Мэдээллийн нууцлал (Confidentiality) Мэдээллийн бүрэн бүтэн байдал (Integrity) Хүртээмж (Availability) Нэвтрэх эрхийн удирдлага Сүлжээний хамгаалалт Бодлого, журмын баримт бичиг Эрсдэлийн үнэлгээ ба дотоод аудит Гадны халдлага ба эмзэг байдал

Эрсдэлүүдийг бууруулах арга хэмжээ төлөвлөсөн үү?

Эрсдэлийг бууруулах арга хэмжээ гэдэг нь мэдээллийн аюулгүй байдлын хувьд илэрсэн эрсдэл, сул талуудыг засч сайжруулах, давтагдахаас сэргийлэх зорилготой төлөвлөгөөт үйл ажиллагаа юм. Энэ нь эрсдэлийн үнэлгээний дараагийн шат бөгөөд удирдлагын шийдвэр гаргалтад суурилдаг.

Яагаад чухал вэ?
  1. Эрсдэлийг зөвхөн илрүүлээд орхих нь хангалтгүй, заавал арга хэмжээ авч бууруулах ёстой.
  2. Дахин халдлага, мэдээлэл алдагдал, системийн доголдлоос сэргийлнэ.
  3. Байгууллагын нэр хүнд, хууль эрх зүйн хариуцлагаас хамгаална.
  4. Олон улсын стандартууд (ISO 27001) үүнийг зайлшгүй шаарддаг.
Шалгах зүйлс
  • Эрсдэлийг бууруулах арга хэмжээний төлөвлөгөө бий юу?
  • Арга хэмжээ тус бүрт хариуцсан хүн, хугацаа, төлөв (биелсэн/хүлээгдэж буй) тодорхойлогдсон уу?
  • “Risk treatment plan” гэх баримт бүрдүүлсэн эсэх.
  • Арга хэмжээг хэрэгжүүлсний дараах үр дүнг үнэлж бичсэн дүгнэлт байгаа эсэх.
  • Засвар, сайжруулалт хийсэн талаарх тэмдэглэл, баримт (жишээ нь: firewall шинэчилсэн, нэвтрэх журмыг өөрчилсөн гэх мэт).
Жишээ
  • Эрсдэл: Хуучин серверийн програм хангамж дэмжлэггүй болсон.
  • Арга хэмжээ: Шинэ серверт шилжүүлж, бүрэн backup хийж, хэрэглэгчийн эрхийг дахин тохируулсан.
  • Төлөвлөгөөнд тусгасан хугацаа: 2025.03.01–2025.03.15
  • Хариуцсан нэгж: Мэдээлэл технологийн хэлтэс
  • Үр дүн: Амжилттай хэрэгжиж, аудитын тайланд тэмдэглэгдсэн.