ISO 27001 стандартын 7-р бүлэг нь нөөцтэй холбоотой бөгөөд биет нөөц, материал, багаж хэрэгсэл, хүмүүс, дэд бүтэц зэрэг олон зүйлийг хамааруулан ойлгож болно. Шаардлагатай нөөцийг зөв бүрдүүлэх нь МАБУТ-г үр дүнтэй хэрэгжүүлэх, тасралтгүй сайжруулах үйл ажиллагааг хангахад чиглэгдэнэ. МАБУТ-г дэмжих, сайжруулахад шаардлагатай ур чадвар, мэдлэг, харилцаанд тавигдах шаардлагууд сургалт, хүний нөөцийг бэлтгэх үйл ажиллагаагаар дамжин хэрэгжиж байх ёстой.
Байгууллагын ажилтнууд мэдээллийн аюулгүй байдлын бодлого, түүний үр дүнтэй байдалд хэрхэн хувь нэмэр оруулж байгаа, дагаж мөрдөхгүй байх нь ямар үр дагаврыг бий болгохыг мэддэг байх шаардлагатай. Мэдээллийн аюулгүй байдлыг хангахтай холбоотой гадаад, дотоод харилцааны мэдээлэл солилцох үйл ажиллагаанд ч анхаарал хандуулж хэн хэзээ, юуг хэрхэн хийх тодорхой зохицуулж байх хэрэгтэй.
Стандартын шаардлагын хүрээнд “баримтжуулсан мэдээлэл” гэсэн нэр томьёо өргөн хэрэглэгддэг. Байгууллагууд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо зөв ажиллаж байгааг хянах, үнэлэлт дүгнэлт өгөх үүднээс зарим төрлийн баримтжуулсан мэдээллийг ажиллах шаардлагатай болдог. Энэхүү баримтжуулсан мэдээллийн боловсруулалт, ашиглалтад анхаарч байгаа нь мэдээллийн аюулгүй байдлын ач холбогдлыг харуулж буй нэг үзүүлэлт юм. Стандартын 7-р бүлгийн заалтуудыг задалж харвал дараах зүйлүүдийг дурдсан байна.
7.1 МАБУТ-г бий болгох, ажиллуулахад шаардагдах нөөц
7.2 Чадвар
7.3 Мэдлэг, ойлголт
7.4 Холбоо харилцаа
7.5 Баримтжуулсан мэдээлэл
7.1 Нөөц
Байгууллага мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог боловсруулж, хэрэгжүүлж, ажиллуулах, тасралтгүй сайжруулахад шаардлагатай нөөцийг тодорхойлж, хангана.
МАБУТ-г хэрэгжүүлэх, ажиллуулахад шаардлагатай нөөцийг бүрдүүлэх, хуваарилах үйл ажиллагаанд байгууллагын МАБУТ-ны хамрах хүрээнд үйл ажиллагаа явуулж буй бүх түвшний ажилтнуудад мэдлэг олгох болон тэдгээрт тавигдах шаардлагуудыг хамтад авч үзэх хэрэгтэй. Нарийвчлан авч үзвэл МАБУТ нь ажилтнуудыг бүтэн ажлын цагаар ажиллах нөөцийг бүрдүүлэхийг албан ёсоор шаардахгүй боловч үүрэг, хариуцлага, эрх мэдлийг тодорхой тодорхойлж зөв зохистой хэрэгжүүлж байхыг шаарддаг. Хавсралт А.6 заасан хяналт нь энэхүү шаардлагыг хэрэгжүүлэхэд нэн тохиромжтой.
МАБУТ-ны үр дүнтэй хэрэгжиж буй илэрхийлэх нэг чухал хүчин зүйл бол нөөцийг шаардлагатай үед нь ашиглах явдал юм. МАБУТ-ны хамрах хүрээнд ажиллаж буй бүх түвшний ажилтнууд өөрийн ажил үүргийг гүйцэтгэх хангалттай чадвартай байх ёстой. Өөрөөр хэлбэл өөрийн ажил үүргийг тасралтгүй, хэвийн явуулахад ямар нөөцүүд шаардлагатай байгаагаа тодорхойлж ажиллана гэсэн үг. Ингэснээр МАБУТ-ны үр дүнтэй хэрэгжилтийг бий болгож чадна.
МАБУТ нэвтрүүлэх төслийн болон төслийн дараах хэрэгжүүлэлтийн үйл ажиллагаанд эрх бүхий менежерүүдийн үүрэг, хариуцлага чухал байх болно.
Үүнийг ихэвчлэн дунд түвшний менежерүүд удирдан хэрэгжүүлэх нь түгээмэл. Томоохон хэмжээний байгууллагын хувьд мэдээллийн аюулгүй байдлын удирдлагыг хэрэгжүүлэх дээд түвшний бүтцийн зохион байгуулалтыг бий болгож ажиллах нь илүү үр дүнтэй байдаг. Энэхүү үйл ажиллагааны бүтэц, зохион байгуулалт нь мэдээллийн аюулгүй байдалд нөлөөлж буй янз бүрийн үйл ажиллагааг хариуцсан чиглэл бүрийн албан тушаалтнуудын оролцоотой хийгддэг. Эдгээр оролцогч талуудтай холбоотойгоор МАБУТ-г хэрэгжүүлэх үе шатаас эхлэн тэдэнд шаардлагатай ур чадваруудыг тодорхойлж хэрхэн бий болгох, ямар сургалтын хөтөлбөр боловсруулах, гадаад нөөцийг хэрхэн ашиглах зэргээр төлөвлөн ажиллах шаардлага үүсдэг. Энэ үйл явцыг чадамжийг бүртгэх, одоогийн чадамжийг дүгнэх, ур чадварын дутагдлыг арилгах төлөвлөгөө боловсруулан хэрэгжүүлэх бөгөөд дараах зүйлсийг мөн анхаарах шаардлагатай. Үүнд: зохих ур чадвар бүхий ажилтныг олж авах, богино хугацааны гэрээ байгуулах гэх мэт.
7.2 Чадавх
ISO 27001 стандартын 7.2-т байгууллага нь дараах зүйлийг баталгаажуулна гэж заасан байдаг.
a) Мэдээллийн аюулгүй байдлын гүйцэтгэлд нөлөөлөх ажил үүргийг гүйцэтгэж буй этгээдийн эзэмших шаардлагатай чадавхыг тодорхойлно.
b) Тухайн этгээд ажил, үүрэгтэйгээ холбоотойгоор шаардлагатай боловсрол эзэмшсэн, зохих сургалтад хамрагдсан, туршлага хуримтлуулсанд анхаарч ажиллана.
c) Шаардлагатай чадварыг олж авах зохих арга хэмжээ авах ба эдгээр арга хэмжээний үр нөлөөг үнэлнэ.
d) Эзэмшсэн чадварын нотолгоог баримтжуулсан мэдээлэл хэлбэрээр хадгална.
МАБУТ-ны хамрах хүрээнд ажиллаж буй ажилтнууд үүрэг хариуцлагатай байхыг шаарддаг. Чадавх нь сургалт, боловсрол, туршлага, ур чадвар олгох замаар бий болдог тул байгууллагын хүний нөөцийн үйл ажиллагаанд онцгойлон анхаарч үзэх хэрэгтэй. МАБУТ-г үр дүнтэй хэрэгжүүлэхэд шаардлагатай нөөцүүд хангалттай байх ёстой. Мэдээллийн аюулгүй байдлын хяналтуудыг үр дүнтэй хэрэгжүүлэх нь байгууллагын ажилчид, ханган нийлүүлэгчид, гүйцэтгэгчдийн мэдлэг, ур чадвараас ихээхэн хамаарна. ISO 27001 стандартын дагуу МАБУТ-г амжилттай хэрэгжүүлэх, тасралтгүй сайжруулах, зөв удирдахад бодит аюулгүй байдал, кибер аюулгүй байдал, компьютерийн аюулгүй байдал болон мэдээллийн аюулгүй байдлын болон бусад төрлийн мэдлэг чадвар, туршлага зайлшгүй шаардлагатай. Жишээлбэл: хууль эрх зүй, хүний нөөц, мэдээллийн технологи, тухайн ажлын хүрээнд холбогдох бүтээгдэхүүн, үйлчилгээний туршлагууд ч хамаарна.
МАБУТ-г бий болгох, ажиллуулах нь зөв зохион байгуулалттай багийн ажиллагаа юм.
Тогтолцооны хэрэгжилтийг шалгах аудиторын хувьд байгууллагын ажилтнуудын мэдлэг, ур чадварын шаардлагуудыг тодорхойлсон баримт бичигтэй байхыг шаардаж болно. Байгууллагын хувьд энэхүү шаардлагыг сургалтын гэрчилгээ, сургалтын ирцийн бүртгэл эсвэл ажилтны чадавхын үнэлгээ зэрэг бүртгэлээр баталгаажуулж болно. Ур чадварын матриц, үнэлгээ, ханган нийлүүлэгчийн үнэлгээ зэргийг ашиглан ур чадварын бүртгэлд тавигдах шаардлагыг хангах боломжтой.
МАБУТ-ны хамрах хүрээнд байгаа ажилчдын МАБУТ-д гүйцэтгэх үүрэг хариуцлага тодорхой чадваруудыг шаарддаг. Одоогийн ур чадварыг сайжруулахын тулд зорилтод сургалтын хөтөлбөрүүдийг хэрэгжүүлж болно. Жишээлбэл: Нийт ажилтнуудад зориулан мэдээллийн аюулгүй байдлын мэдлэг олгох, мэдээллийн аюулгүй байдлын чиг үүргийн ажилтнуудад МАБУТ-г үр дүнтэй сайжруулах арга техник, мэдээллийн аюулгүй аюулгүй байдлын инженерүүдэд аюулгүй байдлын зөрчлийг удирдах, хүний нөөцийн ажилтнуудад ажилтан сонгон шалгаруулах, ажилтнуудын үүрэг хариуцлага, ажлаас гарах процессын хяналтын хэрэгжүүлэх сургалтуудыг тус тус зохион байгуулж болно.
Сургалтын хөтөлбөрүүдийг боловсруулахдаа дараах зүйлсийг тусгаж болно. Тухайн сургалтын зорилтот бүлэг хэн болох, тэдэнд ямар мэдлэг хэрэгтэй, ямар хэлбэрээр зохион байгуулах, сургалтын давтамж, хэн зохион байгуулах, сургалтын материалыг хэрхэн бэлтгэх, үр дүнг хэмжих шалгуур, шалгалт, үр дүнтэй байдлыг хэмжих судалгаа авах гэх мэт. Эдгээр мэдээллийг хэрхэн бүрдүүлэхээ мэдэхгүй байвал сургалтын хэрэгцээ шаардлагын санал асуулга авч болно. Энэ төрлийн мэдээллийг олж авсны дараа сургалтын хөтөлбөрийг илүү үр дүнтэй боловсруулж чадна.
7.3 Мэдлэг ойлголт
Байгууллагын ажилтнууд дараах мэдлэгийг эзэмшсэн байна. Үүнд:
a) Мэдээллийн аюулгүй байдлын бодлого,
b) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр дүнтэй байдлыг нэмэгдүүлэх, мэдээллийн аюулгүй байдлын гүйцэтгэлийг сайжруулахад өөрийн зүгээс оруулах хувь нэмэр
c) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны шаардлагад үл тохирлын үр дагавар.
ISO 27001 стандартын 7.3-р заалт нь 7.2-ын чадавх, 7.4-т мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны талаар сонирхогч талуудад мэдээлэх заалтуудтай холбоотой. Байгууллагын ажилтнууд мэдээллийн аюулгүй байдлын бодлоготой танилцахын зэрэгцээ түүний агуулгыг мэдэж байх ёстой. ISO 27001 стандарт нь уг ажлыг хийж буй хүмүүс дараах зүйлсийг мэдэж байгаа эсэхийг баталгаажуулахыг хүсдэг. Мэдээллийн аюулгүй байдлын талаар ажилтнууд тодорхой мэдлэг, ур чадвартай байхаас гадна ханган нийлүүлэгчид, хамтрагчид, гүйцэтгэгчид ч мөн байгууллагын МАБУТ-ны шаардлагуудыг мэддэг байх шаардлагатай.
МАБУТ-ны хэрэгжилтийн нэг хэсэг болох мэдээллийн аюулгүй байдлын бодлогыг боловсруулахад тухайн байгууллагын хүмүүсийн хүлээлт, шаардлагуудыг тусгасан байх ёстой. Мэдээллийн аюулгүй байдлын бодлого нь баримтжуулсан мэдээлэл тул сонирхогч талууд өөрсдийн үүргийн талаар танилцаж мэдлэг ойлголтыг авах боломжтой. Түүнчлэн МАБУТ-ны аль хэсэг нь чухал болох ямар ямар бодлого, журмуудыг үйл ажиллагаанд мөрдөх мөрдөхгүй бол ямар үр дагавар бий болох, эрсдэлийн удирдлагыг хэрхэн хэрэгжүүлэх, зорилтуудыг хэрхэн хангах, үйл ажиллагааны хяналт, сайжруулалтын талаар мэдлэг ойлголтыг авсан байх хэрэгтэй. Ерөнхий агуулгаар нь харвал бүх ажилтан, ханган нийлүүлэгч, гүйцэтгэгчид дараах зүйлийг мэдэж байх ёстой. Байгууллагын шинээр ажилд орсон ажилтан, гэрээ байгуулан ажиллаж буй этгээд бүр дээрх мэдээллийг холбогдох арга замуудаар хүлээн авсан байх нь чухал.
7.4 Холбоо харилцаа
Байгууллага мэдээллийн аюулгүй байдлын менежментийн тогтолцоотой холбоотой гадаад болон дотоод харилцаа холбооны хэрэгцээ шаардлагыг тодорхойлно. Ингэхдээ:
a) Юуг мэдээлэх,
b) Хэзээ мэдээлэх,
c) Хэнд мэдээлэх,
d) Хэн мэдээлэх, ба
e) Уг холбоо харилцааг хэрэгжүүлэх үйл явцыг тодорхойлно.
МАБУТ-г хэрэгжүүлэхэд холбоо харилцаа чухал үүрэгтэй. Холбоо харилцааг хэрхэн зохион байгуулах нь мэдээллийн аюулгүй байдлыг хангах үйл ажиллагааны нэг хэсэг гэж харж болно. Зөв зохион байгуулагдсан холбоо харилцаа нь МАБУТ-ны үндсэн хяналтын нэг хэсэг юм. МАБУТ-нд хамаарах дотоод болон гадаад харилцаа холбоог тодорхойлохоос гадна тэдгээрийг хэрэгжүүлэх үйл явцыг тодорхойлох ёстой бөгөөд үүнд юу мэдээлэх, хэн, хэзээ хийх, хэн хүлээн авах шаардлагатайг харгалзан үзнэ. Байгууллагын МАБУТ дахь үйл явцыг үр дүнтэй ажиллуулахын тулд холбоо харилцааны үйл ажиллагааг сайтар төлөвлөж, удирдаж байх ёстой.
Хэрэв стандартын холбоо харилцааны шаардлагууд байгууллагын үйл явц, бодлого, журамд сайн тодорхойлогдсон бол энэ шаардлагыг хангахын тулд өөр зүйл хийх шаардлагагүй. Хэрэв тийм биш бол холбоо харилцааны үндсэн үйл ажиллагаагаа дээр дурдсан шаардлагад нийцүүлэх талаар бодох хэрэгтэй. Сургалтын үйл ажиллагааны бүртгэлтэй адилхан холбоо харилцааны баримт бичгийн агуулгыг бас мэдээлэх шаардлагатай гэдгийг санаарай. Зөв зохион байгуулалттай холбоо харилцаа нь зорилтот бүлгийг тодорхойлох, ашиглаж болох механизм, харилцааны агуулга, харилцааны давтамжийг шаарддаг. Холбоо харилцаа хэрэгцээ шаардлага тодорхойлох зарим процессууд нь эдгээр элементүүдийг тодорхойлж, харилцааны цогц төлөвлөгөөг боловсруулах боломжийг олгодог.
7.4-р заалтын хувьд аюулгүй байдлын хэд хэдэн асуултад тодорхой хариулт өгөх шаардлагатай гэдгийг дээр дурдсан стандартын заалтаас харж болно.
Агуулга талаас авч үзвэл байгууллагын мэдээллийн аюулгүй байдлын хэрэгцээ, шаардлагаа тодорхой илэрхийлэх ёстой. Ингэснээр эрсдэлийн удирдлага, аюулгүй байдлын зорилтууд, эмзэг байдал, үйл явдал, асуудлыг шийдвэрлэх талаар бүх ажилтан болон талуудад хангалттай хариулт өгөх чадамжтай байх болно. Гэрээнд аюулгүй байдлын шаардлагуудыг тусгасан заалтуудыг тусгах замаар бүтээгдэхүүн , үйлчилгээ нийлүүлэгчдэд шаардлагаа илэрхийлэх хэрэгтэй. Иймээс үүнийг холбоо харилцааны нэг хэсэг гэж үзэж болно.
Ямар мэдээлэл солилцох вэ?
Байгууллагын хувьд өөрийн хүлээсэн үүрэг, бизнесийн шаардлагад нийцүүлэн мэдээллийн хэлбэр, агуулгын хувьд тодорхой байлгах ёстой. Холбоо харилцааны мэдээллийн хэлбэр, агуулгыг албан болон албан бус байдлаар богино өгүүллэг, зураг, зүйрлэл, хөдөлгөөнт кино зэргийг ашиглаж болно. Мэдээ, мэдээлэл нь тодорхой, ойлгомжтой, богино, чанартай байснаар жинхэнэ зорилгоо хэрэгжүүлж чадна.
Хэн хариуцах вэ?
Байгууллага гадаад талуудтай харилцах эрх бүхий этгээдүүдийг тодорхой болгох ёстой. Томоохон компаниуд гадаад талуудтай харилцах олон нийттэй харилцах алба эсвэл ажилтантай байдаг. Харилцагч нь мэдээ, мэдээллийг зохих ёсоор хүлээн авч, дараа нь хүлээгдэж буй үйлдэл эсвэл хариу үйлдэл үзүүлэхийг баталгаажуулах зохих эрх мэдэлтэй байх ёстой.
Хэнд зориулагдсан байх ёстой вэ?
Хүн бүр бүх мэдээллийг хүлээж авах ёсгүй. Мэдээлэл нь мэдээллийн ангилал, шаардлагатай техникийн мэдлэг, тухайн байгууллагад гүйцэтгэх үүрэг зэргээс шалтгаалан тодорхой үзэгчдэд чиглэсэн байх ёстой. Холбоо харилцаа нь үр дүнтэй ажиллах ёстой бөгөөд түүнд үндэслэн ажиллах шаардлагатай хүмүүст зориулагдсан байна. Хамгийн түгээмэл жишээ бол хэрэглэгчид, түншүүд, дотоод болон гадаад үйлчилгээ үзүүлэгчид, зохицуулах байгууллага, хувьцаа эзэмшигчид гэх мэт.
Хэрхэн ажиллах вэ?
Хамгийн энгийн арга бол аюулгүй байдлын бодлого, бодлогын зорилтыг хангахын тулд юуг яаж хийхийг тодорхойлсон бүх төрлийн баримт бичгийг боловсруулах, ашиглах юм. Ялангуяа онцгой байдал үүссэн болон ноцтой зөрчил тохиолдсон үед мэдээ, мэдээллийг холбогдох удирдлага, талуудад яаралтай дамжуулах шаардлагатай болно. Холбоо харилцаа нь зорилтот хэсгүүдэд нэн даруй, үр дүнтэй хүрэхийн тулд өмнө нь тодорхойлсон сувгуудыг ашиглах ёстой. Үүнийг мэдээлэл дамжуулах бодлогын баримт бичгээр тодорхойлсон байж болно. Жишээ нь: цахим шуудан, богино мэдээ, дэлгэц амраагч, зурагт хуудас, аудио богино мэдээ гэх мэт.
Хэзээ?
Холбоо харилцаа нь тасралтгүй, үйл явдалд суурилан дамжуулсан мэдээг олон удаагийн давтамжтай илгээж байх шаардлагатай тохиолдлууд олон байдаг. Онцгой нөхцөл байдал үүссэн мэдээ, мэдээлэл дамжуулах хэлбэр, агуулга, сувгийг өөрчлөх боломжтой байх ёстой. Хэвийн нөхцөлд харилцах нь онцгой байдал үүссэн үеийн харилцаанаас эрс ялгаатай байдгийг санах хэрэгтэй.
Дотоод болон гадаад холбоо харилцаа нь харилцан адилгүй байж болно. Дотоод холбоо харилцаанд байгууллагын дээд удирдлага нь мэдээллийн аюулгүй байдлын зорилго, амлалтынхаа талаар мэдээлэл илгээхийн тулд дотоод харилцааны тогтсон сувгуудыг ихэвчлэн ашигладаг. Гэхдээ дотоод харилцааны мэдээлэл солилцох систем нь нэг чиглэлтэй байж болохгүй. Цахим шуудан, утас гэх мэт сувгууд нь зарим байгууллагын хувьд нэг талдаа хаалттай байх нь түгээмэл харагддаг. ЭНэ тохиолдолд ажилтан, харилцагч, хэрэглэгчдээс удирдлагад мэдээлэл дамжуулах боломжгүй байдлыг үүсгэдэг.
Гадаад холбоо харилцааны хувьд дээрх жишээнүүд ч мөн хамааралтай. Байгууллагуудын хувьд зохицуулах байгууллага, төрийн байгууллагууд, хувьцаа эзэмшигчид, үйлчлүүлэгчид, түншүүд гэх олон төрлийн гадаад талуудтай мэдээлэл солилцдог ба ээнэ тохиолдолд тэдгээрийг зохицуулсан бодлого, журам, заавар мэт албан ёсны зохицуулалт хэрэгтэй болно. Зохицуулалтын цар хүрээ, ойлгомжтой байдал, хэрэглээнээс хамааран зарим тохиолдолд зарим тохиолдолд нөхцөл байдлыг улам дордуулах эмзэг чухал мэдээллийг дамжуулж болзошгүй тул илүү хяналттай байх хэрэгтэй.
Байгууллагын үйл ажиллагааны цар хүрээ, аюулгүй байдлын зорилтуудаас хамааран холбоо харилцааны зохицуулалт нь албан ёсны бие даасан баримт бичиг болох бодлого, журмаар тодорхойлогдсон байж болно. Хэрэгтэй цагтаа, хэрэгтэй хүндээ, шаардлагатай мэдээлэл хүрч байх холбоо харилцааны зохицуулалтыг хэрэгжүүлэх хэрэгтэй.
7.5 Баримтжуулсан мэдээлэл
7.5.1 Ерөнхий
Байгууллагын мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо нь:
a) Энэ стандартад шаардсан баримтжуулсан мэдээлэл, ба
b) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр нөлөөг хангахад шаардлагатай гэж байгууллагын тодорхойлсон баримтжуулсан мэдээллийг агуулсан байна.ТАЙЛБАР: Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны мэдээллийн хэмжээ өөр байж болно.
ТАЙЛБАР: Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны баримтжуулсан мэдээлэл нь дараах хүчин зүйлсээс хамаарч байгууллага бүрд харилцан адилгүй байж болно.Үүнд:
1) Байгууллагын хэмжээ болон үйл ажиллагаа, бүтээгдэхүүн ба үйлчилгээний төрөл,
2) Үйл явцын нарийн төвөгтэй ажиллагаа ба харилцан үйлчлэл,
3) Холбогдох мэргэжилтний чадавх
7.5.2 Боловсруулах ба шинэчлэх
Байгууллага баримтжуулсан мэдээллийг боловсруулан, шинэчлэхдээ дараах зүйлсийг онцгой анхаарна. Үүнд:
a) Тодорхойлох ба тайлбарлах (жишээ нь: нэр, огноо, зохиогч ба баримт бичгийн дугаар гэх мэт),
b) Хэв маяг (жишээ нь: хэл, программ хангамжийн хувилбар, график гэх мэт) болон агуулагдах хэлбэр (цахим, цаасан гэх мэт),
c) Зохицол ба нарийвчлал хангалттай эсэхийг шалгаж, батлуулах.
7.5.3 Баримтжуулсан мэдээллийн хяналт
Дараах шаардлагыг хангахын тулд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо болон энэ стандартад шаардлагатай баримтжуулсан мэдээллийн хяналтыг хэрэгжүүлнэ. Үүнд, баримтжуулсан мэдээлэл нь:
a) Шаардлагатай үед, шаардлагатай газар хүртээмжтэй болон тохиромжтой хэлбэрээр байгаа эсэх,
b) Зохих хэмжээнд хамгаалсан эсэх (нууцлал алдагдах, зохисгүй ашиглах ба дутах гэх мэт) байна.
Хяналтын чиглэлээр байгууллага дараах үйл ажиллагааг хамруулна (хэрэв байгаа бол). Үүнд: баримтжуулсан мэдээллийг:
c) Түгээх, хандах, буцаах ба хэрэглэх,
d) Хамгаалах, мөн хүчин төгөлдөр байдлыг хадгалах,
e) Өөрчлөлтийг хянах (жишээ нь: хувилбарт орсон өөрчлөлт), болон
f) Хадгалах ба устгахМэдээллийн аюулгүй байдлын менежментийн тогтолцооны төлөвлөлт ба ажиллагаанд шаардлагатай хэмээн байгууллагын тодорхойлсон гадаад эх сурвалж бүхий баримтжуулсан мэдээллийг хянагдсан, ашиглахад тохиромжтой хэмээн тодорхойлно.
Ерөнхийдөө 7.5-д МАБУТ-ны үйл ажиллагааг дэмжих баримт бичиг, бүртгэл хөтлөхтэй холбоотой шаардлагуудыг тусгасан байдаг. МАБУТ-г хэрэгжүүлэх үйл ажиллагаатай холбоотой баримтжуулсан мэдээлэл нь үнэн зөв байх, ойлгомжтой байх, хууль эрх зүйн шаардлагад нийцсэн байх, мэдээллийн аюулгүй байдлын эрсдэлийг удирдах, зорилгодоо хүрэхэд чиглэгдсэн байна. Эдгээр шаардлагыг хангаж байгаа эсэхийг баталгаажуулах үйл явцыг хэрэгжүүлэх шаардлагатай. Баримтжуулсан мэдээллийг нийтийн хүртээл болгохоос өмнө холбогдох эрх бүхий албан тушаалтнууд хянаж баталгаажуулдаг байх зохимжтой.
Байгууллага нь баримтжуулсан мэдээллийн бэлэн байдлыг алдагдуулах, санамсаргүйгээр өөрчлөх, гэмтээх, устгах, зөвшөөрөлгүй хүмүүст хандах боломжгүй байх хяналтуудыг хэрэгжүүлэх хэрэгтэй. Удирдлагын тогтолцооны зорилгод нийцүүлэн үйл явцуудыг гүйцэтгэхийн тулд баримт бичиг нь чухал юм. Баримт бичиг нь таны хийх гэж буй зүйлийг тодорхойлж, хэлсэн зүйлээ хийж байгааг нотлох баримт болдог. Баримт бичгийн цар хүрээ нь стандартаар нарийвчлан тодорхойлогдоогүй бөгөөд олон хүчин зүйлээс хамаарч өөр өөр байж болно. Үүнд: байгууллагын хэмжээ, үндсэн чиг үүрэг, үйл явцын нарийн төвөгтэй байдал, харилцан ажиллагаа, гадаад орчин, ажилтны ур чадвар, хууль эрх зүй болон зохицуулалтаар хүлээсэн үүрэг гэх мэт.
Баримт бичгийн хэрэглэгч, хамрах хүрээг анхаарч үзэх хэрэгтэй.
Эдгээр нь баримт бичигт агуулагдсан мэдээлэлд хандах шаардлагатай эрх бүхий хүмүүст хэрэгтэй байдаг. Байгууллагууд үйл явцыг зохицуулах баримт бичгийг зохих ёсоор нь боловсруулах үүрэгтэй боловч хамгийн гол нь баримт бичгээ дагаж мөрдөх нь чухал. “Хийж байгаа зүйлээ хэлж, хэлсэн зүйлээ хий.” гэдэг үгийг санах хэрэгтэй. Албан ёсоор баримтжуулаагүй дараах шинж чанар бүхий үйл явцыг зөвшөөрөх тэргүүн туршлагууд байдаг. Үүнд: системлэгдсэн, мэдээлэгдсэн, ойлгомжтой, хэрэглээнд бүрэн нэвтэрсэн, үр дүнг тодорхойлсон байх.
Эх сурвалж талаасаа баримтжуулсан мэдээлэл нь дотоод эсвэл гадаад байж болох тул хяналтын үйл явцууд хоёр эх сурвалжаас баримтжуулсан мэдээллийг удирдах шаардлагыг бий болгодог. Баримт бичгийн хяналтыг сайтар хэрэгжүүлсэн байгууллагууд ихэвчлэн дараах зүйлүүдийг хийдэг. Шинээр боловсруулсан болон өөрчлөлт оруулсан баримт бичгийг хянаж, зохих байдлаар хадгалж, солих үед хэрэглээнээс хасаж бүртгэлийг баталгаажуулах үүрэгтэй нэгж, ажилтнуудыг томилон ажиллуулдаг. Цахим баримт бичгийн удирдлагын системийг үйл ажиллагаанд ашигладаг. Мэдээллийн цахим нөөцлөлт, хатуу хуулбар файл архивлах/хадгалах процессуудыг тодорхойлж, баримт бичгийн хяналт, бүртгэл хөтлөлт, мэдээлэлд нэвтрэх/хадгалах шаардлагуудын талаар ажилтнуудаа өндөр түвшинд сургасан байдаг.
Эцэст нь дүгнэж үзвэл байгууллага нь МАБУТ-нд шаардлагатай дэмжих үйл ажиллагааг өргөн хүрээтэй хэрэгжүүлснээр тогтолцооны үр дүнтэй байдлыг хангах боломжтой болно. Энэхүү дэмжих үйл ажиллагааг нөөц, чадавх, мэдлэг, холбоо харилцаа, баримжуулсан мэдээллийг тодорхойлж тэдгээрийг хангах, хэрэгжүүлэх чиглэлээр ажиллах шаардлагатай.