Хэрэглэгч:Tengismn/ISO/IEC 27001
ISO/IEC 27001 нь байгууллагын мэдээллийн аюулгүй байдлыг хэрхэн удирдах талаарх олон улсын стандарт юм. Уг стандартыг Олон улсын стандартчиллын байгууллага (ISO) болон Олон улсын цахилгаан техникийн комисс (IEC) хамтран 2005 онд [1] нийтэлсэн бөгөөд 2013 онд шинэчилсэн.[2] Стандарт нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБУТ) бий болгох, хэрэгжүүлэх, хэвийн үргэлжлүүлэх, тасралтгүй сайжруулах шаардлагуудыг тусгасан бөгөөд зорилго нь байгууллагуудад өөрсдийн эзэмшдэг мэдээллийн хөрөнгийг илүү найдвартай, аюулгүй байлгахад туслахад оршино. [3] Тус стандартын Европын шинэчлэл 2017 онд нийтлэгдсэн. [4] Стандартын шаардлагыг хангасан байгууллагууд магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагаар амжилттай аудит хийлгэсний дараа гэрчилгээ авах боломжтой.
Стандарт хэрхэн ажилладаг вэ?
[засварлах | кодоор засварлах]Ихэнх байгууллага мэдээллийн аюулгүй байдлын багагүй хяналттай бий болгосон байдаг. Гэсэн хэдий ч мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо (МАБУТ) нэвтрүүлээгүй бол тэдгээр хяналтууд нь зохион байгуулалтгүй, уялдаагүй бөгөөд тодорхой нөхцөл байдалд л зориулагдсан байдаг. Аюулгүй байдлын хяналтууд нь ихэвчлэн мэдээллийн технологи (МТ) эсвэл өгөгдлийн аюулгүй байдлын тодорхой хэсгийг л хамарч, мэдээллийн технологийн бус мэдээллийн хөрөнгийг (цаасан дээрх, эсвэл толгойд орших мэдлэг ойлголт гэх мэт ) бүхэлд нь хамгаалалтгүй үлдээдэг. Түүнчлэн, бизнесийн тасралтгүй байдлын төлөвлөлт болон бодит орчны аюулгүй байдлыг МТ болон мэдээллийн аюулгүй байдлаас хамааралгүйгээр удирдаж болох боловч хүний нөөцийн хувьд байгууллагын хэмжээнд мэдээллийн аюулгүй байдлын үүрэг, хариуцлагыг тодорхойлох, хуваарилах хэрэгцээ дурдагддаг.
ISO/IEC 27001 нь дараахь зүйлсийг удирдахыг шаарддаг.
- Байгууллагын мэдээллийн аюулгүй байдлын эрсдэлийг аюул занал, эмзэг байдал, нөлөөллийг тооцон системтэйгээр үнэлэх;
- Хүлээн зөвшөөрөх боломжгүй эрсдлүүдийг цаг үедээ нийцсэн, цогц хяналтуудыг бий болгож, хэрэгжүүлэх замаар бууруулах ( эрсдэлээс зайлсхийх, эрсдэл шилжүүлэх гэх мэт);
- Байгууллагын мэдээллийн аюулгүй байдлын хэрэгцээг хангасан хяналтууд тасралтгүй хэрэгжих удирдлагын түвшний процессыг бий болгох.
ISO/IEC 27001 нь зөвхөн МТ-оор хязгаарлагдахгүй, хавьгүй өргөн хүрээтэй болохыг анхаарна уу.
Байгууллагын удирдлага нь МАБУТ-ын сертификатын хамрах хүрээг тодорхойлдог ба энэ нь ямар нэг бүтцийн нэгж, хэсэг үйл ажиллагаа, байршил байж болно. Тухайн хамрах хүрээгээр авсан ISO/IEC 27001 сертификат нь хамрах хүрээнд ороогүй байгууллагын бусад хэсгийн мэдээллийн аюулгүй байдлын хангалттайг эсэхийг илэрхийлэхгүй .
Гэрчилгээжүүлэлт
[засварлах | кодоор засварлах]Байгууллагын МАБУТ-ыг ISO/IEC 27001 стандартад нийцсэн эсэхийг итгэмжлэгдсэн гэрчилгээжүүлэх байгууллагаар баталгаажуулж болно. [5] ISO/IEC 27001 стандартын хүлээн зөвшөөрөгдсөн үндэсний хувилбар (жишээ нь Японы JIS Q 27001 гэх мэт) нэвтрүүлж, итгэмжлэгдсэн баталгаажуулалтын байгууллагаар баталгаажуулсан гэрчилгээ нь ISO/IEC 27001 стандартаар баталгаажуулсантай тэнцэнэ.
Зарим оронд удирдлагын тогтолцооны тогтоосон шаардлагад нийцэж байгаа эсэхийг шалгах байгууллагуудыг "гэрчилгээжүүлэх байгууллага" гэж нэрлэдэг бол зарим улсад "бүртгэлийн байгууллага", "үнэлгээ, бүртгэлийн байгууллага", "гэрчилгээ/бүртгэлийн байгууллага" заримдаа "бүртгэгчид" гэнэ.
ISO/IEC 27001 стандартын гэрчилгээжүүлэх үйл явц нь бусад ISO удирдлагын тогтолцооны стандартын адил 3 үе шат бүхий хөндлөнгийн аудитаас бүрдэх ба ISO/IEC 17021 [6] болон ISO/IEC 27006 [7] стандартуудаар тодорхойлогдсон байдаг.
- 1-р шат бол МАБУТ-ны урьдчилсан, албан бус хяналт өөрөөр хэлбэл байгууллагын мэдээллийн аюулгүй байдлын бодлого, Нийцлийн тайлан (SoA) болон Эрсдэл бууруулах төлөвлөгөө (RTP) зэрэг үндсэн баримт бичгүүд байгаа, бүрэн эсэхийг шалгах явдал юм. Энэ үе шат нь аудиторуудыг тухайн байгууллагатай танилцахад дөхөм болно.
- 2-р шат нь МАБУТ-г ISO/IEC 27001-д заасан шаардлагад нийцэж буй эсэхийг хараат бусаар шалгах илүү нарийвчилсан бөгөөд албан ёсны нийцлийн аудит юм. Аудиторууд удирдлагын тогтолцоог зохих ёсоор бий болгосон, хэрэгжүүлсэн, бодитоор ажиллаж байгаа гэдгийг батлах нотлох баримтыг эрэлхийлнэ (жишээлбэл, аюулгүй байдлын хороо эсвэл ижил төстэй удирдлагын байгууллага МАБУТ-д хяналт тавих зорилгоор тогтмол хуралддаг гэдгийг батлах ). Баталгаажуулалтын аудитыг ихэвчлэн ISO/IEC 27001 тэргүүлэх аудиторууд хийдэг . Энэ үе шатыг давснаар МАБУТ нь ISO/IEC 27001 стандартад нийцсэн тухай гэрчилгээтэй болно.
- Хэрэгжиж байгаа шат нь байгууллага стандартад нийцсэн хэвээр байгаа эсэхийг магадладаг аудит юм. Гэрчилгээ нь тогтмол хугацаанд дахин аудит хийлгэхийг шаарддаг бөгөөд МАБУТ нь хэвийн, зориулалтын дагуу ажиллаж байгаа эсэхийг шалгана. Аудитыг жилд дор хаяж нэг удаа хийх ёстой боловч ( удирдлагатай тохиролцсоны дагуу ) МАБУТ-г бэхжүүлэх үүднээс илүү ойрхон байж болно.
Стандартын бүтэц
[засварлах | кодоор засварлах]Стандартын албан ёсны нэр нь "Мэдээллийн технологи — Аюулгүй байдлын техникүүд — Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо — Шаардлага" юм.
ISO/IEC 27001:2013 нь үндсэн бүлгийн арван богино заалт болон Хавсралт бүлгээс бүрдэнэ. үүнд:
- 1. Стандартын хамрах хүрээ
- 2. Баримт бичгийг хэрхэн иш татсан
- 3. ISO/IEC 27000 дах нэр томъёо, тодорхойлолтыг дахин ашиглах
- 4. Байгууллагын нөхцөл байдал, оролцогч талууд
- 5. Мэдээллийн аюулгүй байдлын манлайлал, өндөр түвшний бодлогын дэмжлэг
- 6. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог төлөвлөх; эрсдлийн үнэлгээ; эрсдэл бууруулах
- 7. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог дэмжих
- 8. Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх
- 9. Удирдлагын тогтолцооны гүйцэтгэлийг шалгах
- 10. Залруулах арга хэмжээ
- Хавсралт А: Хяналтын жагсаалт ба тэдгээрийн зорилт
Энэхүү бүтэц нь ISO 22301 ( бизнесийн тасралтгүй байдлын удирдлага ) зэрэг бусад удирдлагын тогтолцооны стандартуудтай адил бөгөөд энэ нь байгууллагуудыг хүссэн бусад удирдлагын тогтолцооны стандартыг дагаж мөрдөхөд хялбар болгоно.
Хяналтууд
[засварлах | кодоор засварлах]Стандартын 6.1.3-т байгууллага эрсдэлийг бууруулах төлөвлөгөөгөөр эрсдэлд хэрхэн хариу үйлдэл үзүүлэхийг тодорхойлсон ба эрсдэл бүрт зохих хяналтыг сонгох нь чухал байдаг. ISO/IEC 27001:2013 стандартад гарсан нэг чухал өөрчлөлт бол мэдээллийн аюулгүй байдлын эрсдлийг удирдахад Хавсралт А-ын хяналтыг заавал ашиглах шаардлагагүй болсон юм. Стандартын өмнөх хувилбарт эрсдэлийг удирдахын тулд эрсдэлийн үнэлгээнд тодорхойлсон хяналтуудыг Хавсралт А-аас сонгосон байх ёстой гэж ("заавал") шаардсан. Тиймээс ISO/IEC 27001 стандартын хуучин хувилбарын дагуу хийгдсэн бараг бүх эрсдлийн үнэлгээнд Хавсралт А-ын хяналтыг ашигласан бол шинэчилсэн стандартын хувьд эрсдэлийн үнэлгээнд заавал Хавсралт А-ын хяналтуудыг ашигладаггүй. Энэ нь эрсдэлийн үнэлгээг байгууллагад илүү энгийн бөгөөд илүү ач холбогдолтой болгох боломжийг олгож, эрсдэл болон хяналтыг хоёуланг нь эзэмших зөв ойлголтыг бий болгоход ихээхэн туслаж байна.
Хавсралт А нь 14 бүлэг, 35 ангилал бүхий 114 хяналттай байдаг.
- A.5: Мэдээллийн аюулгүй байдлын бодлого, журмууд (2 хяналт)
- А.6: Мэдээллийн аюулгүй байдлын зохион байгуулалт (7 хяналт)
- A.7: Хүний нөөцийн аюулгүй байдал - Ажилд орохоос өмнө, ажиллах явцад, ажилласаны дараа нь хэрэгжүүлдэг 6 хяналт
- A.8: Хөрөнгийн удирдлага (10 хяналт)
- A.9: Хандалтын хяналт (14 удирдлага)
- A.10: Криптографи (2 удирдлага)
- A.11: Бодит орчны аюулгүй байдал (15 хяналт)
- A.12: Үйл ажиллагааны аюулгүй байдал (14 удирдлага)
- A.13: Харилцаа холбооны аюулгүй байдал (7 удирдлага)
- A.14: Систем хүлээж авах, хөгжүүлэх, засвар үйлчилгээ (13 удирдлага)
- A.15: Нийлүүлэгчийн харилцаа (5 хяналт)
- A.16: Мэдээллийн аюулгүй байдлын будлианы менежмент (7 хяналт)
- A.17: Бизнесийн тасралтгүй байдлын удирдлага дах мэдээллийн аюулгүй байдал(4 хяналт)
- A.18: Нийцэл; дүрэм журам зэрэг дотоод шаардлага, хууль, тогтоомж зэрэг гадаад шаардлагад нийцсэн эсэх (8 хяналт)
Хяналтууд нь олон төрлийн байгууллага дах технологийн өөрчлөлтүүдийг тусгах боломжтой байдаг. Жишээлбэл үүлэн тооцоолол гэх мэт ойлголт дээрх хяналтуудад байхгүй, ашиглаагүй ч зохих бусад хяналтуудыг зөв хэрэглэх замаар ISO/IEC 27001:2013 стандартын дагуу гэрчилгээжих боломжтой.
- ↑ "ISO/IEC 27001 International Information Security Standard published". BSI.
- ↑ "NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS". ISO.
- ↑ "ISO/IEC 27001:2013". ISO.
- ↑ "BS EN ISO/IEC 27001:2017 – what has changed?". BSI Group.
- ↑ Ferreira, Lindemberg Naffah (October 2013). "ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais". 2013 47th International Carnahan Conference on Security Technology (ICCST): 1–4. doi:10.1109/CCST.2013.6922072.
- ↑ ISO/IEC 17021.
- ↑ ISO/IEC 27006.