5.1 Манлайлал ба амлалт
Байгууллагын дээд удирдлага нь мэдээллийн аюулгүй байдлын менежментийн тогтолцоонд анхаарал хандуулж, үүрэг хүлээж байгаагаа дараах байдлаар харуулна. Ингэхдээ:
a) Байгууллагын стратегийн чиглэлд нийцүүлсэн мэдээлэл технологийн бодлого болон мэдээллийн аюулгүй байдлын зорилтыг тодорхойлох,
b) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны шаардлагыг байгууллагын үйл явцтай нэгтгэх,
c) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонд шаардлагатай нөөцөөр хангах,
d) Үр дүнтэй мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо болон шаардлагын нийцлийг хангахын ач холбогдлыг таниулах,
e) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны зорилтот үр дүнд хүрч байгааг нягтлах,
f) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны үр дүнтэй байдлыг хангахад ажилтныг чиглүүлэх, дэмжих,
g) Тасралтгүй сайжруулахыг дэмжин ажиллах, ба
h) Тус тусын хариуцсан салбар, хэсэгт удирдлагын холбогдох өөр бусад үүрэг хариуцлагад манлайлалтай хандана.
ISO 27001 стандартын шаардлагад мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог бий болгоход байгууллагын дээд удирдлагын манлайлал чухал болохыг дээрх агуулгаа заасан байдаг. Дээд удирдлагын хүлээх үүрэг хариуцлага бол мэдээллийн аюулгүй байдлын бодлогыг тодорхойлж мэдээллийн аюулгүй байдалтай холбоотой үүрэг хариуцлага, зорилт, зарчмуудыг зааж өгөх явдал юм.
Дээд удирдлага нь байгууллагын үндсэн чиглэл, эрх мэдэл, бодлого, засаглал, зохион байгуулалтын бүх түвшинд манлайллыг хангах харуулж байх нь нэн чухал. Энэхүү манлайлал нь мэдээллийн аюулгүй байдлын зорилтыг тодорхойлж, стратегийг тодорхойлж, мэдээллийн аюулгүй байдлыг хангах чиглэлээр ажилтнуудад анхаарлаа төвлөрүүлж, ажиллах итгэл, урам зоригийг өдөөж өгдөг. Нөгөө талаас энэ нь бизнесийг хамгаалах, дэмжих чиглэлээр аюулгүй байдлын соёл, ажилтнуудын аюулгүй байдлын мэдлэг, ур чадварыг хөгжүүлэхэд чухал нөлөө үзүүлдэг. Манлайлал нь ажилтнуудыг урамшуулж, алсын хараанд чиглүүлэхийн зэрэгцээ алсын харааг удирдаж, хянаж буй хүмүүсийн үйл ажиллагааг дэмжихэд чиглэгддэг.
Байгууллагын дээд удирдлага нь МАБУТ-г бий болгох үйл ажиллагааг манлайлж, дэмжиж байгаагаа тодорхой харуулах ёстой. Энэ нь мэдээллийн аюулгүй байдлын бодлого, зорилт, хүрэх үр дүнг баталгаажуулах, өдөр тутмын үйл ажиллагааны бүрдэл хэсэг болсон эсэхийг шалгах, шаардлагатай нөөцийг шийдвэрлэх, бэлэн байлгах зэргээр амлалт өгнө гэсэн үг.
Манлайллыг хэрэгжүүлэх
Удирдлагын түвшинд аюулгүй байдлын стратегийг боловсруулж хэрэгжүүлэх ажлыг бүрэн хариуцах үүрэгтэй. Байгууллагын мэдээллийн аюулгүй байдлын стратеги нь байгууллагын ерөнхий стратегийн зорилтуудтай нийцсэн байх ёстой. Ажилтан бүр ямар мэдээлэлд хандах боломжтойг тодорхойлж, тэдний компьютерт хадгалагдсан нууц мэдээллийг багасгах зорилгоор програмын шийдлийг хэрэгжүүлэх замаар энэ төрлийн эрсдэлийг бууруулж болно. Түүнчлэн, аюулгүй байдлын хяналтыг үр дүнтэй хэрэгжүүлэхийн тулд технологийн шийдэлд бүрэн найдаж болохгүй. Ажилтан бүрийн ашиглаж буй мэдээлэл, ажлын байрны аюулгүй байдалтай холбоотой үүрэг хариуцлагыг нарийвчлан заасан бодлого, журмуудыг боловсруулан мөрдүүлэх хэрэгтэй.
Байгууллагын үйл ажиллагаа өргөжин тэлэхийн хэрээр аюулгүй байдлын системүүд болон үйл ажиллагаануудтай зарим талаар зөрчил үүсгэх нь түгээмэл байдаг. Тиймээс байгууллагын аюулгүй байдлын дүрмүүдийг ажилтнуудын ажил хэргээ явуулах хэрэгцээ, шаардлагад нийцүүлэн тэнцвэржүүлэх шаардлага үүснэ. Аюулгүй байдлын үндсэн зорилго нь бизнесийн хамгаалах байдаг дараагийн зорилго нь бизнесийг дэмжихэд чиглэгддэг гэдгийг санах хэрэгтэй. Эцэст нь аюулгүй байдлын шаардлагуудыг үйл ажиллагаанд хамгийн оновчтой байдлаар нэгтгэх хэрэгтэй. Мэдээллийн аюулгүй байдлын чиг үүрэг нь байгууллагын засаглалын хөтөлбөрийг амжилттай үр дүнтэй хэрэгжүүлэхэд маш чухал дэмжлэг болдог.
5.2 Мэдээллийн аюулгүй байдлын бодлого
Байгууллагын дээд удирдлага дараах шаардлагыг хангасан мэдээллийн аюулгүй байдлын бодлогыг тодорхойлно. Үүнд:
a) Байгууллагын зорилгод нийцсэн байх,
b) Мэдээллийн аюулгүй байдлын зорилгыг нэгтгэсэн (6.2 зүйлийг харна уу) эсвэл мэдээллийн аюулгүй байдлын зорилтыг тогтоох тогтолцоог тодорхойлсон байх,
c) Мэдээллийн аюулгүй байдалтай холбоотой холбогдох шаардлагыг хангахыг зорьсон байх,
d) Мэдээллийн аюулгүй байдлын менежментийн тогтолцоог тасралтгүй сайжруулахыг зорьж ажиллана.
Мэдээллийн аюулгүй байдлын бодлого нь:
e) Баримтжуулсан мэдээлэл байна,
f) Байгууллагын хэмжээнд тайлбарлан, танилцуулсан,
g) Сонирхогч талд нээлттэй байна.
ISO 27001 стандартын 5.2 шаардлагын дагуу байгууллагын удирдлага мэдээллийн аюулгүй байдлын бодлогоо боловсруулж баримтжуулан баталгаажуулж бүх оролцогч талуудад мэдээлэх үүрэгтэй хүлээдэг. Тэгвэл мэдээллийн аюулгүй байдлын бодлогыг хэрхэн, ямар агуулгыг багтаан боловсруулах вэ? Нийтлэг асуудал бол мэдээллийн аюулгүй байдлын бодлогын агуулга болон зорилгыг ихэнхдээ буруугаар ойлгож бодлогын баримт бичигтээ аюулгүй байдлынхаа талаар бүгдийг бичих хэрэгтэй гэж боддог. Тэгвэл аюулгүй байдлын бүх зүйлүүдээ мэдээллийн аюулгүй байдлын бодлогодоо тусгах нь ISO 27001 стандартын шаардлага биш гэж үү? гэсэн асуулт гарч ирнэ.
Стандартын шаардлагын дагуу мэдээллийн аюулгүй байдлын бодлогын зорилго нь вэ?
Ихэнх тохиолдолд удирдах албан тушаалтнууд мэдээллийн аюулгүй байдал нь байгууллагынх нь үйл ажиллагаанд хэрхэн тусалж болох талаар ямар ч ойлголтгүй байдаг тул бодлогын гол зорилго нь дээд удирдлага нь мэдээллийн аюулгүй байдлыг хангах замаар юунд хүрэхийг хүсэж байгаагаа тодорхойлох явдал гэж ойлгож болно. Дараагийн зорилго нь удирдах албан тушаалтнууд МАБУТ-ны бүх зүйлийг хянах, МАБУТ-г хэн хариуцаж байгаа, юу хүлээж байгаа, ямар зарчим мөрдөж зэрэг үндсэн мэдээллийг тодорхойлох юм.
Мэдээллийн аюулгүй байдлын бодлого юу агуулсан байх ёстой вэ?
ISO 27001 стандарт нь бодлогын талаар дараах шаардлагуудыг агуулсан байдаг.
- Байгууллагын үйл ажиллагаанд нийцсэн байх;
- Мэдээллийн аюулгүй байдлын зорилтуудыг агуулсан байх;
- Сонирхогч талуудын шаардлагыг биелүүлэх, МАБУТ-г тасралтгүй сайжруулах удирдлагын амлалт;
- Байгууллага дотооддоо болон холбогдох сонирхогч талуудад мэдээлэгдсэн байх;
- Бодлогыг тогтмол хянаж сайжруулж байх;
Мэдээллийн аюулгүй байдлын бодлогын баримт бичиг нь нүсэр, том хэмжээний баримт бичиг байх шаардлагагүй байдаг. Өөрөөр хэлбэл мэдээллийн аюулгүй байдлын бүх дүрмийг нэг бүрчлэн тусгах шаардлагагүй гэсэн үг. Харин тэрхүү тусгайлсан дүрмүүдийг стандартын Хавсралт А-д заасан хяналтын хэрэгжүүлэлттэй уялдуулан тусгай бодлого эсвэл ерөнхий журмуудаар зохицуулаад явж болно. Байгууллагын үйл ажиллагааны цар хүрээ, хэмжээнээс хамаарч бодлогын баримт бичгийн боловсруулалтыг хэрхэн хийх нь эцэстээ тухай байгууллагын шийдвэрлэх асуудал байх болно. Жижиг хэмжээний байгууллагын мэдээллийн аюулгүй байдлын бодлогодоо зарим тусгайлан дүрмүүдийг зааж өгч болох бол томоохон хэмжээний байгууллагын хувьд тусад нь боловсруулах үр дүнтэй байдаг.
Жишээлбэл МАБУТ-ны хамрах хүрээ бие даасан тусдаа баримт бичиг байхгүй шаардлагагүй тул бусад баримт бичгүүдтэй нэгтгэж болно. Санаа нь бодлогын баримт бичиг тусгаж болно гэсэн үг.
МАБУТ-ны үүрэг хариуцлагыг мэдээллийн аюулгүй байдлын бодлогодоо тусгаж өгснөөр өдөр тутмын зохицуулалт, эрсдэлийн үнэлгээ, зөрчлийг удирдлага, хяналтын үүрэг хариуцлагыг илүү өндөр түвшинд гаргаж ирж болно. Мэдээллийн аюулгүй байдлын зорилгод хүрсэн эсэх, үр дүнг хэнд, хэр давтамжтайгаар мэдээлэх шаардлагатайг хэн хэмжих вэ? гэсэн агуулгаар мэдээллийн аюулгүй байдлын бодлогыг баяжуулж болно.
Мэдээллийн аюулгүй байдлын бодлогыг боловсруулах үед дараах зүйлсийг анхаарч үзэх хэрэгтэй.
Мэдээллийн аюулгүй байдлын талаарх дээд удирдлагын зорилгыг гүйцэтгэх захирал болон удирдлагын багынхаа гишүүдээс мэдээлэл авч боловсруулах нь үр дүнтэй байдаг. Иймээс холбогдох удирдлагуудтайгаа уулзалт зохион байгуулж, шаардлагатай мэдээллүүдээр хангах замаар зохион байгуулбал илүү үр дүнтэй байх болно. Өөр нэг чухал зүйл бол хууль тогтоомж, гэрээний шаардлага дээр анхаарал хандуулах хэрэгтэй. Хүчин төгөлдөр мөрдөгдөж байгаа болон шинээр батлагдсан хууль тогтоомжууд болон байгууллагын гэрээний үүргийн биелэлтийг хангаж буй байдал тэдгээрийг хэн хэрхэн хариуцаж хэрэгжүүлж байгаа талаар авч үзэх хэрэгтэй. Мэдээллийн аюулгүй байдлын зорилтууддаа анхаарал хандуулах хэрэгтэй.
Мэдээллийн аюулгүй байдлын бодлого нь таны дээд удирдлага болон мэдээллийн аюулгүй байдлын үйл ажиллагаа хоорондын гол холбоос болж үйлчлэх ёстой. Ялангуяа ISO 27001 стандарт нь МАБУТ болон түүний зорилго нь компанийн стратеги чиглэлтэй нийцэж байгаа эсэхэд хяналт тавихыг байгууллагын удирдлагаас шаарддаг. Бодлого бол үүнийг хэрэгжүүлэх хамгийн сайн арга байх болно. Тиймээс бодлогыг илүү ойлгомжтой байлгах хэрэгтэй. Өөрөөр хэлбэл мэдээллийн аюулгүй байдлын бүх дүрмийг тайлбарлах гэж оролдсон олон арван хуудастай урт баримт бичиг байхаас татгалзах хэрэгтэй гэсэн үг. Товчхондоо бол энэ нь хэн ч хэзээ ч уншихгүй баримт бичгийг бүтээх хамгийн сайн шалгарсан арга юм.
Мэдээллийн аюулгүй байдлын бодлогыг хэрхэн боловсруулах талаар янз бүрийн асуултууд байнга гардаг. Бүх аюулгүй байдлын дүрмийг нэг баримт бичигт багтаах нь тийм ч зохимжтой биш талаар дээр дурдсан. ISO 27001:2005 оны хувилбар дээр МАБУТ-ны бодлого гэсэн агуулгаар тодорхойлж байсан бол ISO 27001 2013 оны шинэчилсэн найруулгад МАБУТ-ны бодлогын оронд “Мэдээллийн аюулгүй байдлын бодлого” гэж нэрээр явах болсон. Тиймээс энэ хоёр бодлогын хооронд ялгаа байхгүй болсон.
МАБУТ-г нэвтрүүлж эхлэхэд энэхүү дээд түвшний бодлогыг дараах хувилбаруудаар боловсруулж болно.
а) Мэдээллийн аюулгүй байдлын бүх бодлогыг нэг баримт бичигт нэгтгэх, b) Мэдээллийн аюулгүй байдлын бодлого болон Үйл ажиллагааны мэдээллийн аюулгүй байдлын бодлогыг тусад нь бичих (үйл ажиллагааны мэдээллийн аюулгүй байдлын бодлого нь Хавсралт А-д заасан ихэнх хяналтыг хамаарна), в) Мэдээллийн аюулгүй байдлын бодлогыг тусад нь боловсруулж, хавсралт А-д заасан хяналтуудыг өөр өөр баримт бичигт тус тус тусгаж болно.
Тэргүүн туршлага бол эдгээр аюулгүй байдлын дүрмийг тус тусад нь Хандалтын хяналтын бодлого, Мэдээллийн ангиллын бодлого, Хүлээн зөвшөөрөх хэрэглээний бодлого гэх мэт хэд хэдэн бодлогод хуваах явдал юм. Ингэснээр бодлого нь уншиж, ойлгоход хялбар, богино байхаас гадна бодлогын эзэмшигч нь тодорхой болж хэрэгжилт болон сайжруулалтыг хийхэд илүү хялбар байх болно. Гэхдээ аль сонголтыг сонгохоос үл хамааран хамгийн чухал зүйл бол танай байгууллагад хамгийн тохиромжтой, юу тохирохыг тодорхойлох ёстой. Бусад байгууллагын бодлого, журам танай байгууллагад тохирч байгаа ашиглах болно гэж бүү бодоорой.
Бодит амьдрал дээр мэдээллийн аюулгүй байдлын бодлогуудыг нарийвчлан бичсэн 50 ба түүнээс дээш хуудас бүхий бодлогууд олонтаа байдаг. Эдгээр нь ихэвчлэн аудиторын сэтгэлд нийцэх цорын ганц зорилго бүхий хиймэл баримт бичиг болж үлдэх нь түгээмэл.
Гэхдээ яагаад ийм бодлогыг хэрэгжүүлэхэд туйлын хэцүү байдаг вэ?
Учир нь тэд хэтэрхий олон асуудлыг хамрах гэж оролддог бөгөөд өргөн хүрээний хүмүүст зориулагдсан байдаг. Ийм учраас мэдээллийн аюулгүй байдлын тэргүүлэх стандарт ISO 27001 нь мэдээллийн аюулгүй байдлын бодлогын янз бүрийн түвшнийг тодорхойлдог. Мэдээллийн аюулгүй байдлын бодлого нь ихэвчлэн стратегийн зорилго, зорилтуудыг тодорхойлдог бол тусгай бодлогууд нь мэдээллийн аюулгүй байдлын тодорхой сонгосон хэсгийг илүү нарийвчлан, тодорхой үүрэг хариуцлагыг заах байдлаар тодорхойлогддог.
Тусгай бодлогод илүү дэлгэрэнгүй агуулга багтах ёстой тул ихэвчлэн урт буюу арав хүртэлх хуудастай байдаг. Хэрэв тэд үүнээс хамаагүй урт байсан бол тэдгээрийг хэрэгжүүлэх, хадгалахад маш хэцүү байх болно. Өөрөөр хэлбэл, мэдээллийн аюулгүй байдал нь дэндүү төвөгтэй асуудал бөгөөд нэг бодлогоор тодорхойлох боломжгүй тул МАБУТ-ны өөр өөр талууд болон өөр өөр “зорилтот бүлгүүд”-ийн хувьд өөр өөр бодлого байх нь зохимжтой. Дундаж хэмжээний байгууллагууд ихэвчлэн МАБУТ-ндоо зориулж арван таван хүртэлх бодлогыг боловсруулдаг. Эдгээр бодлого нь байгууллагын хувьд нэмэлт зардал болохоос өөр зүйл биш гэж хэлж болно. Хэрэв ийм бодлогыг зөвхөн баталгаажуулалтын аудитыг бодож бичсэн бол санал нийлж болно. Ийм бодлого нь хүнд суртлаас өөр юу ч авчрахгүй. Гэхдээ эрсдэлийг бууруулах зорилготой бодлого бичсэн бол тэр даруйдаа биш юмаа гэхэд хоёр, гурван жилийн дараа тохиолдлын тоог бууруулж үнэ цэнийг нь харуулж байх ёстой.
5.3 Байгууллага дахь үүрэг, хариуцлага, эрх мэдэл
Байгууллагын дээд удирдлага мэдээллийн аюулгүй байдалтай холбогдох үүрэг, хариуцлага болон эрх мэдлийг оноож, хуваарилсан байна. Дээд удирдлага дараах зорилгоор үүрэг амлалт ба эрх мэдлийг томилно. Үүнд:
a) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог энэ стандартын шаардлагад нийцүүлэх,
b) Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны гүйцэтгэлийг дээд удирдлагад тайлагнах.ТАЙЛБАР: Байгууллагын дээд удирдлагаас мэдээллийн аюулгүй байдлын удирдлагын
тогтолцооны гүйцэтгэлийг байгууллагад тайлагнах үүрэг хариуцлага, эрх мэдлийг тогтоож болно.
Мэдээллийн аюулгүй байдлын хөтөлбөрийг зохион байгуулах, үр дүн хэрэгжүүлэхэд дээд удирдлагын оролцоо маш чухал. “Дээд түвшний удирдлага” гэсэн тодорхойлолт нь байгууллагын хэмжээ, бүтцээс хамаарч өөр өөр байж болох ч ерөнхийдөө байгууллагын стратегийн шийдвэр гаргах үүрэгтэй удирдлагын багийг ойлгоно. Мэдээллийн аюулгүй байдлын хөтөлбөрийн үйл ажиллагаанд дээд түвшний удирдлагуудыг татан оролцуулах зорилго нь байгууллагын засаглалыг мэдээллийн аюулгүй байдлын тогтолцоотой уялдуулах явдал юм. Сайтар боловсруулсан мэдээллийн аюулгүй байдлын удирдлагын хөтөлбөрийн нэг хэсэг нь байгууллагын мэдээллийн хөрөнгийг хамгаалахад зориулагдсан удирдлага, бүтэц, үйл явцыг хэрэгжүүлэх байдаг. Мэдээллийн аюулгүй байдлын удирдлага нь дээд удирдлагаас мэдээллийн аюулгүй байдлын хөтөлбөрөөс юу хүлээж болох, байгууллагын эрсдэлийн төлөв байдлыг хэрхэн үнэлэх, байгууллагын стратегийн чиглэл, зорилгод нийцсэн мэдээллийн аюулгүй байдлын зорилтуудыг хэрхэн тодорхойлох талаар тодорхой хүлээлттэй байхыг шаарддаг.
Дээд түвшний удирдлага нь мэдээллийн аюулгүй байдлын чиг үүргийг хэрэгжүүлэх үүрэг хариуцлага, эрх мэдлийг холбогдох ажилтнуудад хуваарилах ёстой. Мэдээллийн аюулгүй байдлын хөтөлбөрт дээд удирдлагын оролцоо нь мэдээллийн аюулгүй байдлын хөтөлбөрийн төлөвлөсөн үр дүнд хүрэхийг баталгаажуулах явдал юм.
Энэхүү үйл явцыг хэрэгжүүлэхдээ дараах зүйлсэд анхаарал хандуулах
- Байгууллага стратегийн зорилгод хүрэхийн тулд бизнесийн стратегитай уялдуулах.
- Үр дүнтэй, үр ашигтай нөөцийн удирдлагыг хэрэгжүүлэх
- Хэрэгжүүлэлтийн үр дүнг тайлагнах
- Үр дүнтэй мэдээллийн аюулгүй байдлын санаачилгууд
Аюулгүй байдал нь эцсийн эцэст байгууллагын бүх түвшний ажилтнуудын үүрэг хариуцлага байдаг. Үүний үр дүнд мэдээллийн аюулгүй байдлыг соёлын нэг хэсэг болгон шингээсэн байгууллага бий болно. ISO 27001 стандартын 5 (Манлайлал) ба 9.3-т (Удирдлагын хяналт) заасанчлан дээд түвшний удирдлагын манлайлал, тууштай байдлыг байгууллагууд харуулах үүрэг хүлээдэг. 5-р зүйлд заасан шаардлагыг амжилттай хэрэгжүүлж чадсан байгууллага нь дээд түвшний удирдлагын хяналт, дэмжлэг, чиглэл бүхий МАБУТ-г бий болгоно. МАБУТ-ны үнэлгээний үе шатанд дээд удирдлагуудыг байнга оролцуулах нь маш чухал. МАБУТ-ны гүйцэтгэлийн талаар тогтмол санал хүсэлт өгч, орчны өөрчлөлтүүд эсвэл хүлээгдэж буй гүйцэтгэл хангалтгүй үйл явцыг цаг алдалгүй илрүүлж, залруулах арга хэмжээг амжилттай хэрэгжүүлэх боломжийг үүгээр олж авч чадна. 9.3-т заасан шаардлагыг амжилттай хэрэгжүүлж буй байгууллага нь МАБУТ-ны зорилго, зорилтууд хэрэгжиж, шаардлагатай бол холбогдох сайжруулалтыг хэрэгжүүлэхийн тулд дээд удирдлагын оролцоотойгоор МАБУТ-г тууштай, тасралтгүй үнэлэх боломжтой болно.