МАБУТ-г үр дүнтэй ажиллаж байгаа эсэхийг хянах, хэмжих, дүн шинжилгээ хийх, үнэлэх шаардлагууд стандартын 9-р бүлэгт багтсан байдаг ба байгууллага стандартын шаардлага, зорилтуудаа хэрхэн нийцэж ажиллаж байгааг тогтмол сайжруулахад нь тусалдаг. Мэдээллийн аюулгүй байдлын үр дүнг үнэлэхийн тулд ямар мэдээлэл хэрэгтэй, ашигласан арга, хэзээ дүн шинжилгээ хийн тайлагнаж байх ёстойг анхаарч үзэх хэрэгтэй. Үүнийг зөвхөн удирдлагын дүн шинжилгээний хяналтаас гадна дотоод аудит үйл ажиллагааг зохион байгуулан хэрэгжүүлэх шаардлагатай. Хяналтын үйл ажиллагаануудыг төлөвлөсөн хугацаанд хийх ёстой бөгөөд үр дүнг баримтжуулсан мэдээлэл болгон хадгална. Удирдлагын дүн шинжилгээ нь сайжруулах шаардлагатай асуудлаа тодорхойлж хэрхэн сайжруулах арга хэмжээ авч хэрэгжүүлэхэд чиглэгдэнэ.
МАБУТ-ны гүйцэтгэлийн үнэлгээнд тавигдах шаардлагуудыг стандартад тусгасан байдаг.
9.1 Хяналт-шинжилгээ, хэмжилт, шинжилгээ, үнэлгээ
9.2 Дотоод аудит
9.3 Удирдлагын хяналт
9.1 Хяналт, хэмжилт, шинжилгээ ба үнэлгээ
Байгууллага мэдээллийн аюулгүй байдлын гүйцэтгэл ба мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр дүнтэй байдлыг үнэлнэ.
Байгууллага:
a) Мэдээллийн аюулгүй байдлын үйл явц ба хяналт зэрэг хянах болон хэмжих зүйлсийг тодорхойлно;
b) Баталгаат үр дүнг гаргахын тулд хяналт, хэмжилт, шинжилгээ ба үнэлгээний тохиромжтой аргачлалыг тодорхойлно;
ТАЙЛБАР: Сонгосон аргачлал нь харьцуулах боломжтой болон давтан гарах боломжтой үр дүнтэй байх аргачлалыг сонгоно.
c) Хяналт удирдлага ба хэмжилтийг хэрэгжүүлэх хуваарь;
d) Хяналт удирдлага ба хэмжилтийг гүйцэтгэх этгээд;
e) Хяналт удирдлага ба хэмжилтийн үр дүнг шинжилж, үнэлэх хуваарь; болон
f) Үр дүнг шинжилж, үнэлэх эрх бүхий этгээд зэргийг тодорхойлно.
Байгууллага холбогдох хяналт удирдлага ба хэмжилтийн үр дүнг нотолгоо болгон баримтжуулсан мэдээлэл хэлбэрээр хадгална.
Байгууллага нь мэдээллийг хамгаалах үйл явц, журам, чиг үүргүүдийн үр ашиг, үр дүнтэй байдлын талаарх гүйцэтгэлийн хэмжүүрүүдийг бий болгож үнэлэхээс гадна МАБУТ-ны гүйцэтгэлийн хэмжүүрийг стандартад нийцүүлэх, сөрөг нөлөөллөөс урьдчилан сэргийлэх арга хэмжээг авч үзэх шаардлагатай. Ингэхдээ юуг хянаж, хэмжих, үр дүнгийн үнэн зөв байдлыг хэрхэн дүгнэх МАБУТ-ны мэдээлэл, үйл ажиллагаанд дүн шинжилгээ, үнэлгээг ямар давтамжтайгаар хийх зэргийг харгалзан үзнэ. Гүйцэтгэлийн үр дүнг нотлох баримт болгон хадгалахын зэрэгцээ дараа дараагийн засаж залруулах арга хэмжээг хөнгөвчлөх эх сурвалж болгон ашиглах нь зүйтэй. Байгууллага МАБУТ-ны үйл явц болон мэдээллийн аюулгүй байдлын хяналтууд шаардлагын дагуу ажиллаж байгаа эсэхийг баталгаажуулахын тулд юуг хянах шаардлагатайг тодорхойлох шаардлага үүсдэг. Бодит байдалд байгууллага бүх зүйлийг байнга хянах нь боломжгүй. Өөрөөр хэлбэл үр дүнг бодитоор харж чадахгүй байж мэднэ. Нөгөө талаас их хэмжээний мэдээлэлтэй болох бөгөөд үүнийгээ үр дүнтэй ашиглах бараг боломжгүй болно. Тиймээс бодит байдал дээр юуг хянах талаар шийдвэр гаргах хэрэгтэй болдог.
Шийдвэр гаргахдаа дараах зүйлүүдийг анхаарах хэрэгтэй.
Ямар үйл явц, үйл ажиллагаа аюулд өртдөг вэ?
Ямар үйл явц, үйл ажиллагаа нь эмзэг талуудтай байдаг вэ?
Хяналтыг хамгийн үр дүнтэй хийх ямар практик байдаг вэ?
Хяналтын үйл явцыг үр дүнтэй байхын тулд мониторинг хэрхэн явагдахыг дараах агуулгаар тодорхойлох хэрэгтэй.
Хэзээ хэрэгжүүлэх;
Хэн хэрэгжүүлэх;
Үр дүнг хэрхэн тайлах;
Хяналтын үр дүнд хүлээн зөвшөөрөгдөхгүй гүйцэтгэлийг илрүүлсэн бол хэрхэх;
Асуудлыг шийдвэрлэхийн тулд ямар арга хэмжээ авах вэ?
МАБУТ-ны бүрэлдэхүүн хэсгүүдийн үр нөлөөг хэмжих нь гүйцэтгэлийг үнэлэх, сайжруулахад түлхэц өгөх гол механизмуудын нэг юм. Үүнийг хэрэгжүүлэх хэд хэдэн аргууд байдаг. Стандартын шаардлагаас харвал ISO 27001 нь бүх зүйлийг хэмжих шаардлага гэж үздэг. Энэ нь ямар юуг, ямар хэмжүүрээр, яаж, үр дүнг хэрхэн танилцуулах нь байгууллагаас хамааран өөр өөр байж болно. Хяналтыг хэрэгжүүлэх нь яагаад чухал болохыг тодорхойлсон бол түүнд тохирох хэмжигдэхүүнийг тодорхойлоход илүү их анхаарал хандуулах нь зүйн хэрэг. Түгээмэл хэрэглэгддэг стратегийн нэг бол хяналтыг бууруулж буй эрсдэлийн төрөл, түвшинд үндэслэн сонгох юм. Хяналт нь эрсдэлийг бууруулах тусам хяналт чухал бөгөөд хэмжигдэх шаардлагатай байх магадлал өндөр байдаг. Өөр нэг арга нь өндөр үнэлгээтэй эрсдэлийг удирдах хяналтын үр нөлөөг хэмжиж болно.
Төлөвлөн хэрэгжүүлэх
Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо нь ISO 27001 стандартын шаардлага, тогтолцоонд тавигдах бусад шаардлагад нийцэж байгаа эсэхийг тодорхойлох зорилгоор дотоод аудитыг төлөвлөсөн хугацаанд хийхийг шаарддаг. Байгууллага нь дотоод аудитыг хийх давтамж, арга, үүрэг хариуцлага, төлөвлөлтийн шаардлагыг багтаасан аудитын хөтөлбөрийг боловсруулж хэрэгжүүлэх ёстой. Аудитын хөтөлбөр нь холбогдох үйл явцын ач холбогдол, өмнөх аудитын үр дүнг харгалзан үзэхийн зэрэгцээ аудитын шалгуур, хамрах хүрээг багтаасан байна. Түүнчлэн аудитын багийг бүрдүүлэх үүднээс аудиторуудыг сонгож, аудитын үйл явцыг шаардлага хангасан байхаар хэрэгжүүлж үр дүнг холбогдох удирдлагад мэдээлэх ёстой. Байгууллага нь аудитын хөтөлбөр болон аудитын үр дүнг нотлох баримтыг баримтжуулсан мэдээлэл болгон хадгална.
Удирдлагын тогтолцооны дотоод аудитыг үйл явцын хамаарал, өмнөх аудитын үр дүнг харгалзан төлөвлөсөн хугацаанд тодорхой давтамжтай хийж, үр дүнтэй хэрэгжилт, сайжруулалт түүнчлэн стандартын шаардлага, байгууллагын өөрийн шаардлагыг тусгасан байхаар хэрэгжүүлнэ. Онцлох нэг зүйл аудитын шалгуур, хамрах хүрээг тодорхойлсон байх ёстой. Аудиторуудын бие даасан мэргэжлийн, хараат бус, ашиг сонирхлын зөрчилгүй байх нь аудитын үйл ажиллагааны үр дүнг илүү бодитой харах шалгуур болдог. Аудиторууд аудитын үр дүнг холбогдох удирдлагад тайлагнаж, үл тохирлыг залруулах арга хэмжээг цаг тухайд нь хэрэгжүүлэхийг баталгаажуулсан байна. Эцэст нь аудиторууд залруулах арга хэмжээ үр дүнтэй хэрэгжсэн эсэхийг нягтлан шалгах ёстой. Дотоод аудитын зорилго нь МАБУТ-ны үйл явцын эмзэг, сул талыг илрүүлэх, сайжруулах чиглэлээр заавар зөвлөмж өгөх явдал юм. Ингэснээр МАБУТ хэр сайн ажиллаж байгаа талаар дээд түвшний удирдлагад бодит мэдээлэл өгөх, шийдвэр гаргах үйл ажиллагаанд нь дэмжлэг үзүүлэх болно. Дотоод аудитын үйл ажиллагааг хэр сайн хэрэгжүүлж байгаа нь хөндлөнгийн аудитаар том хэмжээний үл тохирлууд илрэхгүй байхыг баталгаажуулж өгдөг.
Дотоод аудитын үйл ажиллагаагаар байгууллага нь дараах зүйлсийг шалгах ёстой.
- Бодлого, журам, үйл явцын хяналтыг хэрхэн тууштай мөрдөж, хэрэгжүүлж байгаа;
- Тэдгээр нь төлөвлөсөн үр дүндээ хүрсэн эсэх;
- Стандартын болон сонирхогч талуудын шаардлагад нийцэж байгаа эсэх;
Мэргэжлийн байх
Мэргэжлийн байх үүднээс аудитын үйл ажиллагааг сургагдсан, туршлагатай ажилтнуудаар хийлгэх нь илүү үр дүнтэй байдаг. Эдгээр ажилтнууд нь мэргэжлийн болон байгууллагын түвшинд мэдлэг ур чадвартай, олон нийтэд хүлээн зөвшөөрөгдсөн, стандартын шаардлагын талаар сайн мэдлэгтэй, баримт бичиг боловсруулах, хүнтэй харилцах арга техник эзэмшсэн, хариуцлагатай, багаар ажиллах чадвартай байх зэрэг шаардлагуудад нийцсэн байдал сайн. Дотоод аудитыг нарийвчилсан төлөвлөгөөний дагуу холбогдох шаардлагуудад нийцүүлэн дараах үйл явцуудыг баталгаажуулах чиглэлд хийх нь зохимжтой.
- Гүйцэтгэлийн хангалтгүй байдлыг баримтаар нотлон харуулсан байх;
- Мэдээллийн аюулгүй байдлын эрсдэлийг удирдах үйл ажиллагаанд чиглэсэн байх;
Хөндлөнгийн аудитор мөн адил аудитын үр дүнд илэрсэн аливаа үйлдлийг бүртгэж, зохих ажилтнуудаар хянуулж, аливаа чухал асуудлыг арилгах арга хэмжээг цаг тухайд нь хэрэгжүүлэхийг мөн адил шаарддаг. Магадгүй тодорхой хэмжээний нэмэлт хөрөнгө оруулалт хийх шаардлагатай гэж сайжруулалтуудыг заасан хугацаандаа хэрэгжүүлсэн байгаад анхаарал хандуулах болно. МАБУТ-ны дотоод аудитын зорилго нэгдүгээрт, МАБУТ нь стандартын шаардлага, байгууллагын өөрийн бодлого, журам, тухайн байгууллагын үйл ажиллагаа явуулж буй хууль эрх зүй, зохицуулалтын орчинтой нийцэж байгаа эсэхийг үнэлэх, хоёрдугаарт, МАБУТ-ны үр дүнг тасралтгүй сайжруулах боломжийг тодорхойлох явдал байдаг.
9.3 Удирдлагын дүн шинжилгээ
Дээд удирдлага нь байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог тогтвортой, зохистой, үр дүнтэй байлгахын тулд төлөвлөсөн хугацаанд хянаж байх ёстой.
Удирдлагын хяналтад дараахь зүйлийг тусгана.
a) өмнөх удирдлагын үнэлгээний үйл ажиллагааны төлөв байдал;
б) мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд хамаарах гадаад, дотоод асуудлын өөрчлөлт;
в) мэдээллийн аюулгүй байдлын гүйцэтгэлийн талаархи санал хүсэлт, үүнд:
1) үл нийцэл, залруулах арга хэмжээ;
2) хяналт-шинжилгээ, хэмжилтийн үр дүн;
3) аудитын үр дүн; болон
4) мэдээллийн аюулгүй байдлын зорилтуудын биелэлт;
г) сонирхогч талуудын санал хүсэлт;
д) эрсдэлийн үнэлгээний үр дүн, эрсдэлийг эмчлэх төлөвлөгөөний байдал; болон
е) тасралтгүй сайжруулах боломж.
Удирдлагын шалгалтын үр дүнд байнгын сайжруулалттай холбоотой шийдвэрүүд багтсан байна
мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд өөрчлөлт оруулах боломж болон аливаа хэрэгцээ.
Байгууллага нь удирдлагын шалгалтын үр дүнгийн нотлох баримт болгон баримтжуулсан мэдээллийг хадгална.
Мэдээллийн аюулгүй байдлыг хангахын тулд МАБУТ-ны үр дүнтэй ажиллуулах нь байгууллагын удирдлагын анхаарал хандуулах үүрэг хариуцлага байдаг. Үүнийг хэрэгжүүлэх үйл явцыг дээд удирдлагын түвшинд МАБУТ-ны үр дүнтэй байдлыг нэг дор эсвэл хэсэг хэсгээр нь, бизнесийн хэрэгцээнд хамгийн тохиромжтой байдлаар зохион байгуулах явдал юм. Ингэснээр МАБУТ-нд нөлөөлж болзошгүй дотоод болон гадаад хүчин зүйлүүд, мэдээллийн аюулгүй байдлын гүйцэтгэл, сайжруулах боломжуудад дээд түвшний удирдлага хяналт тавьж чадна. Удирдлагын дүн шинжилгээ нь МАБУТ-ны тасралтгүй байдалд хамгийн их хамааралтай чиг үүрэг бөгөөд дээд удирдлагын шууд оролцоотой удирдлагын хяналт шалгалтын мэдээ, мэдээллийг баримтжуулж тусгай шаардлага, ерөнхий стратегийн шаардлагыг дагаж мөрдөх боломжтой эсэхийг баталгаажуулна. Энэ утгаараа удирдлагын дүн шинжилгээ бол МАБУТ-ны чухал хэсэг юм. Энэ нь дээд түвшний удирдлага МАБУТ-ны үр нөлөөг хянаж, байгууллагын стратеги чиглэлтэй нийцүүлэхийг баталгаажуулдаг албан ёсны үйл явц юм.
Удирдлагын дүн шинжилгээ хийх
Удирдлагын дүн шинжилгээг төлөвлөсөн хугацаанд хийх ёстой бөгөөд стандартын 9.3-т заасан үндсэн чиглэлүүдийг багтаасан байх ёстой. Хэлэлцэх асуудлын хүрээнд нэг удаагийн удирдлагын дүн шинжилгээний хурал зохион байгуулах нь чухал биш. Эсрэгээрээ олон дэд хурлыг зохион байгуулж байгаа бол хэлэлцсэн асуудлуудыг давтах шаардлагагүйгээр үр дүнг дүгнэх байдлаар хийж болно.
Хурлаар хэлэлцсэн асуудлуудыг баримтжуулсан мэдээлэл болгон хадгалах хэрэгтэй. Эдгээр нь өргөн хүрээтэй тэмдэглэл байх албагүй ч гаргасан шийдвэр, тохиролцсон арга хэмжээний тухай тэмдэглэл хэлбэртэй байж болно. Түүнчлэн удирдлагын дүн шинжилгээний хурлыг хэд хэдэн салбарыг хамруулан олон тоогоор зохион байгуулах аудиторт ойлгомжтой байхын тулд эдгээр уулзалтуудыг зохион байгуулахтай холбоотой журам боловсруулан хэрэгжүүлж болно.
Удирдлагын дүн шинжилгээний зорилго нь олон тооны орцыг харгалзан МАБУТ-ны үр дүнтэй байдлыг үнэлэх, шаардлагатай өөрчлөлт, сайжруулалтыг тодорхойлох явдал гэдгийг дахин сануулъя. Энэхүү дүн шинжилгээг МАБУТ-н хэлэлцүүлэг гэж ойлгож болох бөгөөд ISO 27001 стандартын дагуу дараах зайлшгүй оруулах мэдээллүүдэд анхаарал хандуулах хэрэгтэй.
- Өмнөх хурлын шийдвэр, түүний биелэлт;
- Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд хамаарах гадаад, дотоод асуудлын өөрчлөлт;
- Мэдээллийн аюулгүй байдлын гүйцэтгэлийн талаарх санал хүсэлт үл нийцэл, залруулах арга хэмжээ;
- Хяналт, шинжилгээ, хэмжилтийн үр дүн;
- Аудитын үр дүн;
- Мэдээллийн аюулгүй байдлын зорилтуудын биелүүлэлт;
- Сонирхогч талуудын санал хүсэлт;
- Эрсдэлийн үнэлгээний үр дүн, эрсдэлийг бууруулах төлөвлөгөөний хэрэгжилтийн байдал;
- Бусад тасралтгүй сайжруулах боломжууд;
Эцэст нь дүгнэхэд, мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр дүнтэй байдлыг шалгах үйл ажиллагаанд өөрийгөө үнэлэх үйл явц маш чухал байдаг. Үүнийг стандартын шаардлага болгон ISO 27001 стандартын 9-р бүлэгт тусгайлан заасан бөгөөд байгууллага нь хяналт, хэмжилт, дүн шинжилгээ, үнэлгээ болон дотоод аудит, удирдлагын дүн шинжилгээний үйл ажиллагаануудыг тогтмол хэрэгжүүлэх үүрэг хүлээдэг.