Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Стандартад нийцсэн баримт бичгүүд байгаа юу?

Энэ шалгуур нь байгууллага мэдээллийн аюулгүй байдлын талаарх үйл ажиллагаагаа стандартын дагуу баримтжуулсан эсэхийг үнэлнэ. Баримт бичиг нь байгууллагын үйл ажиллагаа, дүрэм журмыг албан ёсоор зохицуулах ба стандартын дагуу боловсруулагдсан байх шаардлагатай.

Яагаад чухал вэ?
  1. Баримт бичиг нь бүх ажилтанд ойлгомжтой, нэгдсэн ойлголт өгөх хэм хэмжүүр болдог.
  2. Стандартад нийцсэн нь олон улсын хүлээн зөвшөөрөгдсөн арга барилаар хийгдсэн гэсэн баталгаа болдог.
  3. Эрсдэл, зөрчлийг илрүүлэх, хариу арга хэмжээ авахдаа баримтлах суурь болдог.
  4. ISO/IEC 27001, NIST, GDPR зэрэг стандартуудтай нийцсэн байх нь аудит, хуулийн шаардлагад нийцэх нөхцөл болдог.
Шалгах зүйлс
  • ISO/IEC 27001, NIST SP 800-53, MNS/ISO стандартуудын дагуу боловсруулсан бодлого, журам, заавар байгаа эсэх.
  • Дотоод баримт бичигт дараах зүйлсийг тусгасан эсэх:
               Мэдээллийн аюулгүй байдлын бодлого (IS Policy)
               Хэрэглэгчийн эрхийн журам
               Зөрчлийн хариу арга хэмжээний төлөвлөгөө
               Backup/DR (сэргээх) журам
               Нууц үг болон нэвтрэх эрхийн бодлого
               Аюулгүй байдлын сургалтын хөтөлбөр
  • Баримт бичиг бүр хүчин төгөлдөр, шинэчлэгдсэн, хянагдсан, баталгаажсан эсэх.
  • Ажилтнууд баримт бичгийг хүлээн авч, танилцсан эсэх бүртгэл.
Жишээ
  • Байгууллага ISO/IEC 27001 стандартын дагуу “Мэдээллийн аюулгүй байдлын бодлого”-г боловсруулж, бүх ажилтанд танилцуулсан. Баримт бичиг нь байгууллагын дотоод веб сайтад байрласан ба хэрэглэгч бүр баталгаажуулсан бүртгэлтэй.
  • Нууц үгийн бодлогод: хамгийн багадаа 12 тэмдэгттэй байх, 90 хоног тутамд шинэчлэх, өмнө нь хэрэглэсэн нууц үг дахин ашиглахгүй байх зэрэг заалтууд тусгагдсан байдаг.