ISO 27001: Төлөвлөлт

6.1 Эрсдэл, боломжийг шийдвэрлэх арга хэмжээ

6.1.1 Ерөнхий

Мэдээллийн аюулгүй байдлын менежментийн тогтолцоог төлөвлөхдөө байгууллага 4.1 дүгээр зүйлд заасан хүчин зүйлсийг болон 4.2 дугаар зүйлийн шаардлагыг анхаарч, дараах зорилгуудын улмаас шийдэх шаардлагатай эрсдэл ба боломжийг тодорхойлно. Үүнд:
a) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зорилтот үр дүнд хүрч байгаа эсэхийг нягтлах,
b) Хүсээгүй үр дүнгээс сэргийлэх, нөлөөг бууруулах, ба
c) Тасралтгүй сайжруулах.
Байгууллага:
d) Эрсдэл ба боломжид чиглэсэн арга хэмжээ,
e) хэрхэн
1) Тэдгээр арга хэмжээг мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үйл явцад нэгтгэн, хэрэгжүүлэх,
2) Тэдгээр арга хэмжээний үр нөлөөг үнэлэхээ төлөвлөнө.

Мэдээллийн системтэй холбоотой эрсдэлийн тухай

Удирдлагын тогтолцооны стандартуудад эрсдэлийг “Зорилгод нөлөөлөх тодорхойгүй байдал” гэж тодорхойлдог бөгөөд үүнийг нөлөөлөл нь эерэг эсвэл сөрөг үр дагавар учруулах аливаа үйл явдал гэж ойлгож болно. Эрсдэл нь болзошгүй үйл явдлын үр дагавар, тохиох магадлалын хослолоор илэрхийлэгддэг. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны хүрээнд мэдээллийн аюулгүй байдлын эрсдэлийг мэдээллийн аюулгүй байдлын зорилтод нөлөөлөх тодорхойгүй байдал гэж илэрхийлж болно. Мэдээллийн аюулгүй байдлын эрсдэл нь мэдээллийн хөрөнгө эсвэл мэдээллийн дэд бүтцийн эмзэг сул талыг ашиглаж байгууллагын үйл ажиллагааг саатуулах, үйл явцыг доголдуулах, хор хохирол учруулах асуудлуудыг хамаарна. Нөгөө талаас мэдээллийн аюулгүй байдлын үндсэн ойлголтууд болох мэдээллийн хөрөнгийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг алдагдуулах нөхцөл байдлыг хамааруулан ойлгох нь зүйтэй.

Эрсдэлийг бид зөвхөн одоо болон ирээдүй цаг дээр тодорхойлох бөгөөд тэдгээрт хамаарах олон төрлөөр ангилан авч үздэг. Үүний нэг төрөл нь үйл ажиллагааны эрсдэлийн бүлэгт хамаарах мэдээллийн технологийн аюулгүй байдлын эрсдэлийн удирдлага бөгөөд мэдээллийн системийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг алдагдуулахад хүргэж болзошгүй хүчин зүйлсийг тодорхойлж, үнэлж, хариу арга хэмжээ авах үйл явц юм.

Аюул занал

ISO 27001 стандартын агуулгын хүрээнд аюул заналыг “систем эсвэл байгууллагад хохирол учруулж болзошгүй хүсээгүй зөрчлийн боломжит шалтгаан” гэж тодорхойлдог. Мөн “тодорхой эмзэг байдлыг ашиглан хэрэгжих боломжит аюул”, аюул нь “эмзэг байдлыг ашиглан хэрэгжих хор хохирол учруулах үйл явдал” гэж тус тус тодорхойлж болно. Аюул өөрөө үйлдэл биш бөгөөд тодорхой эмзэг байдал, аюулын эх үүсвэртэй нь хослуулан авч үзэх зохимжтой. Эндээс харвал эрсдэлийг үнэлэх болон түүнийг удирдах үйл ажиллагааны чухал ялгааг харж болно. Дээрх нөхцөлөөс харвал аюул нь өөр өөр эмзэг байдалтай уялдсанаар өөр өөр байдлаар эрсдэлийн үнэлгээ болон эрсдэлийн удирдлагад нөлөөлдөг. Ихэнхдээ аюулын эх үүсвэрийг харж учирч болзошгүй аюулыг тодорхойлох нь дүнтэй.

Эмзэг байдал

ISO 27001 нь эмзэг байдлыг “нэг буюу хэд хэдэн аюулаар ашиглаж болох хөрөнгийн эсвэл хяналтын сул тал” гэж тодорхойлдог. Түүнчлэн системийн аюулгүй байдлын цоорхой, бодлого журмын зохицуулалтгүй байдал, төлөвлөлт, ажилтнуудын сургагдаагүй байдал, мэдлэг ойлголтгүй байх, хэрэгжилт, хяналтын дутагдал, алдаа зэргийг ч мөн эмзэг байдалд хамааруулна. Дээрхээс харвал, эмзэг байдал нь зөвхөн системийн сул тал биш бөгөөд илүү өргөн хүрээг хамарсан ойлголтыг гэдгийг харж болно. Мэдээллийн аюулгүй байдлын талаас харвал техникийн хамгаалалтын сул талаас гадна зохицуулалтын баримт бичгүүд, үйл ажиллагааны бүртгэл, үйл явцын хяналт гэх мэт олон эмзэг асуудлуудыг хөрөнгийн мөн чанарт нь нийцүүлэн авч үздэг.

Эрсдэлийг хэрхэн үнэлдэг вэ?

Байгууллагын эрсдэлийн удирдлага нь байгууллагын алсын хараа, эрхэм зорилго, стратегид нийцүүлсэн эмзэг чухал хөрөнгийг хамгаалах явдал системчлэгдсэн үйл явц юм. Тиймээс эрсдэлийн удирдлага нь техникийн чиг үүрэг гэхээсээ илүү удирдлагын чиг үүрэг байдаг. Мэдээж системийн эрсдэлийг удирдах нь чухал. Эрсдэлийг ойлгох, ялангуяа системд учирч болох тодорхой эрсдэлийг ойлгох нь системийн эзэмшигчид мэдээллийн системийг байгууллагын үнэ цэнэд нийцүүлэн хамгаалах боломжийг олгодог. Бодит байдалд байгууллагууд хязгаарлагдмал нөөц байдаг тул эрсдэлийг хэзээ ч тэг түвшинд барих боломжгүй. Тиймээс ялангуяа эрсдэлийн цар хүрээг ойлгох нь байгууллагуудад хомс нөөцийг хэрхэн үр дүнтэй, зохистойгоор ашиглахын тулд тэдгээрийг эрэмбэлэх шаардлагыг бий болгодог. Эрсдэлийг аюул, эмзэг байдлыг тодорхойлж, эрсдэл тус бүрийн магадлал, нөлөөллийг тодорхойлох замаар үнэлдэг. Шууд харвал энэ нь тийм ч хэцүү ажил биш бололтой. Харамсалтай нь эрсдэлийн үнэлгээ нь ихэвчлэн төгс бус мэдээлэл дээр суурилдаг учраас нарийн төвөгтэй ажил бол хувирдаг. Эрсдэлийн үнэлгээг үр дүнтэй хэрэгжүүлэхэд олон янзын арга зүй байдаг.

Эрсдэлийн тоон үнэлгээний арга

Эрсдлийн тоон үнэлгээ нь санхүүгийн байгууллага болон даатгалын компаниудад түгээмэл ашиглагддаг. Математикийн тооцооллын хувьд тоон үнэлгээг Annualized Loss Expectancy (ALE) буюу жилийн хүлээх алдагдал гэсэн нэр томьёогоор илэрхийлдэг. Энэ хэмжигдэхүүн нь нэг жилийн хугацаанд эрсдэлийн улмаас хөрөнгийн хувьд хүлээж буй санхүүгийн мөнгөн алдагдал юм. Үүнийг дараах томьёог ашиглан тооцоолдог. Энд SLE (Single Loss Expectancy) буюу нэг удаагийн хүлээх алдагдал гэсэн алдагдлын нөлөө болох хэмжигдэхүүнийг ARO (Annualized Rate of Occurrency) буюу жилийн тохиолдлын хэмжээний утгаар үржиж тооцоолно. ARO нь алдагдал хэр их тохиолдохыг илэрхийлэх магадлал юм.

ALE = SLE * ARO

Эрсдэлийн тоон үнэлгээг ашиглах нь энгийн боловч мэдээллийн системд энэ аргыг ашиглахад асуудал гардаг. Системийн өртгийг тодорхойлоход хялбар байж болох ч мэдээллийн үнэ цэнэ, алдагдсан үйлдвэрлэлийн үйл ажиллагаа, нөхөн сэргээх зардал гэх мэт шууд бус зардлыг тодорхойлох нь амаргүй. Мэдээллийн аюулгүй байдлын нэг жишээг дурдвал халдлага үйлдэгч хэн нэгэн нягтлан бодох бүртгэлийн систем дэх хэрэглэгчийн данс уруу нэвтрэхийн тулд нийгмийн инженерчлэлийг ашиглах магадлалыг хэрхэн тодорхойлох вэ? Иймээс мэдээллийн системийн эрсдэлийн тоон үнэлгээнд алдааны зөрүү их байдаг. Даатгалын болон санхүүгийн байгууллагууд эрсдэлийн тоон үнэлгээ нь утга учиртай, давтагдах боломжтой, тодорхой байдаг тул ийм статистик мэдээллийг маш сайн ашигладаг. Хөрөнгийн үнэ цэнийг тодорхойлох хүндрэлтэй байдаг болон давтамжийг тодорхойлох боломжтой статистик мэдээлэл дутмаг гэсэн шалтгаанаар эрсдэлийн тоон үнэлгээний аргыг мэдээллийн систем, мэдээллийн аюулгүй байдлыг эрсдэлийн үнэлгээнд төдийлөн ашигладаггүй. Өөрөөр хэлбэл мэдээллийн системд ашиглагдаж буй эрсдэлийн үнэлгээний хэрэгслүүдийн ихэнх нь чанарын үнэлгээний аргыг ашигладаг гэсэн үг.

Эрсдэлийн чанарын үнэлгээний арга

Чанарын үнэлгээ нь магадлал, нөлөөллийн утгыг маш их тодорхойгүй болгодог гэж үздэг бөгөөд эрсдэлийг зарим талаараа субъектив шинж чанартай болгодог гэж үздэг. Эрсдэлийн тоон үнэлгээний асуудлуудтай адил эрсдэлийн чанарын үнэлгээний аргын хувьд томоохон бэрхшээл бол магадлал, нөлөөллийн утгыг тодорхойлох явдал юм. Түүнчлэн эрсдэлийн үнэлгээнд ижил хэмжүүрийг ашиглах шаардлагыг бий болгодог. Чанарын үнэлгээ нь ихэвчлэн “Их”, “Дунд”, “Бага” гэсэн эрсдэлийн түвшинд хувааж холбогдох утгуудыг тооцоолдог.

Эрсдэлийн удирдлага гэж юу вэ, яагаад чухал вэ?

ISO 27001 стандартын хэрэгжилтийн хамгийн төвөгтэй хэсэг нь эрсдэлийн удирдлага байж болох юм. Эрсдэлийн удирдлага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны хэрэгжүүлэлтийн төслийн эхлэлийн хамгийн чухал хэсэг бөгөөд байгууллагын мэдээллийн аюулгүй байдлын үндэс суурь болдог. Эрсдэлийг үнэлэх, эрсдэлийг бууруулах нь эрсдэлийн үнэлгээний үндсэн ойлголтууд юм. Байгууллага мэдээллийн аюулгүй байдлын эрсдэлийг магадлал, нөлөөллийн хослолоор тодорхойлно. Товчхондоо, байгууллага нь тэдний мэдээлэлтэй холбоотой гарч болзошгүй асуудлууд, тэдгээр нь хэр зэрэг гарч болох, ямар үр дагаварт хүргэж болохыг ойлгож мэдэх шаардлагатай. Эрсдэлийг бууруулах үйл ажиллагааны зорилго нь болзошгүй асуудлаас зайлсхийхийн тулд аюулгүй байдлын ямар хяналт хэрэгжүүлэх шаардлагатайг тодорхойлж хэрэгжүүлэх явдал юм. Хяналтыг сонгох нь эрсдэлийг бууруулах үйл явцад хамаарах бөгөөд ISO 27001 стандартын Хавсралт А-аас сонгох мөн нэмэлтээр бусад хяналтыг сонгож болдог.

ISO 27001 эрсдэлийг үнэлэх, бууруулах үндсэн алхмууд:
– Эрсдэлийн удирдлагын аргачлал
– Эрсдэлийн үнэлгээ
– Эрсдэлийг бууруулах үйл ажиллагаа
– Эрсдэлийн үнэлгээ, бууруулах үйл ажиллагааны тайлан
– Нийцлийн тунхаг
– Эрсдэлийг бууруулах төлөвлөгөө

ISO 27001 эрсдэлийг үнэлэх болон бууруулах үйл явцыг дараах алхамаар хэрэгжүүлж болно.

1) ISO 27001 эрсдэлийн үнэлэх, бууруулах аргачлал

ISO 27001 стандартын дагуу эрсдэлийн удирдлагыг хэрэгжүүлэх эхний алхам юм. Эрсдэлийн удирдлагыг хэрхэн хэрэгжүүлэх дүрмээ тодорхойлох нь байгууллагын хэмжээнд нэг хэлээр эрсдэлээ удирдах асуудал юм. Өөрөөр хэлбэл байгууллагын өөр өөр нэгжүүд өөр өөр аргаар гүйцэтгэхгүй байхаа тодорхойлж байгаа гэсэн үг.

2) Эрсдэлийн үнэлгээний хэрэгжилт

Эрсдэлийг үнэлэх, бууруулах дүрмээ тохирсны дараа ямар асуудал тохиолдож болохыг тодорхойлох боломжтой. Байгууллагын бүх төрлийн хөрөнгө тэдгээр хөрөнгөтэй холбоотой аюул, эмзэг байдлыг тодорхойлж тэдгээрийн нөлөөлөл, магадлалыг үнэлнэ. Нөлөөлөл, магадлалд үндэслэн эрсдэлийн түвшинг тооцоолно. Байгууллагууд учирч болох эрсдэлийнхээ ойролцоогоор 30 хувийг л мэддэг гэсэн үг байдаг.

3) Эрсдэлийг бууруулах үйл ажиллагаа

Байгууллагын хувьд үйл ажиллагааг тасалдуулах, саатуулах “хүлээн зөвшөөрөх боломжгүй эрсдэл” гэж нэрлэгддэг эрсдэлд анхаарлаа хандуулах хэрэгтэй. ISO 27001 стандартад эрсдэлийг бууруулахдаа хүлээн зөвшөөрөгдөөгүй эрсдэл бүрийг даван туулах дөрвөн стратегийн сонголт байдаг бөгөөд тэдгээрээс сонгон авч хэрэгжүүлнэ.

4) Эрсдэлийн үнэлгээ ба эрсдэлийг бууруулах үйл ажиллагааны тайлан

Эрсдэлийг үнэлэх, бууруулах үйл явцыг дүгнэн тайлан бэлтгэж баримтжуулах шаардлагатай. Энэхүү тайлан нь зөвхөн хөндлөнгийн аудиторуудад зориулагдсан мэдээлэл биш бөгөөд байгууллага өөрийн эрсдэлийг бодитоор харж, үйл ажиллагаагаа уялдуулан зохион байгуулахад туслах баримт бичиг юм.

5) Нийцлийн тунхаг

Энэхүү баримт бичиг нь байгууллагын аюулгүй байдлын профайлыг харуулж буй мэдээлэл юм. ISO 27001 стандартын эрсдэлийг бууруулах үйл ажиллагааны үр дүнд үндэслэн байгууллагын хэмжээнд хэрэгжүүлсэн бүх хяналтуудаа, яагаад хэрэгжүүлсэн, хэрхэн хэрэгжүүлсэн талаар жагсаалт гаргана. Энэхүү баримт бичиг нь маш чухал бөгөөд баталгаажуулалтын аудитор үүнийг аудитын үндсэн удирдамж болгон ашиглах болно.

6) Эрсдэлийг бууруулах төлөвлөгөө

Энэ хэсэг бол онолоос практик уруу шилжих алхам юм. Өөрөөр хэлбэл энэ хүртэл эрсдэлийн удирдлагын ажил бүхэлдээ онолын шинж чанартай байсан бол одоо тодорхой үр дүнг харуулах хэсэг рүү шилжиж байна гэсэн үг. Эрсдэлийг бууруулах төлөвлөгөөний зорилго нь хяналт бүрийг яг хэн, ямар хугацаанд, ямар төсвөөр хэрэгжүүлэхийг тодорхойлж буй хэрэг юм.

Мэдээллийн аюулгүй байдлаа хэрхэн тохируулахаа мэдэхгүй байснаас эхлээд хэрэгжүүлэх ёстой зүйлийнхээ талаар маш тодорхой дүр зурагтай болох хүртэлх замаа үүгээр эхлүүллээ. Хамгийн гол нь ISO 27001 нь энэхүү үйл явцыг системтэй хийхийг шаарддаг гэдгийг санаарай.

Эрсдэлийн үнэлгээний аргачлал

ISO 27001 эрсдэлийн үнэлгээний аргачлал болон үйл явцыг дутуу эсвэл буруу тодорхойлсон тохиолдолд эрсдэлийн үнэлгээ, эрсдэлийг бууруулах үйл ажиллагааг үр дүнгүй болгож мэдэх юм.
ISO 27001 стандарт нь эрсдэлийн үнэлгээний бүх үйл явцыг баримтжуулахыг шаарддаг бөгөөд байгууллагуудын хувьд үүнийг ихэвчлэн эрсдэлийн үнэлгээний аргачлал гэж нэрлэгддэг баримт бичгийг боловсруулах замаар хэрэгжүүлдэг. Хэрвээ байгууллага эрсдэлийн үнэлгээний аргачлалгүйгээр буюу тодорхой дүрэмгүйгээр мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлж эхэлбэл энэ нь томоохон алдаанд хүргэх болно.

Стандартын шаардлагын хувьд дараах үйл ажиллагаануудыг шаарддаг.

• Байгууллагын бизнесийн үйл ажиллагаанд мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал алдагдах эрсдэлүүдийг тодорхойлох;
• Эрсдэлийн эзнийг тодорхойлох;
• Нөлөөлөл болон тохиох магадлалыг үнэлэх;
• Эрсдэлийг тооцоолох;
• Хүлээж авах шалгуурыг тодорхойлох;

Эрсдэлийг тодорхойлох үйл ажиллагааг олон янзын ялгаатай арга замаар хэрэгжүүлж болдог. Байгууллагын үйл явц, аюул, нэгжийн үйл ажиллагаануудад зохицуулан арга замуудыг сонгож болно. Түгээмэл ашиглагддаг нэг арга зам бол хөрөнгө-аюул-эмзэг байдлыг тодорхойлох явдал байдаг.
Эрсдэлийн эзэн бол эрсдэлийг шийдвэрлэх үүрэг хариуцлага хүлээсэн тухайн байгууллагад ямар нэгэн зүйл хийх хангалттай эрх мэдэлтэй албан тушаалтан байх ёстой. Эрсдэлийн нөлөөлөл, магадлалыг тодорхойлохдоо эрсдэл тус бүрийн нөлөөлөл, магадлалыг тус тусад нь Бага-Дунд-Өндөр гэж үнэлэх бөгөөд эдгээрийг хэмжихдээ 1-3, 1-5 эсвэл 1-10 хүртэл хэмжээсийг байгууллагадаа тохирсон байхаар сонгон авч хэрэгжүүлж болно. Эрсдэлийг тооцоолох томьёолол тун энгийн бөгөөд эрсдэлийн нөлөөлөл, магадлалын утгуудыг үржиж олж болно.

Эрсдэлийг хүлээж авах шалгуур

Байгууллагын эрсдэлийг тооцоолох арга нь 1-3 бол эрсдэлийн зөвшөөрөгдөх түвшинг жишээ нь 3 гэж тогтоож болно. Ингэснээр 4 дээш үнэлэгдсэн эрсдэлийг бууруулах шаардлагатай гэсэн үг юм. Туршлагатай ажилтны хувьд эрсдэл тус бүрийг шалгаж, урьдчилан тодорхойлсон утгыг ашиглахгүйгээр ойлголт, туршлага дээр үндэслэн ямар төрлийн эрсдэлүүдийг бууруулах болон алийг нь хүлээн авахаа шийдэж болно.

Аюулыг тодорхойлох

Дээр дурдсанчлан аюулын эх үүсвэр ба аюул хоёрыг нь хамтад нь авч үзэх хэрэгтэй. Эрсдэлийн үнэлгээг үр дүнтэй хийхийн тулд аюулын эх үүсвэрийг агуулсан байх ёстой. Нийтлэг аюулын эх сурвалжуудыг дараах байдлаар тодорхойлсон байдаг.

• Байгалийн гамшиг – үер, газар хөдлөлт, шуурга
• Хүний хүчин зүйлээс хамаарах аюул – санамсаргүй алдаа, санаатай үйлдэл (сүлжээнд суурилсан халдлага, вирусын халдвар, зөвшөөрөлгүй хандалт) зэрэг
• Хүрээлэн буй орчны аюул – цахилгааны тасалдал, бохирдол, химийн бодис, өвчин, гэмтэл

Байгууллагын үндсэн үйл ажиллагааг сайтар ойлгож мэдсэн ажилтнууд аюулыг тодорхойлоход гол үүрэг гүйцэтгэдэг. Аюулын жагсаалтыг байгууллагын үйл явц, бүтэц, зохион байгуулалт, мэдээллийн системийн талаар мэддэг хүмүүсийн оролцоотойгоор гаргах нь илүү үр дүнтэй байх болно.
Байгууллагад тохиолдож болох аюулын жагсаалтыг гаргаж түүнд суурилсан эрсдэлийн удирдлагын үйл ажиллагааг хэрэгжүүлэх шаардлагатай. Зарим нэг аюулыг жишээ болгон орууллаа.

• Сүлжээнд зөвшөөрөлгүй нэвтрэх
• Гуравдагч этгээдийн мэдээлэл, мэдээллийн системийн буруу ашиглалт
• Хандалтын эрхийн зохисгүй ашиглалт
• Тагнуул
• Программын алдаа
• Бохирдол
• Програм хангамжийн зөвшөөрөлгүй хэрэглээ
• Гал
• Зөвшөөрөлгүй бодит хандалт 
• Гуравдагч этгээдээс үүдсэн гэмтэл
• Аудитын хэрэгслүүдийг буруугаар ашиглах
• Системийн арчилгаанд алдаа гарах
• Үйлдлийн систем гэмтэх
• Төхөөрөмжид зөвшөөрөлгүй хандах
• Хууль зөрчих
• Төхөөрөмж алдагдах/гэмтэх
• Террорист халдлага
• Цахилгаан тасрах
• Зохиогчийн эрх зөрчих 
• Программ хангамжид зөвшөөрөлгүй нэвтрэх
• Мэдээллийн системийг буруугаар ашиглах
• Зөвшөөрөгдөөгүй програм суулгах

Эдгээрийг аюулын бүлгүүдэд ангилж, аюулыг хэрэгжүүлэх субъектүүдтэй хослуулан эрсдэлийн үнэлгээг авч үзэх хэрэгтэй. Аюулыг хэрэгжүүлэх субъектийн туршлага, чадамж болон эмзэг байдлаас хамаарч халдлагын аюулууд илүү богино хугацаанд бодитой эрсдэлийг учруулах боломжтойг анхаарч үзэх хэрэгтэй.

Эмзэг байдлыг тодорхойлох

Эмзэг байдлыг олон янзын аргаар тодорхойлж болно. Эрсдэлийн удирдлагын янз бүрийн схемүүд нь эмзэг байдлыг тодорхойлох өөр өөр арга зүйг санал болгодог. Ерөнхийдөө нийтлэг байдаг арга нь эмзэг байдлын жагсаалт эсвэл хяналтын хэсгүүдийг тодорхойлсон байдаг. Хөрөнгийн эзэмшигчид болон байгууллагын талаар мэдлэгтэй ажилтнууд хамтран эмзэг байдлыг тодорхойлох нь үр дүнтэй байдаг. Мэдээллийн системийн эмзэг байдлын мэдээллийг орчин цагт олон эх сурвалжуудаас хүлээн авч болдог болсон. Эмзэг байдлын мэдээллийн сангууд, архив, үйлдвэрлэгчид, мэргэжлийн вэб хуудаснуудаас системийн болон техникийн эмзэг байдлын мэдээллүүдийг авч болно. Түүнчлэн байгууллагын өмнөх эрсдэлийн үнэлгээ, аудитын тайлангууд ч мөн энэ төрлийн мэдээллийг агуулж байдаг. Өөр нэг хувилбар бол хяналтын үр нөлөөний үнэлгээнээс эмзэг байдлын мэдээллийг авч болно.

• Мэдээллийн системийн эмзэг байдлыг шалгах хэрэгслүүдээр үйлдлийн систем, сүлжээний програм эсвэл кодыг системийн алдааг мэдээллийн сантай харьцуулах замаар мэдэгдэж байгаа алдааг шалгах боломжтой.
• Нэвтрэх тест хийх замаар системийн эмзэг байдал түүний хэрэглэгчийн эмзэг байдлыг тодорхойлж болно. Үүнд нийгмийн инженерчлэл гэх мэт үйл ажиллагааны эмзэг байдал орно.
• Үйл ажиллагааны болон удирдлагын тогтолцооны аудитыг зохион байгуулах замаар одоогийн нөхцөл байдлыг стандартын шаардлагуудтай харьцуулж, тэргүүн туршлагыг одоогийн баримтжуулсан үйл явцтай харьцуулж эмзэг байдлыг тодорхойлж болно.

Байгууллагад эрсдэлийн үнэлгээ хийх бүр байнга авч үздэг эмзэг байдлын үндсэн жагсаалт байх нь маш чухал. Үүнийг ашигласнаар эрсдэлийн үнэлгээний хооронд хамгийн бага зөрүү гаргаж нийцтэй байдлыг илүү сайн баталгаажуулдаг. Түүнчлэн системийн өмнөх үнэлгээний явцад илэрсэн эмзэг байдлыг ирээдүйн бүх үнэлгээнд тусгах ёстой. Үүнийг хийснээр өнгөрсөн эрсдэлийн удирдлагын үйл ажиллагаа үр дүнтэй байсныг удирдлага ойлгох боломжийг олгодог. Зарим түгээмэл байдаг эмзэг байдлыг жагсаалтыг доор харууллаа.

• Ажилчдын удирдлага зохион байгуулалтын хангалтгүй байдал
• Ажлаас гарах үеийн хяналтын зохицуулалтын хангалтгүй байдал
• Аудитын системүүдийн ашиглалтын хяналт хангалтгүй
• Аюулгүй байдлын системийн ашиглалтын хяналт хангалтгүй
• Сургалтын хангалтгүй байдал
• Нэвтрэх зохицуулалтын хангалтгүй байдал
• Баримт бичгийн хадгалалт хамгаалалт хангалтгүй 
• Баримт бичгийн дутагдалтай байдал
• Бодит аюулгүй байдлын хяналтын системүүдийн үйл ажиллагаанд тавих хяналт сул
• Тестийн болон бодит орчны тусгаарлалт хангалтгүй
• Бодит орчны хамгаалалтын бүсчлэл тодорхойлогдоогүй
• Боловсруулсан өгөгдлийн хяналт, шалгалтын дутагдалтай байдал
• Бүртгэлийн хадгалалт, хамгаалалт, ашиглалтын хангалтгүй байдал
• Бэлэн нөөцийн дутагдалтай байдал

Аюул ба эмзэг байдлын хамаарал

Магадгүй эрсдэлийн удирдлагын үйл явцын хамгийн хэцүү үйл ажиллагааны нэг бол аюул болон эмзэг байдлын хамаарлыг тогтоох байж мэднэ. Эрсдэл нь эмзэг байдлын эсрэг заналхийлсэн үйлдэл гэж тодорхойлогддог тул тэдгээрийн хооронд тодорхой хамаарал байгаа гэсэн үг. Үүнийг ихэвчлэн аюул эмзэг байдлын (T-V) хослол гэж нэрлэдэг. Энэхүү хослолыг тогтоох ажлыг гүйцэтгэх олон арга техник байдаг. Аюул нь тодорхой эмзэг байдлуудыг ашиглах хэрэгжих боломжтой байхаас бүх эмзэг байдлыг ашиглах боломжгүй байдаг. Жишээлбэл, үерийн аюул нь бизнесийн тасралтгүй байдлын төлөвлөгөөгүй гэсэн эмзэг байдлыг ашиглан хохирол учруулж болно. Харин өөрчлөлтийн удирдлагын дутмаг байдлыг ашиглаагүй нь тодорхой.

Аюул эмзэг байдлын хослолуудын тогтмол багцыг үйл ажиллагаанд ашиглах нь илүү оновчтой гэсэн бодлыг төрүүлж байж болох ч тэрхүү багцыг хэрхэн хаана тодорхойлсон байгааг олох хүндрэлтэй. Бодит байдал аюул, эмзэг байдлыг байнга илрүүлж, хослолуудыг боломжит хувилбараар боловсруулж байгууллагын стандарт жагсаалтыг гарган суурь болгон ашиглах ёстой нь зохимжтой. Аюул, эмзэг байдлын хослолын жагсаалтыг боловсруулах нь эмзэг байдлын жагсаалтыг хянаж, хамаарах аюул бүртэй эмзэг байдлыг хослуулж, дараа нь аюулын жагсаалтыг хянаж, аюулын эсрэг ажиллаж болох бүх эмзэг байдлыг тодорхойлсон эсэхийг баталгаажуулах замаар хийгддэг. Систем бүрийн хувьд эдгээрийг нарийн тодорхойлж тохируулсан байвал сайн.

Магадлалыг тодорхойлох

Магадлалыг тодорхойлох нь маш энгийн. Энэ нь эмзэг байдлыг ашиглан аюулын эх үүсвэр бодит аюул болох магадлалыг тодорхойлно гэсэн үг. Эрсдэлийн үнэлгээг үр дүнтэй байлгахын тулд бүх эрсдэлийн үнэлгээнд магадлалын тодорхойлолтыг ашиглах хэрэгтэй байдаг. Гэхдээ магадлалын тодорхойлолтыг тохируулахдаа болгоомжтой хандах хэрэгтэй.

Магадлалын утга	Тохиох магадлал	Тайлбар
1	Маш ховор	Эмзэг байдлыг ашиглан бодит аюул учруулах нь хэцүү бөгөөд ойрын хэдэн жилд тохиохгүй.
2	Ховор	Эмзэг байдлыг ашиглах аюул учруулах төвөгтэй байдал харьцангуй боломжтой бөгөөд ойрын жилд тохиох боломжтой.
3	Боломжтой	Эмзэг байдлыг ашиглан аюул учруулах байдал энгийн бөгөөд тусгай мэдлэг чадвар харьцангуй бага шаардана. 1-2 жилд тохиох боломжтой.
4	Хааяа	Эмзэг байдлыг ашиглан аюул учруулах байдал энгийн бөгөөд тусгай мэдлэг чадвар шаардахгүй. 6-12 сарын дотор тохиох боломжтой.
5	Ихэнхдээ	Эмзэг байдлыг ашиглан аюул учруулах байдал өндөр бөгөөд 1-3 сарын дотор тохиох боломжтой.

Дээрх хүснэгтэд эрсдэл үүсэх магадлалыг үнэлэхэд ашиглаж болох чанарын хэмжүүрийг харуулав. хүснэгтэд үзүүлсэнчлэн үнэлгээний түвшин бүр ямар утгатай болохыг тодорхойлох нь чухал юм. Хэрэв урьд өмнө тохиолдсон зөрчлийн давтамжийн мэдээлэл байгаа бол түүнийг эрсдэл үүсэх магадлалыг тодорхойлоход ашиглаж болно. Ийм мэдээлэл байхгүй байгаа нь эрсдэл үүсэх магадлал бага байна гэсэн үг биш юм. Энэ нь зөвхөн илрүүлэх хяналт байхгүй эсвэл байгууллага өмнө нь тухайн эрсдэлд өртөж байгаагүйг харуулна. Хамгийн гол нь үнэлгээг хийж байгаа баг болон байгууллагын удирдлага эдгээр тодорхойлолтуудыг нэг утгаар ойлгож, тогтмол хэрэглэдэг байх ёстой.

Нөлөөллийг тодорхойлох

Нөлөөллийг тодорхойлохдоо мэдээллийн аюулгүй байдлын үндсэн ойлголтуудтай нийцүүлэн авч үздэг. Өөрөөр хэлбэл нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдалд ямар нөлөө үзүүлж байгаагаар тодорхойлно.

Нөлөөллийн утга	Нөлөөлөл магадлал	Тайлбар
1	Чухал биш	Байгууллагын нэг хэсгийн үйл ажиллагаанд түр зуурын бага хэмжээний нөлөө үзүүлнэ.
2	Бага	Байгууллагын үйл ажиллагааны тодорхой хэсгүүдэд түр зуурын нөлөө үзүүлнэ.
3	Дунд	Байгууллагыг үйл ажиллагааны зарим хэсгийн үйл ажилагааг саатуулах нөлөө үзүүлнэ.
4	Өндөр	Байгууллагыг үйл ажиллагааг хэсэгчилсэн байдлаар зогсоох нөлөө үзүүлнэ.
5	Ноцтой	Байгууллагын үйл ажиллагааг бүхэлд саатуулах нөлөө үзүүлнэ.

Дээрх хүснэгтэд энгийн нөлөөллийн хэмжүүрийн жишээг харууллаа. Байгууллага нөлөөллийн хэмжүүрийг өөрийн үйл ажиллагааны онцлогт тохируулан илүү нарийвчлан тодорхойлж болно. Нарийвчилсан хэмжүүрийг тодорхойлоход үнэлгээний багаас илүү их хүчин чармайлт шаардагдана. Бүх нөлөөллийг бизнесийн хүрээнд харж үйл явдлын үр нөлөөг батлагдсан эрсдэлийн зэрэглэлийг ашиглан үнэлэх ёстой. Хэрэв эрсдэл нь хэд хэдэн боломжит нөлөөллийг үзүүлэхээр бол хамгийн их нөлөө үзүүлэх нөлөөллийг ашиглах ёстой.