагаанд илүү ойлгомжтой байдлыг бий болгодог. ISO 27001 стандарт нь МАБУТ-ны хамрах хүрээг баримтжуулсан байхыг шаарддаг. Энэхүү баримтжуулсан мэдээллийг үүсгэхдээ байгууллага мэдээллийн аюулгүй байдлын бодлого эсвэл байгууллагын нөхцөл байдал, сонирхогч талуудын баримт бичгүүдтэйгээ нэгтгэн гаргаж болдог.
Дээр хэлсэнчлэн гол асуулт бол харилцан хамаарлыг хэрхэн тодорхойлох чухал байдаг. Харилцан хамаарлын хувьд интерфэйс болон хамаарлыг хамтад авч үзнэ. Энэхүү асуудлыг график дүрслэлээр тайлбарлавал илүү ойлгомжтой дөхөм байж болох юм. Байгууллага МАБУТ-ны хамрах хүрээндээ багтсан үйл явцуудаа эхлэн зурж, дараа нь хамрах хүрээний гадна байгаа үйл явцуудаа тодорхойлж болно. Энд үйл явцыг авч үзэхдээ зөвхөн аюулгүй байдал эсвэл мэдээллийн технологийн үйл явцаас гадна үндсэн бизнесийн үйл явцыг хэлж байгаа гэдгийг санаарай.
Байгууллагын хувьд хамаарлаа тодорхойлсны дараа интерфэйсүүдийг тодорхойлох хэрэгтэй. Эдгээр нь байгууллагын МАБУТ-ны хил хязгаарыг ойлгох, тэдгээрийг илүү сайн хамгаалахын тулд эдгээр интерфейсээр ямар оролт, гаралт дамжихыг ойлгоход чухал тус болдог. Интерфейсийг тодорхойлох хэд хэдэн арга байдаг бөгөөд эдгээр дурдвал:
Та өөрийн удирдлага, хяналтад байдаг бүх төгсгөлийн цэгүүдийг тодорхойлох хэрэгтэй.
Тухайлбал сүлжээний чиглүүлэгч байж болох бөгөөд энэхүү чиглүүлэгч төхөөрөмжөөс цааших хэсгийг та хянах удирдах боломжгүй байх болно. Бодит орчинд авч үзвэл танай байгууллагын ажлын өрөөний интерфейс нь орох хаалганууд байж болно.
Илүү нарийвчилсан дээд түвшний арга бол хүмүүс, үйл явц, технологи гэсэн гурван хүчин зүйлээр дамжуулан интерфейсийн шинж чанарыг тодорхойлох юм. Дээрх зурагт үзүүлсэн жишээн дээр А компаний хүмүүс програм хангамжийн бүх хэрэглэгчид байхад мэдээллийн технологийн компанид програм хангамжийн хөгжүүлэлт, засвар үйлчилгээ хийдэг гол програм хангамж хөгжүүлэгч байх болно. Дэмжлэг үзүүлэх үйл явцууд нь програм хангамжийн алдаатай холбоотой асуудлуудыг шийдвэрлэх, шинэ програм хангамжийн функцуудыг хөгжүүлэх байх бол технологи нь Help desk application, email, VPN, FTP гэх мэт байж болно.
МАБУТ-ны хамрах хүрээний талаарх буруу ойлголтууд нэлээд байдаг бөгөөд хамрах хүрээг тодорхойлохдоо дараах асуудлуудад болгоомжтой хандах хэрэгтэй.
Хамрах хүрээ бага байна гэдэг нь илүү хялбар байх болно гэсэн үг биш юм. Танай байгууллагын зарим хэсгийг хамрах хүрээнээс нь хасвал тэдгээрийг “гадны этгээд” гэж үзээд тэдний хамрах хүрээний мэдээлэлд хандах эрхийг хязгаарлах ёстой бөгөөд энэ нь анх төсөөлж байснаас илүү асуудал үүсгэж болзошгүй юм. Хамрах хүрээг хязгаарлах нь ихэвчлэн том хэмжээний байгууллагын хувьд боломжтой байдаг ч жижиг байгууллагуудын хувьд боломжгүй байдаг.
Хяналтыг хасах нь МАБУТ-ны хамрах хүрээтэй ямар ч холбоогүй байдаг. Танай байгууллага “бид А, B, С хяналтуудыг шаардлагагүй гэж үзсэн тул хамрах хүрээнээс хасна” гэж бодож болохгүй. Танай байгууллагын хувьд эдгээр хяналтыг хэрэгжүүлэх шаардлага байхгүй тохиолдолд хяналтыг хасаж болно. Өөрөөр хэлбэл, эрсдэл / шаардлага байгаа бол холбогдох хяналтыг орхигдуулж болохгүй гэсэн үг.
МАБУТ-ны хамрах хүрээг тодорхойлохын ашиг тус нь юу вэ гэдгийг сайн ойлгох хэрэгтэй.
Хамрах хүрээг тодорхойлох нь төвөгтэй ажил мэт санагдаж болох ч байгууллага энэхүү үйл явцыг даван туулсны дараа түүний хэр чухал болохыг харж чадна. Ингэснээр байгууллага үйл ажиллагаа явуулж буй орчноо илүү сайн ойлгож, аюулгүй байдлын ямар шаардлагыг биелүүлэх ёстойгоо ойлгох илүү сайн ойлгох болно. Чухал эмзэг мэдээлэлдээ илүү сайн анхаарлаа төвлөрүүлж чадна гэсэн үг. Ийм ч учраас байгууллага баримт бичгүүдээ боловсруулж эхлэхээсээ өмнө МАБУТ-ны хамрах хүрээгээ тодорхойлж баримтжуулах хэрэгтэй байдаг.
Байгууллагуудын хувьд МАБУТ-ны хамрах хүрээг тодорхойлох нь тийм ч хүндрэлтэй асуудал биш боловч зарим нэг тодорхой бус асуудлуудтай нүүр тулах элбэг байдаг. Тухайлбал байгууллагууд хамрах хүрээгээ хумих замаар төслийн зардлаа хэмнэнэ гэж үзвэл энэ нь хэрэгжүүлэлтийн үйл ажиллагаанд хүндрэл авчирч болно. Гэхдээ гол асуудал хаана үүсэж болох вэ? Хэрвээ МАБУТ-ны хамрах хүрээндээ байгууллагынхаа зарим нэг нэгжүүдийг оруулалгүй хассан бол тухайн хасагдсан нэгжүүд нь харилцагч, түншүүд, ханган нийлүүлэгчид адил гадаад орчин болж хувирна. Асуудал хүндэрч мэдэхээр төсөөлөгдөж байгаа биз. Илүү тодорхой болгох үүднээс байгууллагын МАБУТ-ны хамрах хүрээнд мэдээлэл технологийн нэгжүүд багтдаг гэж үзье. Тэгвэл мэдээлэл технологийн нэгжүүд нь үйл ажиллагааны бусад нэгжүүдтэй хамтран ажиллахдаа стандартын шаардлагын дагуу зарим нэг нэмэлт үйл ажиллагаануудыг шаардаж болох юм. Жишээлбэл, үйлчилгээний гэрээ байгуулах, үзүүлж буй үйлчилгээнд нь үнэлгээ хийх гэх мэт.
Ингэж байгууллагын нэгжүүд өөр хоорондоо өөр хэлээр ярьж эхэлбэл үйл ажиллагаанд зөрчил үүсэх, зарим талаар зардал нэмэгдүүлэх, харилцаанд ч мөн асуудал үүсгэх нь лавтай. МАБУТ-ны хамрах хүрээнд байгууллагынхаа бүх нэгжүүдийг хамруулахгүй байх нь дээрх үйл ажиллагааны асуудлуудаас гадна мэдээллийн аюулгүй байдлыг алдагдуулах эрсдэлүүдийг удирдаж чадахгүй байдлыг үүсгэнэ гэдгийг санах хэрэгтэй. Цаашилбал хамрах хүрээнд орсон нэгжийн ажилтан, хамрах хүрээнд ороогүй нэгжийн ажилтнууд нэг өрөөнд мөр зэрэгцэн сууж, нэг сүлжээнд холбогдон, мэдээллээ хуваалцан ажилладаг бол хамрах хүрээний талаар ярилцах шаардлагагүй болно. Энэ бүхнээс харвал байгууллага нь тогтолцооны хамрах хүрээгээ тодорхойлохдоо аль болох байгууллагынхаа үйл ажиллагааг бүхэлд хамруулахыг хичээж илүү зардал, үйл ажиллагааны бэрхшээл зэрэг асуудлаас зайлсхийх нь зүйтэй. Байгууллагын тань нөхцөл байдал тогтолцооны хамрах хүрээг нарийсгах зайлшгүй шаардлага байгаа бол тэдгээрийг бие даасан, тусгаарлагдсан байдлыг хангаж гэрээний зохицуулалт үйл ажиллагааны хараат бус байдлуудаар шийдвэрлэхийг хичээх хэрэгтэй.
Хамрах хүрээний жишиг
МАБУТ-ны хамрах хүрээг тодорхойлох үйл явцын үед үүлэн технологид суурилсан бүтээгдэхүүн, үйлчилгээтэй байгууллагуудын хувьд зарим тодорхой бус асуудлууд гардаг. Дараах хүснэгтэд ийм төрлийн байгууллагууд хамрах хүрээгээ тодорхойлохдоо анхаарах мэдээллийг орууллаа.
| Үүлэн шийдэл | Тайлбар | МАБУТ-ны хамрах хүрээнд нөлөөлөх байдал |
| Байгууллага өөрийн өгөгдлийн төв дээрээ серверүүдээ (бодит болон виртуал) байрлуулсан. | Энэ нь байгууллагын өөрийн мэдээллийн технологийн дэд бүтцийг бие даан хариуцаж буй хувийн үүлэн шийдэл бөгөөд энэ тохиолдолд МАБУТ-ны хамрах хүрээнд бүх хөрөнгөнүүд багтана. | Өгөгдлийн төвийн бүх төрлийн програм хангамж, төхөөрөмж, өгөгдлүүд бүгд хамрах хүрээнд багтана. |
| Байгууллага өөрийн серверүүдээ (бодит болон виртуал) гуравдагч талын дэд бүтэц дээр байрлуулсан. | Гуравдагч тал дэд бүтцэд хамаарах үйлчилгээг үзүүлэх бөгөөд байгууллага өөрийн серверүүдээ удирдана. Энэ нь хувийн үүлэн шийдлээс нийтийн үүлэн шийдэлд шилжиж буй хэлбэр юм. | Төхөөрөмж, програм хангамж, өгөгдөл нь хамрах хүрээнд багтах бөгөөд дэд бүтэц агуулсан бодит орчин нь хамрах хүрээнд орохгүй. |
| Байгууллага нийтийн IaaS төрлийн үүлэн технологи ашиглан виртуал серверүүдээ байршуулсан. | Байгууллагын хувьд бүр төрлийн дэд бүтцээ гуравдагч талаас хангуулна. | Програм хангамж болон өгөгдөл нь хамрах хүрээнд багтана. Харин бодит орчин болон төхөөрөмжүүд хамрах хүрээнд орохгүй. |
| Байгууллага гуравдагч талын платформуудыг нийтийн PaaS байдлаар ашигласан. | Виртуал серверүүд болон зарим програм хангамжуудыг гуравдагч талаас хангана. | Байгууллага гуравдагч талын PaaS ашиглаж байвал өгөгдөл ба бүх хэрэглээний програм хангамжууд хамрах хүрээнд багтах бөгөөд бусад систем програм хангамж мэт зүйлүүд нь хамрах хүрээнд орохгүй. |
| Байгууллага гуравдагч талын нийтийн SaaS шийдлийг ашигласан. | Виртуал серверүүд болон бүр хэрэглээний програмуудыг гуравдагч тал хариуцна. | Байгууллага нийтийн SaaS ашиглах үед зөвхөн өгөгдөл хамрах хүрээнд багтана. |