Баталгаажуулалтын тухай
ISO/IEC 27001 нь мэдээллийн аюулгүй байдлын менежментийн тогтолцооны олон улсын стандарт юм. Энэ стандарт нь мэдээллийн аюулгүй байдлын менежментийн тогтолцоог бий болгох, хэрэгжүүлэх, хадгалах, тасралтгүй сайжруулахад тавигдах шаардлагуудыг нарийвчлан тусгасан бөгөөд зорилго нь байгууллагууд өөрсдийн эзэмшиж буй мэдээллийн хөрөнгийг илүү найдвартай болгоход нь туслах явдал юм.
Стандартын шаардлагыг хангасан байгууллагууд аудитыг амжилттай дуусгасны дараа магадлан итгэмжлэгдсэн баталгаажуулалтын байгууллагаас гэрчилгээ авах боломжтой.
ISO/IEC 27001 гэрчилгээ нь бусад удирдлагын тогтолцооны гэрчилгээний нэгэн адил ISO/IEC 17021 болон ISO/IEC 27006 стандартаар тодорхойлсон гурван үе шаттай хөндлөнгийн аудитын үйл явцыг хамардаг:
-
1-р шат - Мэдээллийн аюулгүй байдлын менежментийн тогтолцооны урьдчилсан үнэлгээ юм. Жишээлбэл, байгууллагын мэдээллийн аюулгүй байдлын бодлого, Хэрэглэх боломжтой байдлын тайлан (SoA), Эрсдэлийг удирдах төлөвлөгөө зэрэг үндсэн баримт бичиг байгаа эсэх, бүрэн бүтэн байдлыг шалгадаг.
-
2-р шат - Мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хэрэгжүүлэлт, бодит байдал дээр ажиллаж байгааг батлах нотлох баримтыг эрэлхийлнэ. Баталгаажуулалтын аудитыг ихэвчлэн ISO/IEC 27001 тэргүүлэх аудиторууд хийдэг. Энэ үе шатыг давснаар Мэдээллийн аюулгүй байдлын менежментийн тогтолцоо нь ISO/IEC 27001 стандартад нийцсэн гэрчилгээтэй болно.
-
Магадлан аудит - Байгууллага нь стандартыг тасралтгүй дагаж мөрдөж байгаа эсэхийг баталгаажуулах хяналтын шалгалт эсвэл аудитыг хэлнэ.
ISO/IEC 27001:2013 Стандартын бүтэц
Стандартын албан ёсны нэр нь "Мэдээллийн технологи — Аюулгүй байдлын техникүүд — Мэдээллийн аюулгүй байдлын менежментийн систем — Шаардлага" юм.
ISO/IEC 27001:2013 нь арван заалт, нэг хавсралттай бөгөөд үүнд:
-
Стандартын хамрах хүрээ
-
Баримт бичгийн иш таталт
-
ISO/IEC 27000-д заасан нэр томъёо, тодорхойлолтыг дахин ашиглах
-
Байгууллагын нөхцөл байдал, сонирхогч талууд
-
Мэдээллийн аюулгүй байдлын манлайлал, бодлогын өндөр түвшний дэмжлэг
-
Мэдээллийн аюулгүй байдлын менежментийн тогтолцоог төлөвлөх; эрсдлийн үнэлгээ; эрсдэлийн эмчилгээ
-
Мэдээллийн аюулгүй байдлын менежментийн тогтолцоог дэмжих
-
Мэдээллийн аюулгүй байдлын менежментийн тогтолцооны үйл ажиллагаа
-
Системийн гүйцэтгэлийг шалгах
-
Залруулга, залруулах арга хэмжээ
Хавсралт А: Хяналтын жагсаалт ба тэдгээрийн зорилт
14 бүлэг, 35 хяналтын ангилалд 114 хяналт байдаг.
A.5: Мэдээллийн аюулгүй байдлын бодлого (2 хяналт)
А.6: Мэдээллийн аюулгүй байдлын зохион байгуулалт (7 хяналт)
A.7: Хүний нөөцийн аюулгүй байдал - Ажилд орохоос өмнө, ажлын явцад, дараа нь хэрэгжүүлдэг 6 хяналт
A.8: Хөрөнгийн удирдлага (10 хяналт)
A.9: Хандалтын хяналт (14 удирдлага)
A.10: Криптографи (2 удирдлага)
A.11: Биет аюулгүй байдал болон орчны аюулгүй байдал (15 хяналт)
A.12: Үйл ажиллагааны аюулгүй байдал (14 удирдлага)
A.13: Харилцаа холбооны аюулгүй байдал (7 удирдлага)
A.14: Системийг олж авах, хөгжүүлэх , засвар үйлчилгээ (13 хяналт)
A.15: Нийлүүлэгчийн харилцаа (5 хяналт)
A.16: Мэдээллийн аюулгүй байдлын ослын менежмент (7 хяналт)
A.17: Бизнесийн тасралтгүй байдлын удирдлагын мэдээллийн аюулгүй байдлын асуудлууд (4 хяналт)
A.18: Complaince; Бодлого зэрэг дотоод шаардлага, хууль зэрэг гадаад шаардлага (8 хяналт)