ISO 27001 стандартын шаардлагыг хангасан байгууллагуудын хувьд гэрчилгээжүүлэх байгууллага буюу стандартын нийцлийг шалгаж гэрчилгээ олгох байгууллагаа сонгох хэрэгтэй болдог. Гэрчилгээ олгох байгууллагаа хэрхэн зөв сонгох, ямар шалгуур тавих шаардлагатай вэ?
Гэрчилгээжүүлэх байгууллагын талаар ярилцахын өмнө нь удирдлагын тогтолцооны хараат бус хөндлөнгийн бие даасан тогтолцоо хэрхэн ажилладаг талаар мэдээлэл хуваалцъя. Энд хоёр төрлийн байгууллага яригддаг бөгөөд эхнийх нь accreditation body буюу магадлан итгэмжлэл /итгэмжлэлийн байгууллага гэж нэрлэх нь түгээмэл/ийн байгууллага, нөгөөх нь certification body буюу гэрчилгээ олгох баталгаажуулалтын байгууллагууд юм.
Олон улсын стандартын баталгаажуулалтын байгууллагууд болон магадлан итгэмжлэлийн байгууллагууд стандартын гэрчилгээжүүлэх үйл явцад оролцдог. Гэрчилгээжүүлэлтийн байгууллагуудыг ерөнхийд нь бүртгэгч гэж нэрлэдэг. Олон хүмүүс ISO (Олон улсын стандартчиллын байгууллага) нь стандартын гэрчилгээ олгодог гэж буруу ойлгодог. Олон улсын стандартын байгууллага нь олон улсын стандартыг боловсруулдаг (Жишээ нь: ISO 9001, ISO 27001), гэхдээ тэдгээр нь стандартын баталгаажуулалтад оролцдоггүй бөгөөд ямар ч гэрчилгээ олгодоггүй. Стандартын нийцлийн гэрчилгээг бие даасан, хөндлөнгийн баталгаажуулалтын байгууллагууд олгодог. Эдгээр баталгаажуулалтын байгууллагууд ISO-ийн тохирлын үнэлгээний хорооноос гаргасан хэд хэдэн стандартын нийцлийн хангасан байдаг.
ISO баталгаажуулалтын байгууллагууд бие даасан компаниудыг баталгаажуулдаг. Итгэмжлэгдсэн болон магадлан итгэмжлэгдээгүй баталгаажуулалтын байгууллагууд үйл ажиллагааг явуулж байдаг. Та баталгаажуулалтын байгууллагаа сонгохоосоо өмнө CASCO-ийн холбогдох стандартыг сонгосон эсэхийг шалгахын тулд зохих шалгалтыг ашиглаж болно. Гэсэн хэдий ч магадлан итгэмжлэгдсэн байх нь заавал байх албагүй бөгөөд магадлан итгэмжлэгдээгүй гэрчилгээжүүлэх байгууллагууд нэр хүндгүй байдаг. Тиймээс магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагуудын талаарх мэдээллийг холбогдох шугамаар нягтлан шалгахад гэмгүй.
Энгийнээр дахин хэлэхэд баталгаажуулалтын байгууллага гэдэг нь аудит хийлгэсэн компани нь ISO стандартын шаардлагыг хангаж байгаа эсэхийг шалгах үүрэгтэй хөндлөнгийн аудитын компани юм. Өөрөөр хэлбэл шалгагдаж буй компанийн хувьд баталгаажуулалтын байгууллага нь бие даасан байгууллага байна. Хараат бус байдал гэдэг нь баталгаажуулалтын байгууллага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэхэд ямар нэгэн байдлаар оролцоогүй гэдгийг илтгэнэ. Хэрэв танай компани МАБУТ-г хэрэгжүүлэхээр зөвлөх компани хөлсөлсөн бол тэр байгууллага нь ISO27001 гэрчилгээжүүлэх зорилгоор танай байгууллагад бие даасан аудит хийх боломжгүй байх болно. Энэ ч утгаар нь ISO27001 гэрчилгээ олгох зорилгоор ISO27001-ийн нийцлийн аудитыг бие даасан гуравдагч этгээд хэрэгжүүлдэг бөгөөд гуравдагч талын аудит гэж нэрлэдэг.
ISO стандартын баталгаажуулалтын байгууллагуудыг ISO стандартын магадлан итгэмжлэлийн байгууллагууд итгэмжилсэн байдаг. Итгэмжлэлийн байгууллагуудын үүрэг бол баталгаажуулалтын байгууллагад магадлан итгэмжлэл олгох явдал юм. Дэлхий даяар магадлан итгэмжлэлийн хэд хэдэн томоохон байгууллагууд байдаг. Тэдний зарим нь олон улсын итгэмжлэлийн байгууллагын гишүүн байдаг. Эдгээр байгууллагуудад Их Британи дахь UKAS (Нэгдсэн Вант Улсын итгэмжлэлийн алба), АНУ-ын ANAB (ANSI-ASQ үндэсний итгэмжлэлийн зөвлөл)-г дурдаж болно.
Одоо үндсэн асуудал буюу баталгаажуулалтын байгууллагаа хэрхэн сонгох асуудалдаа эргэн оръё.
Гэрчилгээ авах үед байнга тулгардаг бэрхшээлүүдийн нэг бол ISO 27001, ISO 9001 гэх мэт тодорхой ISO стандартаас үл хамааран баталгаажуулалтын байгууллагыг сонгох явдал юм. Зүйрлэн хэлбэл нийцлийн аудитын гэрчилгээжүүлэх байгууллагыг сонгох нь тодорхой мэргэжлээр суралцахын тулд ямар нэгэн их сургуулийг сонгохтой адил юм. Оюутан их сургуулиа хэрхэн сонгох вэ? Дэлхий даяар нэр хүндтэй, зарим нь нэр хүнд муутай, зарим нь ирц шаардахгүй онлайнаар эрдмийн зэрэг олгодог гээд олон зуун их сургуулиуд байдаг. Магадгүй зарим нь хүссэн эрдмийн зэргээ зохих үнээр худалдаж авах боломжтой гэж хэлж болох юм. Аль ч их сургуулийг сонгосон бай сургууль төгссөн диплом хүлээн авах болно. Эндээс бодож үзвэл, зөв их сургуулиа сонгох нь ямар нэгэн их сургуулийн жагсаалтын мэдээлэлд тулгуурлан сонгох тухай биш, харин өөрт тохирох их сургуулийг сонгох явдал юм.
ISO27001 гэрчилгээжүүлэх байгууллагыг сонгохдоо компани ижил сорилттой тулгардаг. Баталгаажуулалтын олон байгууллага, өөр өөр зардал, өөр өөр нэр хүндтэй, зарим нь ойролцоо оффистой байдаг бол зарим нь өөр улсын аудиторуудаар хийлгэх шаардлагатай болдог. Амьдрал дээр хэн ч компани байгуулж “Мэдээллийн аюулгүй байдлын судалгааны олон улсын төв” гэж нэрлээд их сургууль болгон зах зээлд нийлүүлж болдог шиг хөндлөнгийн аудитыг баталгаажуулах байгууллагаар ажиллуулж болно. Тэгвэл бид яаж сонгох вэ?
Улс орон бүрийн их сургууль нь эрдмийн зэрэг олгох эрх бүхий хуулийн этгээд бөгөөд их сургууль гэж хүлээн зөвшөөрөгдөхийн тулд хатуу шаардлагыг дагаж мөрдөх, тасралтгүй шалгалтад хамрагдах ёстой бөгөөд үндэсний магадлан итгэмжлэлийн байгууллагаар шалгуулсан байхыг шаарддаг. Үүнтэй адил ISO27001 гэрчилгээ олгох байгууллагууд нь ISO27001 гэрчилгээ олгохын тулд магадлан итгэмжлэгдсэн байхыг шаардаж болно. Өөрөөр хэлбэл баталгаажуулалтын байгууллагууд өөрсдөө аудитын шилдэг туршлагын шаардлагад нийцэж байгаа эсэхийг нотлох боломжтой болно гэсэн үг. Итгэмжлэлийн байгууллагууд ийм төрлийн шалгалтуудыг хийдэг. Их, дээд сургуулиудын нэгэн адил улс орон бүр олон арван баталгаажуулалтын байгууллагатай байдаг боловч ихэвчлэн баталгаажуулалтын байгууллага бүрийг аудит, магадлан итгэмжлэх үүрэгтэй нэг магадлан итгэмжлэлийн байгууллагатай байдаг.
Олон улсын магадлан итгэмжлэлийн форум (IAF) нь дэлхий даяар хүргэж буй бүтээгдэхүүн, үйлчилгээг хүлээн зөвшөөрөх чадварыг нэмэгдүүлэхийн тулд дэлхийн хэмжээнд итгэмжлэлийн байгууллагуудын жагсаалтыг хөтөлдөг. Магадлан итгэмжлэлийн томоохон байгууллагууд нь:
ANAB (ANSI-ASQ үндэсний итгэмжлэлийн зөвлөл)
UKAS: Нэгдсэн Вант Улсын магадлан итгэмжлэлийн алба
JAB: Японы магадлан итгэмжлэлийн зөвлөл
DAkkS: Германы магадлан итгэмжлэл
Харамсалтай нь магадлан итгэмжлэл нь заавал байх албагүй бөгөөд нэг баталгаажуулалтын байгууллага нэгээс олон магадлан итгэмжлэлийн байгууллагаар магадлан итгэмжлүүлэхээр сонгож болохтой адил баталгаажуулалтын байгууллага нь аль ч итгэмжлэлийн байгууллагаар магадлан итгэмжлэлгүй ажиллах боломжтой. Гэхдээ итгэлцэл, өрсөлдөх чадварыг олж авах зорилгоор баталгаажуулалтын байгууллага итгэмжлэл хийлгэхээс өөр сайн арга зам үгүй болов уу. Жишээлбэл, хэрэв гэрчилгээжүүлэлтийн байгууллага Их Британид итгэл, нэр хүнд олж авъя гэвэл UKAS-аар магадлан итгэмжлэгдсэн байвал зохино.
Баталгаажуулалтын байгууллагыг магадлан итгэмжлэх албагүй байдаг тул магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагыг сонгох нь танай байгууллага илүү шударгаар өрсөлдөж, ажиллаж байгаагаа нотолж байгаа хэрэг гэж харж болно. Нөгөө талаас баталгаажуулалтын байгууллагууд ч гэсэн шударгаар бодит ур чадвараа шалгуулж түүнд хамаарах үйлчилгээ үзүүлэх нь чухал. Магадлан итгэмжлэлийн үйл явцыг харвал тодорхой стандартад зориулагдсан байдаг. Жишээлбэл, баталгаажуулалтын байгууллага нь ISO9001 стандартын нийцлийн аудит хийхээр магадлан итгэмжлэгдсэн байж болох ч ISO27001 аудит хийх боломжгүй байж болно.
Олон улсын стандартын дагуу магадлан итгэмжлэгдсэн байх нь баталгаажуулалтын байгууллагуудад илүү их шаардлага тавьдаг тул магадлан итгэмжлэлийн байгууллагаар илүү нягт нямбай аудит хийлгэхийг шаарддаг. Магадлан итгэмжлэлийн байгууллага бүр магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагуудын бүртгэлийг хөтөлдөг. Итгэмжлэгдсэн баталгаажуулалтын байгууллагыг сонгохдоо тэдгээрийн “итгэмжлэл”-ийг холбогдох итгэмжлэлийн байгууллагатай нь дахин нягталж үзэх нь зүйтэй. Жишээлбэл, Нэгдсэн Вант Улсын магадлан итгэмжлэлийн алба (UKAS) итгэмжлэгдсэн баталгаажуулалтын байгууллагуудынхаа жагсаалтыг өөрийн систем дээрээ нээлттэй хадгалж байдаг тул тэндээс үзэх хэрэгтэй.
Дахин хэлэхэд магадлан итгэмжлэл нь ашиг сонирхлын зөрчилгүй байдлыг баталгаажуулж, баталгаажуулалтын байгууллага нэг байгууллагад зөвлөх үйлчилгээ үзүүлээд дараа нь хөндлөнгийн аудит хийхээс сэргийлж өгдөг. Хэрэв танай байгууллагад ямар нэгэн байгууллага МАБУТ-ны хэрэгжилтийн зөвлөх үйлчилгээ болон ISO27001 гэрчилгээг хоёуланг нь хамтад хийж өгөх санал болгож байгаа бол тухайн байгууллага нь магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллага биш бөгөөд тэдгээрийн нийцлийн аудит нь хараат бус байх болно. Харин зөвлөх үйлчилгээ үзүүлэгч байгууллага эсвэл этгээд нь үйлчлүүлэгчийнхээ өмнөөс баталгаажуулалтын байгууллагатай холбоо барьж, тохирох баталгаажуулалтын байгууллагыг сонгох, мөн нийцлийн эцсийн аудит хийх явцад үйлчлүүлэгчээ хамгаалах чиглэлээр хамтран ажиллах нь зарчмын хувьд зөвшөөрөгддөг.
Магадлан итгэмжлэлийн хувьд баталгаажуулалтын байгууллага нь үйлчлүүлэгч авчирсан зөвлөхөд тодорхой төлбөр төлөхийг хориглодог. Энэ нь маш чухал бөгөөд аудит хийлгэж буй компаниас хараат бус байдлыг хангахад чухал ач холбогдолтой. Зөвлөхийн хувьд зөвхөн энэ байгууллагаар хийлгэхийг шаардах, шантаачлах зэргээр заналхийлж гэрчилгээжүүлэлтийн байгууллагыг зөв сонгоход нөлөөлж болно. Тиймээс удирдлагын тогтолцоог хөгжүүлэхэд тань туслах мэргэжлийн, нэр хүндтэй зөвлөх компани эсвэл этгээдийг сонгох нь мөн адил чухал гэдгийг санах хэрэгтэй!
Итгэмжлэгдсэн баталгаажуулалтын байгууллагын бас нэг үндсэн давуу тал нь аудитын тайлангийн чанар юм. Аудитын зорилго нь сайжруулах боломжийг тодорхойлох, МАБУТ-н талаар гуравдагч этгээдийн сайжруулах чиглэлээр өгч болох чадварлаг хэтийн төлөвийг олж авах явдал юм. Бодит байдалд аудитын тайлан гэсэн цаас авах нь чухал боловч сайн аудит нь зөвхөн үл нийцэл гэхээсээ илүү МАБУТ-ны талаар илүү ихийг олж мэдэх боломжийг өгдөг юм. Чанартай аудит нь таны сайн хийж байгаа зүйл, юуг сайжруулах, юуг анхаарах шаардлагатай зэргийг хэлж, сайшааж, сайжруулах боломж гэдгийг ойлгох хэрэгтэй! Хараат бус байдлаа хадгалахын тулд аудитор ямар нэгэн зөвлөгөө өгөх эрхгүй боловч сайн аудитын тайлан нь илэрсэн зөрчлийн энгийн жагсаалтаас хамаагүй илүү үнэ цэнэтэй байдаг.
Магадлан итгэмжлэгдсэн эсэхээс үл хамааран баталгаажуулалтын байгууллага бол арилжааны байгууллага гэдгийг санах хэрэгтэй. Тэд ч мөн бизнес хийж байгаа. Тэд танай байгууллагаас аль болох өндөр төлбөр нэхэмжлэхийг хүсэх бөгөөд таны ажил бол танай компанид хамгийн сайн тохиролцоог хийх явдал юм! Баталгаажуулалтын байгууллагуудыг хайж олоод, бусад бараа, үйлчилгээг худалдан авахтай адил үнийн санал авч, харьцуулаарай. Түүнчлэн, янз бүрийн улс орнуудад үйл ажиллагаа явуулдаг үндэстэн дамнасан компаниудын нэгэн адил баталгаажуулалтын байгууллагууд дэлхий даяар аудитын үйлчилгээг тогтвортой байлгах чадвартай тул сорилтод ордог. Гэхдээ бид баталгаажуулалтын байгууллагуудын тухай ярьж байгаа тул инээдтэй сонсогдож магадгүй ч баталгаажуулалтын нэр хүндтэй байгууллага бүрийн талаар сайн, муу түүхийг олж мэдэж болно.
Магадлан итгэмжлэл нь үнэ цэнийг илтгэдэг тул энэ нь баталгаажуулалтын байгууллагыг сонгох гол шалгуур юм. Гэсэн хэдий ч баталгаажуулалтын зорилгыг тодорхой ойлгосноор баталгаажуулалтын байгууллагуудын жагсаалтыг илүү боловсронгуй болгож болно. Мэдээллийн аюулгүй байдлын эрсдлийн удирдлагын сайжруулахын зэрэгцээ мэдээллийн аюулгүй байдлын үйл явцын үр ашиг, үр дүнтэй байдлыг дээшлүүлэхээс гадна ISO27001 гэрчилгээ авах нийтлэг шалтгаануудыг дараах байдлаар харж болно.
Хууль эрх зүй/зохицуулалтын шаардлага – Энэ тохиолдолд нийцлийн шаардлагыг хууль, тогтоомжоор тогтоосон бөгөөд баталгаажуулалтын байгууллагын сонголт нь эцсийн нийцлийн гэрчилгээ чухал ач холбогдолтой байх болно. Хялбар байдлаар баталгаажуулалтын байгууллагыг сонгох нь аюулгүй байдлыг сайжруулахгүй байх магадлалтай. Жишээлбэл, та засгийн газрын ханган нийлүүлэгч бөгөөд ISO27001 стандартад нийцсэн байх шаардлагатай бол танигдаагүй эсвэл магадлан итгэмжлэгдээгүй гэрчилгээжүүлэлтийн байгууллагын баталгаажуулалт ижил түвшний итгэлийг төрүүлэхгүй байж мэднэ.
Өрсөлдөөний давуу талыг нэмэгдүүлэх – Өрсөлдөөний давуу тал нь зах зээлийн ISO27001 гэрчилгээний талаарх ойлголтоос ихээхэн хамаардаг тул энэ хувилбар маргаантай байдаг. Олон хүмүүс нэр хүндтэй гэрчилгээжүүлэлтийн байгууллагаас олгосон ISO27001 гэрчилгээ, нэр хүнд муутай байгууллагаас олгосон гэрчилгээг сайн ялгадаггүй. Гэсэн хэдий ч, нэр хүндтэй гэрчилгээжүүлэлтийн байгууллагаас авсан гэрчилгээ нь илүү жинтэй байх хандлагатай байдаг бөгөөд үүнд хүрэхэд илүү хэцүү байдаг тул та болон өрсөлдөгчийнхөө хооронд зай тавих нь гарцаагүй юм.
Хэрэглэгчийн итгэлийг нэмэгдүүлэх – Үйлчлүүлэгч хэнийг илүүд үзэх, хэнд илүү итгэхийг ойлгох хэрэгтэй. Жишээлбэл, Англид шинэ үйлчлүүлэгчдийг хайж буй гадаад байгууллага Англид хэн ч сонсож байгаагүй орон нутгийн (компанийн) баталгаажуулалтын байгууллагаас гэрчилгээ авахаар сонговол үйлчлүүлэгчдийнхээ итгэлийг нэмэгдүүлэхэд тийм ч их нөлөө үзүүлэхгүй байж мэдэх юм. Их Британийн Стандартын Байгууллагын (BSI) гэрчилгээ нь илүү нэр хүндтэй бөгөөд учир нь BSI нь Британийн баталгаажуулалтын гол байгууллага юм. Үүний нэгэн адил хэрэв хэн нэгэн ямар нэгэн улсад шинэ бизнес эрхлэхийг хүсч байвал тухайн улсын хамгийн нэр хүнд бүхий баталгаажуулалтын байгууллагыг сонгож болно.
Магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагыг сонгох нь чухал боловч дэлхийн шилдэг баталгаажуулалтын байгууллага гэж байдаггүй гэдгийг мэдэх хэрэгтэй. Гагцхүү танай байгууллагын шаардлагыг хангаж байх нь чухал гэдгийг санаарай. Гэрчилгээжүүлэх байгууллагыг сонгохдоо янз бүрийн байгууллагуудтай ярилцаж, тэдэнтэй танилцаж, лавлагаа, аудитын тайлан, аудиторуудын бэлэн байдлын талаар асуугаарай.
Эцэст нь хэлэхэд, манай улсын хувьд ISO27001 стандартын шаардлагыг нийцүүлэх хуулийн шаардлагууд шинээр бий болж энэ төрлийн бизнесийн байгууллагууд ч олноороо үйл ажиллагаагаа явуулж эхлээд байна. Стандартын нийцлийг хангахад байгууллагаас тодорхой хэмжээний зардал гардаг. Хөндлөнгийн аудитын зардал ч мөн үүнд хамаарна. Бодит байдлаас харвал ямар нэгэн үүрэг хүлээж албан ёсны баталгаажуулалтгүйгээр стандартын нийцлийг хангах түүнийг дагаж мөрдөх нь бараг боломжгүй ч байж мэднэ.