ISO27001 -ийг нэвтрүүлэх талаар

Сайн байцгаана уу.

Манайх ISO 27001:2015-ийг нэвтрүүлэхээр зорьж байна. Одоогоор тодорхой хэмжээний дүрэм, журмыг боловсруулаад байна. Гол нь сертификат авах гэхээсээ илүү эхний ээлжинд дотооддоо мөрдлөгө болгох зорилготой байгаа. Яаж хаанаас эхэлбэл энэ стандартыг мөрдлөгө болгоод цаашлаад сертификат авах боломжтой вэ?

Thanks,
Otgoo

3 Likes

ISO27001 стандарт нь Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоо /МАБУТ/-ны стандарт юм.

ISO27001 нь top-down буюу удирдлагын түвшингээс эхлэн хэрэгжүүлдэг. Мөн эрсдэлд суурилсан арга замыг ашигладаг.

Доорх 6 хэсэг төлөвлөлтийн үйл ажиллагаагаар тодорхойлдог.

  1. Аюулгүй байдлын бодлого журмыг боловсруулна.
  2. МАБУТ-ны хамрах хүрээг тодорхойлно.
  3. Уг хамрах хүрээнд эрсдлийн үнэлгээ хийнэ.
  4. Тодорхойлогдсон эрсдлүүдийг бууруулах хяналтын үйл ажиллагааг бий болгоно.
  5. Хяналтуудтай холбоотой бодлого, журмуудыг бэлдэнэ.

ISO27001 стандартыг хэрэгжүүлэхдээ ISO27002-г барьж ажилладаг. ISO27002 стандартад аюулгүй байдлын шилдэг туршлагууд, мэдээллийн аюулгүй байдлын иж бүрэн хяналтын зорилтуудыг агуулсан байдаг.

ISO27002 стандартад дараах үндсэн 12 бүлэг байдаг.

  1. Risk management
  2. Security policy
  3. Organization of information security
  4. Asset management
  5. Human resources security
  6. Physical and environment security
  7. Communications and operations management
  8. Access control
  9. Information systems acquisition, development and maintenance
  10. Information security incident management
  11. Business continuity management
  12. Compliance

ISO27002 стандартыг барьж ажилласан ч албан ёсны сертификатыг ISO27001-н шаардлагуудыг хангасан гэсэн утга бүхий сертификатыг олгодог. ISO27002 стандартад сертификат олгодоггүй гэсэн үг л дээ.

ISO27001 стандартын шаардлагуудыг хангаж, сертификат авахын тулд мөн дараах ISO27000 бүлгийн стандартуудыг барьж ажиллаж болно.

  • 27003 – implementation guidance.
  • 27004 - an information security management measurement standard suggesting metrics to help improve the effectiveness of an ISMS.
  • 27005 – an information security risk management standard.
  • 27006 - a guide to the certification or registration process for accredited ISMS certification or registration bodies.
  • 27007 – ISMS auditing guideline.

ISO27001 стандартыг нэвтрүүлэхдээ нэн тэргүүнд гүйцэтгэх түвшиний удирдлагуудад стандартын талаар мэдлэг, мэдээллийг хангалттай өгсөн байх ёстой. Мөн уг стандартыг нэвтрүүлсэнээр байгууллагын үнэ цэнийг хэрхэн нэмэгдүүлэх, байгууллагад ямар үр ашигтай байх талаар ойлгуулах хэрэгтэй.

Гол нь сертификат авах гэхээсээ илүү эхний ээлжинд дотооддоо мөрдлөгө болгох зорилготой байгаа.

ISO27001 стандартын сертификат авах нь байгууллагад чухал хэдий ч байгууллага нь дотроо мөрдлөгө болгон ажиллах нь хамгийн чухал юм. Тиймээс тус стандартын дагуу хэрэгжилтийг тогтмол хугацаанд шалгаж, үүссэн алдаа дутагдлыг Plan-Do-Check-Act гэсэн аргачлалыг ашиглан засаж, сайжруулж байх ёстой. Ингэснээр байгууллагад урт хугацаандаа тус стандартыг бүрэн нэвтрүүлж, уг стандартыг дагаж мөрддөг болох юм.

Танд тус стандартын талаар тодорхой хэмжээгээр өөрийн мэдлэг мэдээллийг өгч чадсан гэж бодож байна.

Баярлалаа.

3 Likes

Дэлгэрэнгүй ойлгомжтой байдлаар тайлбарлаж өгсөнд баярлалаа.

1 Like

Дэлгэрэнгүй ойлгомжтой тайлбарласан бн, баярлалаа.

1 Like

Гое тайлбарласан байна шүү.

1 Like