ISO/IEC 27001
ISO/IEC 27001 нь байгууллагын мэдээллийн аюулгүй байдлыг хэрхэн удирдах тухай олон улсын стандарт юм. Уг стандартыг Олон улсын стандартчиллын байгууллага (ISO) болон Олон улсын цахилгаан техникийн комисс (IEC) хамтран 2005 онд [1] нийтэлж, 2013 онд шинэчилсэн.[2] Стандарт нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБУТ) бий болгох, хэрэгжүүлэх, хэвийн үргэлжлүүлэх, тасралтгүй сайжруулах шаардлагуудыг тусгасан бөгөөд зорилго нь байгууллагуудад өөрсдийн эзэмшдэг мэдээллийн хөрөнгийг илүү найдвартай, аюулгүй байлгахад туслахад оршино. [3] Тус стандартын Европын шинэчлэл 2017 онд нийтлэгдсэн. [4] Стандартын шаардлагыг хангасан байгууллагууд магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагаар амжилттай аудит хийлгэсний дараа гэрчилгээ авах боломжтой.
Стандарт хэрхэн ажилладаг вэ?
[засварлах | кодоор засварлах]Ихэнх байгууллага тодорхой хэмжээгээр мэдээллийн аюулгүй байдлын хяналтуудтай байдаг. Гэвч ямар нэг мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо (МАБУТ) нэвтрүүлээгүй бол тэдгээр хяналтууд нь зохион байгуулалтгүй, уялдаагүй бөгөөд тодорхой цөөн нөхцөл байдалд л зориулагдсан байдаг. Аюулгүй байдлын хяналтууд нь ихэвчлэн мэдээллийн технологи (МТ) эсвэл өгөгдлийн аюулгүй байдлын тодорхой хэсгийг л хамарч, мэдээллийн технологийн бус мэдээллийн хөрөнгийг (цаасан дээрх, эсвэл толгойд орших мэдлэг ойлголт гэх мэт ) бүхэлд нь хамгаалалтгүй үлдээдэг. Түүнчлэн, бизнесийн тасралтгүй байдлын төлөвлөлт болон бодит орчны аюулгүй байдлыг МТ болон мэдээллийн аюулгүй байдлаас хамааралгүйгээр удирдаж болох боловч хүний нөөцийн хувьд байгууллагын хэмжээнд мэдээллийн аюулгүй байдлын үүрэг, хариуцлагыг тодорхойлох, хуваарилах хэрэгцээ дурдагддаг.
ISO/IEC 27001 нь дараахь зүйлсийг удирдахыг шаарддаг.
- Байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийг аюул занал, эмзэг байдал, нөлөөллийг тооцон системтэйгээр үнэлэх;
- Хүлээн зөвшөөрөх боломжгүй эрсдлүүдийг цаг үедээ нийцсэн, цогц хяналтуудыг бий болгож, хэрэгжүүлэх замаар бууруулах ( эрсдэлээс зайлсхийх, эрсдэл шилжүүлэх гэх мэт);
- Байгууллагын мэдээллийн аюулгүй байдлын хэрэгцээг хангасан хяналтууд тасралтгүй хэрэгжих удирдлагын түвшний процессыг бий болгох.
ISO/IEC 27001 нь зөвхөн мэдээллийн технологиор хязгаарлагдахгүй, хавьгүй өргөн хүрээтэй болохыг анхаарах шаардлагатай.
МАБУТ-ын хамрах хүрээг байгууллагын удирдлага тогтоох бөгөөд гэрчилгээн дээр бичигддэг. Хамрах хүрээ нь байгууллага бүхлээрээ эсвэл аль нэг бүтцийн нэгж, тодорхой үйл ажиллагаа, байршил байж болно. Тухайн хамрах хүрээнд хангасан ISO/IEC 27001 баталгаажуулалт нь хамрах хүрээнд багтаагүй байгууллагын бусад хэсгийн мэдээллийн аюулгүй байдал хангалттай эсэхийг илэрхийлэхгүй.
Нэвтрүүлэх ерөнхий дараалал
[засварлах | кодоор засварлах]Байгууллагын үйл ажиллагаанд ISO/IEC 27001 стандарт нэвтрүүлэхдээ дараах ерөнхий дарааллаар нэвтрүүлдэг:[5]
- Удирдлагын тогтолцооны хамрах хүрээг тодорхойлох
- Мэдээллийн аюулгүй байдлын бодлого гаргах
- Аюулгүй байдлын зорилтууд тогтоох
- Мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ явуулах
- Эрсдэл бууруулах төлөвлөгөө гаргах
- Тохиромжтой хяналтуудыг сонгох
- Дүрэм, журмууд боловсруулах
- Дотоод хяналтын тогтолцоо бий болгож, дотоод аудит хийх
- Хяналтуудын гүйцэтгэлийг хэмжиж, сайжруулах боломжийг тогтооно.
Дээрх алхмууд бүрэн хийгдэж, стандартад дурдагдсан баримтжуулсан мэдээллүүд бүрдсэний дараа байгууллага баталгаажуулалт хийлгэх ба амжилттай баталгаажуулсан бол ISO/IEC 27001 стандартыг нэвтрүүлсэн талаар гэрчилгээ хүлээн авна.
Байгууллагын онцлогоос хамаарч дээрх дараалал бага зэрэг өөрчлөгдөж болдог. Ихэнх тохиолдолд МАБУТ нэвтрүүлэхээс өмнө байгууллагын нөхцөл байдлыг ойлгож мэдэх, чухал шаардлагатай хэсгүүдийг тогтоох үүднээс зөрүүний шинжилгээ (GAP analysis) хийх нь МАБУТ-г үр дүнтэй нэвтрүүлэхэд дөхөм болдог.
Тус стандартыг нэвтрүүлэх хугацаа байгууллага бүрт харилцан адилгүй ба жижиг, дунд (250 хүртлэх ажилтантай бол жижиг, дунд гэж тооцов.[6]) бизнесийн хувьд ойролцоогоор 6-12 сар байдаг[7].
Баталгаажуулалт
[засварлах | кодоор засварлах]Байгууллагын МАБУТ-ыг ISO/IEC 27001 стандартад нийцсэн эсэхийг итгэмжлэгдсэн гэрчилгээжүүлэх байгууллагаар баталгаажуулж болно. [8] ISO/IEC 27001 стандартын хүлээн зөвшөөрөгдсөн үндэсний хувилбар (жишээ нь Японы JIS Q 27001 гэх мэт) нэвтрүүлж, итгэмжлэгдсэн баталгаажуулалтын байгууллагаар баталгаажуулсан гэрчилгээ нь ISO/IEC 27001 стандартаар баталгаажуулсантай тэнцэнэ.
Зарим оронд удирдлагын тогтолцооны тогтоосон шаардлагад нийцэж байгаа эсэхийг шалгах байгууллагуудыг "гэрчилгээжүүлэх байгууллага" гэж нэрлэдэг бол зарим улсад "бүртгэлийн байгууллага", "үнэлгээ, бүртгэлийн байгууллага", "гэрчилгээ/бүртгэлийн байгууллага" заримдаа "бүртгэгчид" гэнэ.
ISO/IEC 27001 стандартын гэрчилгээжүүлэх үйл явц нь бусад ISO удирдлагын тогтолцооны стандартын адил 3 үе шат бүхий хөндлөнгийн аудитаас бүрдэх ба ISO/IEC 17021 [9] болон ISO/IEC 27006 [10] стандартуудаар тодорхойлогдсон байдаг.
- 1-р шат бол МАБУТ-ны урьдчилсан, албан бус хяналт өөрөөр хэлбэл байгууллагын мэдээллийн аюулгүй байдлын бодлого, Нийцлийн тайлан (SoA) болон Эрсдэл бууруулах төлөвлөгөө (RTP) зэрэг үндсэн баримт бичгүүд байгаа, бүрэн эсэхийг шалгах явдал юм. Энэ үе шат нь аудиторуудыг тухайн байгууллагатай танилцахад дөхөм болно.
- 2-р шат нь МАБУТ-г ISO/IEC 27001-д заасан шаардлагад нийцэж буй эсэхийг хараат бусаар шалгах илүү нарийвчилсан бөгөөд албан ёсны нийцлийн аудит юм. Аудиторууд удирдлагын тогтолцоог зохих ёсоор бий болгосон, хэрэгжүүлсэн, бодитоор ажиллаж байгаа гэдгийг батлах нотлох баримтыг эрэлхийлнэ (жишээлбэл, аюулгүй байдлын хороо эсвэл ижил төстэй удирдлагын байгууллага МАБУТ-д хяналт тавих зорилгоор тогтмол хуралддаг гэдгийг батлах ). Баталгаажуулалтын аудитыг ихэвчлэн ISO/IEC 27001 тэргүүлэх аудиторууд хийдэг . Энэ үе шатыг давснаар МАБУТ нь ISO/IEC 27001 стандартад нийцсэн тухай гэрчилгээтэй болно.
- Хэрэгжиж байгаа шат нь байгууллага стандартад нийцсэн хэвээр байгаа эсэхийг магадладаг аудит юм. Гэрчилгээ нь тогтмол хугацаанд дахин аудит хийлгэхийг шаарддаг бөгөөд МАБУТ нь хэвийн, зориулалтын дагуу ажиллаж байгаа эсэхийг шалгана. Аудитыг жилд дор хаяж нэг удаа хийх ёстой боловч ( удирдлагатай тохиролцсоны дагуу ) МАБУТ-г бэхжүүлэх үүднээс илүү ойрхон байж болно.
Стандартын бүтэц
[засварлах | кодоор засварлах]Стандартын албан ёсны нэршил нь "Мэдээллийн технологи — Аюулгүй байдлын техникүүд — Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоонууд — Шаардлага" юм.
ISO/IEC 27001:2013 нь үндсэн бүлгийн арван богино заалт болон Хавсралт бүлгээс бүрдэнэ. үүнд:
- 1. Стандартын хамрах хүрээ
- 2. Баримт бичгийг хэрхэн иш татсан
- 3. ISO/IEC 27000 дах нэр томъёо, тодорхойлолтыг дахин ашиглах
- 4. Байгууллагын нөхцөл байдал, оролцогч талууд
- 5. Мэдээллийн аюулгүй байдлын манлайлал, өндөр түвшний бодлогын дэмжлэг
- 6. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог төлөвлөх; эрсдлийн үнэлгээ; эрсдэл бууруулах
- 7. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог дэмжих
- 8. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх
- 9. Удирдлагын тогтолцооны гүйцэтгэлийг шалгах
- 10. Залруулах арга хэмжээ
- Хавсралт А: Хяналтууд ба тэдгээрийн зорилт
Энэхүү бүтэц нь ISO 22301 ( бизнесийн тасралтгүй байдлын удирдлага ) зэрэг бусад удирдлагын тогтолцооны стандартуудтай адил бөгөөд энэ нь байгууллагуудыг хүссэн бусад удирдлагын тогтолцооны стандартыг дагаж мөрдөхөд хялбар болгоно.
Хяналтууд
[засварлах | кодоор засварлах]Стандартын 6.1.3-т байгууллага эрсдэлийг бууруулах төлөвлөгөөгөөр эрсдэлд хэрхэн хариу үйлдэл үзүүлэхийг тодорхойлсон ба эрсдэл бүрт зохих хяналтыг сонгох нь чухал байдаг. ISO/IEC 27001:2013 стандартад гарсан нэг чухал өөрчлөлт бол мэдээллийн аюулгүй байдлын эрсдлийг удирдахад Хавсралт А-ын хяналтыг заавал ашиглах шаардлагагүй болсон юм. Стандартын өмнөх хувилбарт эрсдэлийг удирдахын тулд эрсдэлийн үнэлгээнд тодорхойлсон хяналтуудыг Хавсралт А-аас сонгосон байх ёстой гэж ("заавал") шаардсан. Тиймээс ISO/IEC 27001 стандартын хуучин хувилбарын дагуу хийгдсэн бараг бүх эрсдлийн үнэлгээнд Хавсралт А-ын хяналтыг ашигласан бол шинэчилсэн стандартын хувьд эрсдэлийн үнэлгээнд заавал Хавсралт А-ын хяналтуудыг ашигладаггүй. Энэ нь эрсдэлийн үнэлгээг байгууллагад илүү энгийн бөгөөд илүү ач холбогдолтой болгох боломжийг олгож, эрсдэл болон хяналтыг хоёуланг нь эзэмших зөв ойлголтыг бий болгоход ихээхэн туслаж байна.
ISO/IEC 27001:2013 стандартын Хавсралт А нь 14 бүлэг, 35 ангилал бүхий 114 хяналттай байдаг.
- A.5: Мэдээллийн аюулгүй байдлын бодлого, журмууд (2 хяналт)
- А.6: Мэдээллийн аюулгүй байдлын зохион байгуулалт (7 хяналт)
- A.7: Хүний нөөцийн аюулгүй байдал - Ажилд орохоос өмнө, ажиллах явцад, ажилласаны дараа нь хэрэгжүүлдэг 6 хяналт
- A.8: Хөрөнгийн удирдлага (10 хяналт)
- A.9: Хандалтын хяналт (14 удирдлага)
- A.10: Криптографи (2 удирдлага)
- A.11: Бодит орчны аюулгүй байдал (15 хяналт)
- A.12: Үйл ажиллагааны аюулгүй байдал (14 удирдлага)
- A.13: Харилцаа холбооны аюулгүй байдал (7 удирдлага)
- A.14: Систем хүлээж авах, хөгжүүлэх, засвар үйлчилгээ (13 удирдлага)
- A.15: Нийлүүлэгчийн харилцаа (5 хяналт)
- A.16: Мэдээллийн аюулгүй байдлын будлианы менежмент (7 хяналт)
- A.17: Бизнесийн тасралтгүй байдлын удирдлага дах мэдээллийн аюулгүй байдал(4 хяналт)
- A.18: Нийцэл; дүрэм журам зэрэг дотоод шаардлага, хууль, тогтоомж зэрэг гадаад шаардлагад нийцсэн эсэх (8 хяналт)
Хяналтууд нь олон төрлийн байгууллага дах технологийн өөрчлөлтүүдийг тусгах боломжтой байдаг. Жишээлбэл үүлэн тооцоолол гэх мэт ойлголт дээрх хяналтуудад байхгүй, ашиглаагүй ч зохих бусад хяналтуудыг зөв хэрэглэх замаар ISO/IEC 27001:2013 стандартын дагуу гэрчилгээжих боломжтой.
ISO/IEC 27001 стандартын давуу тал
[засварлах | кодоор засварлах]Мэдээллийн аюулгүй байдлын олон янзын фрэймворк, хяналтууд байдгаас ISO/IEC 27001 нь олон улсад албан ёсоор хүлээн зөвшөөрөгдсөн, бүхий л төрлийн байгууллагад тохиромжтой уян хатан, хөндлөнгийн аудитаар баталгааждаг зэргээрээ давуу байдаг. ISO/IEC 27001 стандартын дагуу МАБУТ нэвтрүүлэх нь байгууллагад дараах ач холбогдолтой: [11]
- Мэдээллийн үнэн зөв, бүрэн бүтэн байдал, нууцлалыг хадгалж, мэдээллийн системийн найдвартай байдлыг дээшлүүлсэнээр бизнесийн тогтвортой үйл ажиллагааг хангана.
- Хэрэглэгч болон бусад оролцогч талуудад мэдээллийн аюулгүй байдлаа олон улсын түвшинд хангасан болохоо батлан харуулсанаар бизнесийн итгэлцэл бий болно.
- Чухал бизнес процессуудын тасалдлыг бууруулж, болзошгүй эрсдэлийн үр дагаврыг бууруулна.
ISO/IEC 27001 нь хамгийн эрэлттэй стандартын нэг бөгөөд нэвтрүүлсэн байгууллагын тоо 2020 онд өмнөх оноос 22.38% өсч, дэлхий даяар 44,499 байгууллага нэвтрүүлээд байна. [12]
Эх сурвалжууд
[засварлах | кодоор засварлах]- ↑ "ISO/IEC 27001 International Information Security Standard published". BSI.
- ↑ "NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS". ISO.
- ↑ "ISO/IEC 27001:2013". ISO. Archived from the original on 2020-11-15. Татаж авсан: 2022-01-29.
- ↑ "BS EN ISO/IEC 27001:2017 – what has changed?". BSI Group.
- ↑ https://www.acsregistrars.com/iso-27001-assessment-process
- ↑ https://en.wikipedia.org/wiki/Small_and_medium-sized_enterprises#European_Union
- ↑ https://www.itgovernanceusa.com/blog/iso-27001-registrationcertification-in-ten-easy-steps
- ↑ Ferreira, Lindemberg Naffah (October 2013). "ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais". 2013 47th International Carnahan Conference on Security Technology (ICCST): 1–4. doi:10.1109/CCST.2013.6922072.
- ↑ ISO/IEC 17021.
- ↑ ISO/IEC 27006.
- ↑ https://www.tuvsud.com/en/services/auditing-and-system-certification/iso-27001
- ↑ https://www.quality.org/article/2020-iso-survey-management-system-standards-reveals-17-increase-certifications