ISO 27001 стандартад мэдээллийн аюулгүй байдлын үүрэг, хариуцлагын талаар маш тодорхой, нарийвчлан зааж өгсөн байдаг гэж ихэнх мэргэжилтнүүд боддог байж болох юм. Үнэхээр энэ төрлийн үүрэг, хариуцлагыг тодорхойлох, хуваарилах нь байгууллагын хувьд чухал бөгөөд хэн юуг хариуцах, мөн тэднээс юу хүлээж байгаагаа ойлгох, мэдээллийн аюулгүй байдлыг сайжруулахад хэрхэн хувь нэмрээ оруулах боломжтой зэргийг мэдэж авахад тустай байх болно. Тэгвэл ISO 27001 стандартад яг юуг гэж заасан байдаг талаар авч үзье.
Стандартын 5.3 заалтад байгууллагын дээд удирдлага дээд түвшний үүрэг хариуцлага, эрх мэдлийг дараах хоёр чиглэлээр хуваарилах ёстой талаар дурдсан байдаг.
- Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо нь ISO 27001 стандартын шаардлагад нийцэж байгаа эсэхийг баталгаажуулах;
- Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үйл ажиллагааны гүйцэтгэл, биелэлт, үр дүнд хяналт тавих, дээд удирдлагад тайлагнах;
ISO 27001 стандарт нь хяналтын хэрэгжүүлэлттэй холбоотой үүрэг хариуцлагыг олон хяналтын зорилгуудад хуваарилсан байдаг боловч эдгээр үүрэг хариуцлагыг хэрхэн баримтжуулах талаар тодорхой заадаггүй. Өөрөөр хэлбэл байгууллага өөрийн үйл ажиллагаандаа нийцүүлэн энэ төрлийн үүрэг хариуцлагуудаа тодорхойлох боломжтой гэсэн үг.
Мэдээллийн аюулгүй байдлын үүрэг хариуцлагыг удирдлагын түвшинд хэр зэрэг өндөр авч үзнэ тэр хэмжээгээр үйл ажиллагааны цар хүрээ, эрх мэдэл илүү өргөн хүрээтэй байж, мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог илүү үр дүнтэй ажиллах боломжийг бүрдүүлдэг. Жижиг байгууллагын хувьд мэдээллийн аюулгүй байдлын гүйцэтгэл болон тайлагнах үйл ажиллагааг мэдээллийн аюулгүй байдал хариуцсан нэг албан тушаалтан хариуцаж байхад томоохон байгууллагад үйл ажиллагааны чиглэл бүрээр хэд хэдэн албан тушаалтнууд хариуцан ажилладаг тэргүүн туршлагууд олон байдаг.
Байгууллагын хувьд мэдээллийн аюулгүй байдлын ерөнхий үүрэг, хариуцлагыг ажлын байрны тодорхойлолт, зохион байгуулалтын зураглалаар эсвэл мэдээллийн аюулгүй байдлын бодлогод тусгаж өгөх байдлаар баримтжуулж болно. Мөн түүнчлэн удирдлагын тогтолцооны хүрээнд боловсруулж буй бодлого, журамд, төлөвлөгөө болон бусад баримт бичигт аюулгүй байдлын тодорхой үүрэг, хариуцлагыг илүү нарийвчлан баримтжуулах нь үр дүнтэй байдаг.
Жишээлбэл, мэдээллийн аюулгүй байдлын зөрчлийг хүлээн авч шийдвэрлэх үүрэг, хариуцлагыг ердийн ажлын шугамаар холбогдох ажилтанд хуваарилж болно. Мэдээллийн нөөцийн бодлогоор тодорхой цагт мэдээллийн системийн нөөцлөлтийг хийхээр заасан бол эдгээр ажлыг өгөгдлийн сангийн зохицуулагчид хэрэгжүүлэхээр үүрэг хариуцлагыг нь тодорхойлж албан ёсны болгох хэрэгтэй. Шууд удирдах албан тушаалтнууд нь хяналт-шинжилгээ, тайланг тогтмол хийж, үр дүнгийн талаар мэдээлэх үүрэгтэй.
Дээрхээс харвал аюулгүй байдлын бүх үүрэг, хариуцлагыг нарийвчлан тодорхойлсон нэг баримт бичиг байх шаардлагагүй гэдгийг ойлгох болно. Ийм төрлийн нэгдмэл баримт бичгүүд амьдралд илүү үр дүнтэй хэрэгжих боломж харьцангуй сул байх талтай. Учир нь зарим нэг журамд ямар нэг үүрэг, хариуцлагыг өөрчлөх шаардлага гарсан үед та нөгөө төвлөрсөн баримт бичигт мөн өөрчлөлт оруулах шаардлагатай болно. Эрт орой хэзээ нэгэн цагт нийцэхгүй асуудал гарах болно.
Мэдээллийн аюулгүй байдлын үүрэг хариуцлагыг баримтжуулах шаардлагаас дүгнэж үзвэл баримт бичгийг боловсруулах хэрэгцээ шаардлага юунд байгаагаа сайтар бодож үзэх хэрэгтэй гэж харж байна. Зөвхөн хөндлөнгийн аудиторт шалгуулах зорилгоор үүрэг хариуцлагын бие даасан том баримт бичиг боловсруулах зохимжтой биш юм. Гол нь танай байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог илүү үр дүнтэй болгох, үйл ажиллагаанд хэрэгжүүлэх, үнэлэх, дүгнэх, хянах зэргээр амьдралд илүү ойр хэрэгсэл байхаар үүрэг хариуцлагыг баримтжуулах нь чухал гэдгийг санаарай.