Мэдээллийн аюулгүй байдлын бодлого
EITCA академийн мэдээллийн аюулгүй байдлын бодлого
Энэхүү баримт бичиг нь Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн Мэдээллийн аюулгүй байдлын бодлогыг (ISP) тодорхойлсон бөгөөд үр дүнтэй, хамааралтай эсэхийг баталгаажуулахын тулд тогтмол хянаж, шинэчилж байдаг. EITCI-ийн мэдээллийн аюулгүй байдлын бодлогын хамгийн сүүлийн шинэчлэлийг 7 оны 2023-р сарын XNUMX-нд хийсэн.
1-р хэсэг. Танилцуулга ба Мэдээллийн аюулгүй байдлын бодлогын мэдэгдэл
1.1. Оршил
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмж, сонирхогч талуудын итгэлийг хадгалахад мэдээллийн аюулгүй байдлын ач холбогдлыг хүлээн зөвшөөрдөг. Бид хувийн мэдээлэл зэрэг нууц мэдээллийг зөвшөөрөлгүй нэвтрэх, задруулах, өөрчлөх, устгахаас хамгаалах үүрэгтэй. Бид үйлчлүүлэгчдэдээ найдвартай, шударга бус баталгаажуулалтын үйлчилгээ үзүүлэх эрхэм зорилгыг дэмжих мэдээллийн аюулгүй байдлын үр дүнтэй бодлогыг баримталдаг. Мэдээллийн аюулгүй байдлын бодлого нь мэдээллийн хөрөнгийг хамгаалах, хууль эрх зүй, зохицуулалтын болон гэрээгээр хүлээсэн үүргээ биелүүлэх бидний амлалтыг тодорхойлсон. Манай бодлого нь мэдээллийн аюулгүй байдлын удирдлага, баталгаажуулалтын байгууллагын үйл ажиллагааны стандартын олон улсын тэргүүлэх стандарт болох ISO 27001 ба ISO 17024 стандартын зарчимд суурилдаг.
1.2. Бодлогын мэдэгдэл
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь:
- Мэдээллийн хөрөнгийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг хамгаалах,
- Баталгаажуулалтын үйл ажиллагаа, үйл ажиллагааг хэрэгжүүлэхдээ мэдээллийн аюулгүй байдал, мэдээлэл боловсруулахтай холбоотой хууль эрх зүй, зохицуулалтын болон гэрээгээр хүлээсэн үүргээ биелүүлэх,
- Мэдээллийн аюулгүй байдлын бодлого, холбогдох удирдлагын тогтолцоогоо байнга сайжруулж,
- Ажилтан, гүйцэтгэгч, оролцогчдод зохих сургалт, мэдлэг олгох,
- Мэдээллийн аюулгүй байдлын бодлого, холбогдох мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх, засвар үйлчилгээ хийхэд бүх ажилтан, гүйцэтгэгчдийг татан оролцуулах.
1.3. Хамрах хүрээ
Энэхүү бодлого нь Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн эзэмшиж байгаа, хянаж байгаа эсвэл боловсруулдаг бүх мэдээллийн хөрөнгөд хамаарна. Үүнд систем, сүлжээ, программ хангамж, өгөгдөл, баримт бичиг гэх мэт тоон болон физик мэдээллийн бүх хөрөнгө орно. Энэхүү бодлого нь манай мэдээллийн өмчид хандсан бүх ажилтан, гэрээлэгч, гуравдагч талын үйлчилгээ үзүүлэгчдэд мөн хамаарна.
1.4 дугаартай. Зохицуулалт
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь ISO 27001 болон ISO 17024 зэрэг мэдээллийн аюулгүй байдлын холбогдох стандартуудыг дагаж мөрдөх үүрэгтэй. Бид энэхүү бодлогыг байнга хамааралтай, эдгээр стандартад нийцэж байгаа эсэхийг баталгаажуулахын тулд тогтмол хянаж, шинэчилдэг.
2-р хэсэг. Байгууллагын аюулгүй байдал
2.1. Байгууллагын аюулгүй байдлын зорилтууд
Байгууллагын аюулгүй байдлын арга хэмжээг хэрэгжүүлснээр бид мэдээллийн хөрөнгө, мэдээлэл боловсруулах үйл ажиллагаа, процедурыг аюулгүй байдал, бүрэн бүтэн байдлыг дээд зэргээр хангаж, холбогдох хууль тогтоомж, стандартыг дагаж мөрдөхийг зорьж байна.
2.2. Мэдээллийн аюулгүй байдлын үүрэг, хариуцлага
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь байгууллагын хэмжээнд мэдээллийн аюулгүй байдлыг хангах үүрэг, хариуцлагыг тодорхойлж, мэдээлдэг. Үүнд мэдээллийн аюулгүй байдлын хүрээнд мэдээллийн хөрөнгийн тодорхой өмчлөлийг олгох, засаглалын бүтцийг бий болгох, байгууллагын хэмжээнд янз бүрийн үүрэг, хэлтсийн тодорхой хариуцлагыг тодорхойлох зэрэг орно.
2.3. Эрсдэлийн менежмент
Байгууллагад учирч болох мэдээллийн аюулгүй байдлын эрсдэл, тэр дундаа хувийн мэдээлэл боловсруулахтай холбоотой эрсдэлийг тодорхойлох, эрэмбэлэх зорилгоор бид эрсдлийн үнэлгээг тогтмол хийдэг. Бид эдгээр эрсдлийг бууруулахын тулд зохих хяналтыг бий болгож, бизнесийн орчин, аюул заналхийллийн орчны өөрчлөлтөд үндэслэн эрсдэлийн удирдлагын арга барилаа тогтмол хянаж, шинэчилдэг.
2.4. Мэдээллийн аюулгүй байдлын бодлого, журам
Бид салбарын шилдэг туршлагад суурилсан, холбогдох дүрэм журам, стандартад нийцсэн мэдээллийн аюулгүй байдлын багц бодлого, журмыг боловсруулж, хадгалдаг. Эдгээр бодлого, журам нь хувийн мэдээлэл боловсруулах зэрэг мэдээллийн аюулгүй байдлын бүхий л талыг хамардаг бөгөөд үр дүнтэй байдлыг хангах үүднээс тогтмол хянаж, шинэчилдэг.
2.5. Аюулгүй байдлын талаархи мэдлэг, сургалт
Бид хувийн мэдээлэл болон бусад нууц мэдээлэлд хандах эрхтэй бүх ажилчид, гэрээт гүйцэтгэгчид болон гуравдагч талын түншүүдэд аюулгүй байдлын мэдлэг, сургалтын хөтөлбөрүүдийг тогтмол хангадаг. Энэхүү сургалт нь фишинг, нийгмийн инженерчлэл, нууц үгийн эрүүл ахуй, мэдээллийн аюулгүй байдлын бусад шилдэг туршлагууд зэрэг сэдвүүдийг хамардаг.
2.6. Бие махбодийн болон хүрээлэн буй орчны аюулгүй байдал
Бид өөрсдийн байгууламж, мэдээллийн системд зөвшөөрөлгүй нэвтрэх, гэмтээх, хөндлөнгөөс оролцохоос хамгаалахын тулд бие махбодийн болон байгаль орчны аюулгүй байдлын зохих хяналтыг хэрэгжүүлдэг. Үүнд хандалтын хяналт, тандалт, хяналт, нөөц эрчим хүч, хөргөлтийн систем зэрэг арга хэмжээ багтана.
2.7. Мэдээллийн аюулгүй байдлын ослын менежмент
Бид мэдээллийн аюулгүй байдлын аливаа тохиолдлуудад хурдан, үр дүнтэй хариу арга хэмжээ авах боломжийг олгодог ослын менежментийн үйл явцыг бий болгосон. Үүнд ослыг мэдээлэх, өсгөх, мөрдөн шалгах, шийдвэрлэх журам, түүнчлэн дахин давтагдахаас урьдчилан сэргийлэх, ослын хариу арга хэмжээний чадавхийг сайжруулах арга хэмжээ багтана.
2.8. Үйл ажиллагааны тасралтгүй байдал ба гамшгийн нөхөн сэргээлт
Бид тасалдал, гамшгийн үед чухал үйл ажиллагаа, үйлчилгээгээ хадгалах боломжийг олгодог үйл ажиллагааны тасралтгүй байдал, гамшгаас сэргээн босгох төлөвлөгөөг боловсруулж, туршсан. Эдгээр төлөвлөгөөнд өгөгдөл, системийг нөөцлөх, сэргээх журам, хувийн мэдээллийн хүртээмж, бүрэн бүтэн байдлыг хангах арга хэмжээ багтана.
2.9. Гуравдагч талын удирдлага
Бид хувийн мэдээлэл эсвэл бусад нууц мэдээлэлд нэвтрэх эрхтэй гуравдагч талын түншүүдтэй холбоотой эрсдэлийг удирдахад зохих хяналтыг тогтоож, хадгалж байдаг. Үүнд зохих шалгалт, гэрээний үүрэг, хяналт шалгалт, аудит зэрэг арга хэмжээ, шаардлагатай үед нөхөрлөлийг цуцлах арга хэмжээ багтана.
3-р хэсэг. Хүний нөөцийн аюулгүй байдал
3.1. Хөдөлмөр эрхлэлтийн шалгалт
Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэн нь нууц мэдээлэл авах боломжтой хүмүүсийг найдвартай, шаардлагатай ур чадвар, ур чадвар эзэмшсэн эсэхийг баталгаажуулахын тулд хөдөлмөр эрхлэлтийн шалгалтын үйл явцыг бий болгосон.
3.2. Хандалтын хяналт
Ажилчдад зөвхөн ажлын үүрэг хариуцлагадаа шаардлагатай мэдээлэлд хандах боломжийг хангах үүднээс бид хандалтын хяналтын бодлого, журмыг тогтоосон. Ажилтнууд зөвхөн өөрт хэрэгтэй мэдээллийг олж авахын тулд нэвтрэх эрхийг байнга хянаж, шинэчилж байдаг.
3.3. Мэдээллийн аюулгүй байдлын мэдлэг, сургалт
Бид нийт ажилтнууддаа мэдээллийн аюулгүй байдлын мэдлэг олгох сургалтыг тогтмол явуулдаг. Энэхүү сургалт нь нууц үгийн хамгаалалт, фишинг халдлага, нийгмийн инженерчлэл болон кибер аюулгүй байдлын бусад асуудлуудыг хамардаг.
3.4. Зөвшөөрөгдөх хэрэглээ
Бид мэдээллийн систем, нөөц, түүний дотор ажлын хэрэгцээнд ашигладаг хувийн төхөөрөмжүүдийн зөвшөөрөгдөх ашиглалтыг тодорхойлсон ашиглалтын зөвшөөрөгдөх бодлогыг бий болгосон.
3.5. Мобайл төхөөрөмжийн аюулгүй байдал
Бид гар утасны төхөөрөмжийг аюулгүй ашиглах, үүнд нэвтрэх код, шифрлэлт, алсаас арчих чадвар зэрэг бодлого, журмыг тогтоосон.
3.6. Цуцлах журам
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь нууц мэдээлэлд нэвтрэх эрхийг нэн даруй, аюулгүйгээр хүчингүй болгох үүднээс хөдөлмөрийн болон гэрээг цуцлах журмыг тогтоосон.
3.7. Гуравдагч этгээдийн ажилтнууд
Бид нууц мэдээлэлд нэвтрэх эрх бүхий гуравдагч этгээдийн ажилтнуудыг удирдах журмыг тогтоосон. Эдгээр бодлогод скрининг, хандалтын хяналт, мэдээллийн аюулгүй байдлын мэдлэг олгох сургалт орно.
3.8. Тохиолдлуудыг мэдээлэх
Мэдээллийн аюулгүй байдлын зөрчил, санаа зовоосон асуудлуудыг холбогдох ажилтнууд эсвэл эрх бүхий байгууллагад мэдээлэх бодлого, журмыг бид тогтоосон.
3.9. Нууцлалын гэрээ
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь нууц мэдээллийг зөвшөөрөлгүй задруулахаас хамгаалахын тулд ажилтнууд болон гэрээлэгчдээс нууцлалын гэрээнд гарын үсэг зурахыг шаарддаг.
3.10. Сахилгын шийтгэл
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь ажилтнууд эсвэл гэрээлэгч нар мэдээллийн аюулгүй байдлын бодлогыг зөрчсөн тохиолдолд сахилгын арга хэмжээ авах бодлого, журмыг тогтоосон.
4-р хэсэг. Эрсдэлийн үнэлгээ ба удирдлага
4.1. Эрсдлийн үнэлгээ
Бид мэдээллийн хөрөнгөнд учирч болзошгүй аюул, эмзэг байдлыг тодорхойлохын тулд эрсдэлийн үнэлгээг үе үе хийдэг. Бид эрсдэлийг тодорхойлох, дүн шинжилгээ хийх, үнэлэх, тэдгээрийн магадлал, болзошгүй нөлөөнд тулгуурлан эрэмбэлэхийн тулд бүтэцлэгдсэн арга барилыг ашигладаг. Бид систем, сүлжээ, программ хангамж, өгөгдөл, баримт бичиг зэрэг мэдээллийн хөрөнгөтэй холбоотой эрсдлийг үнэлдэг.
4.2. Эрсдлийн эмчилгээ
Бид эрсдэлийг бууруулах эсвэл хүлээн зөвшөөрөгдөх хэмжээнд хүртэл бууруулахын тулд эрсдэлийн эмчилгээний процессыг ашигладаг. Эрсдэлийг эмчлэх үйл явц нь зохих хяналтыг сонгох, хяналтыг хэрэгжүүлэх, хяналтын үр нөлөөг хянах зэрэг орно. Эрсдлийн түвшин, бэлэн нөөц, бизнесийн тэргүүлэх чиглэлд тулгуурлан хяналтыг хэрэгжүүлэхийг бид нэн тэргүүнд тавьдаг.
4.3. Эрсдэлийн хяналт ба хяналт
Бид эрсдэлийн удирдлагын үйл явцаа хамааралтай, үр дүнтэй байлгахын тулд түүний үр нөлөөг тогтмол хянаж, хянадаг. Бид эрсдэлийн удирдлагын үйл явцын гүйцэтгэлийг хэмжих, сайжруулах боломжуудыг тодорхойлохдоо хэмжүүр, үзүүлэлтүүдийг ашигладаг. Мөн бид эрсдэлийн удирдлагын үйл явцаа тогтмол тогтмол, зохистой, үр дүнтэй эсэхийг баталгаажуулахын тулд удирдлагын үечилсэн үнэлгээний нэг хэсэг болгон хянана.
4.4. Эрсдлийн хариу арга хэмжээний төлөвлөлт
Тодорхойлсон аливаа эрсдэлд үр дүнтэй хариу өгөхийн тулд бид эрсдэлд хариу арга хэмжээ авах төлөвлөгөөтэй байна. Энэхүү төлөвлөгөөнд эрсдэлийг тодорхойлох, тайлагнах журам, түүнчлэн эрсдэл тус бүрийн болзошгүй нөлөөллийг үнэлэх, зохих хариу арга хэмжээг тодорхойлох үйл явцыг багтаасан болно. Мөн томоохон эрсдэлтэй үйл явдал тохиолдсон үед бизнесийн тасралтгүй байдлыг хангах үүднээс бид онцгой байдлын төлөвлөгөө гаргасан.
4.5. Үйл ажиллагааны нөлөөллийн шинжилгээ
Бид бизнесийн үйл ажиллагаандаа учирч болзошгүй нөлөөллийг тодорхойлохын тулд бизнесийн нөлөөллийн шинжилгээг үе үе хийдэг. Энэхүү дүн шинжилгээ нь манай бизнесийн чиг үүрэг, систем, мэдээллийн эгзэгтэй байдлын үнэлгээ, түүнчлэн манай үйлчлүүлэгчид, ажилчид болон бусад оролцогч талуудад саатал гарч болзошгүй нөлөөллийн үнэлгээг багтаасан болно.
4.6. Гуравдагч этгээдийн эрсдэлийн удирдлага
Манай борлуулагчид болон бусад гуравдагч талын үйлчилгээ үзүүлэгчид эрсдэлийг зохих ёсоор удирдаж байгаа эсэхийг баталгаажуулахын тулд бид гуравдагч талын эрсдэлийн удирдлагын хөтөлбөртэй. Энэхүү хөтөлбөрт гуравдагч этгээдтэй холбогдохын өмнө зохих шалгалтыг хийх, гуравдагч этгээдийн үйл ажиллагаанд байнгын хяналт тавих, гуравдагч этгээдийн эрсдэлийн удирдлагын арга барилд тогтмол үнэлгээ хийх зэрэг орно.
4.7. Ослын хариу арга хэмжээ ба менежмент
Аюулгүй байдлын аливаа осолд үр дүнтэй хариу арга хэмжээ авахын тулд бидэнд ослын хариу арга хэмжээ, менежментийн төлөвлөгөө бий. Энэхүү төлөвлөгөөнд ослыг тодорхойлох, тайлагнах журам, түүнчлэн осол тус бүрийн нөлөөллийг үнэлэх, зохих хариу арга хэмжээг тодорхойлох үйл явц багтсан болно. Бид мөн чухал үйл явдал тохиолдсон үед бизнесийн чухал үйл ажиллагааг үргэлжлүүлэхийн тулд бизнесийн тасралтгүй байдлын төлөвлөгөөтэй байна.
5-р хэсэг. Бие махбодийн болон хүрээлэн буй орчны аюулгүй байдал
5.1. Физик аюулгүй байдлын периметр
Биет байр болон нууц мэдээллийг зөвшөөрөлгүй нэвтрэхээс хамгаалахын тулд бид бие махбодийн аюулгүй байдлын арга хэмжээг тогтоосон.
5.2. Хандалтын хяналт
Зөвхөн эрх бүхий ажилтнууд нууц мэдээлэлд хандах боломжтой байхын тулд бид биет байранд нэвтрэх хяналтын бодлого, журмыг тогтоосон.
5.3. Тоног төхөөрөмжийн аюулгүй байдал
Бид эмзэг мэдээлэл агуулсан бүх тоног төхөөрөмжийн хамгаалалтыг баталгаажуулдаг бөгөөд энэ төхөөрөмжид хандах эрхийг зөвхөн эрх бүхий ажилтнуудад хязгаарладаг.
5.4. Аюулгүй устгах
Бид цаасан баримт бичиг, цахим зөөвөрлөгч, техник хэрэгсэл зэрэг эмзэг мэдээллийг аюулгүй устгах журмыг тогтоосон.
5.5. Физик орчин
Температур, чийгшил, гэрэлтүүлэг зэрэг байрны физик орчин нь эмзэг мэдээллийг хамгаалахад тохиромжтой эсэхийг бид баталгаажуулдаг.
5.6. Цахилгаан хангамж
Бид байрны цахилгаан хангамжийг найдвартай, цахилгааны тасалдал, хүчдэлээс хамгаалдаг.
5.7. Галын хамгаалалт
Бид гал илрүүлэх, унтраах системийг суурилуулах, засвар үйлчилгээ хийх зэрэг галаас хамгаалах бодлого, журмыг тогтоосон.
5.8. Усны гэмтэлээс хамгаалах
Бид үерээс урьдчилан сэргийлэх системийг суурилуулах, засвар үйлчилгээ хийх зэрэг нууц мэдээллийг усны эвдрэлээс хамгаалах бодлого, журмыг тогтоосон.
5.9. Тоног төхөөрөмжийн засвар үйлчилгээ
Тоног төхөөрөмжийн засвар үйлчилгээ, түүний дотор тоног төхөөрөмжид хөндлөнгийн оролцоо, зөвшөөрөлгүй нэвтрэх шинж тэмдэг байгаа эсэхийг шалгах журмыг бид тогтоосон.
5.10. Зөвшөөрөгдөх хэрэглээ
Бид биет нөөц, байгууламжийн зөвшөөрөгдөхүйц ашиглалтыг тодорхойлсон хүлээн зөвшөөрөгдөх хэрэглээний бодлогыг бий болгосон.
5.11. Алсын зайнаас нэвтрэх
Бид нууц мэдээлэлд алсаас хандах, тэр дундаа аюулгүй холболт, шифрлэлт ашиглах бодлого, журмыг тогтоосон.
5.12. Хяналт ба тандалт
Бид зөвшөөрөлгүй нэвтрэх, хөндлөнгөөс оролцохыг илрүүлэх, урьдчилан сэргийлэх зорилгоор биет байр, тоног төхөөрөмжийг хянах, хянах бодлого, журмыг тогтоосон.
Хэсэг. 6. Харилцаа холбоо, үйл ажиллагааны аюулгүй байдал
6.1. Сүлжээний аюулгүй байдлын менежмент
Бид сүлжээний аюулгүй байдлын удирдлагын бодлого, журмыг тогтоосон бөгөөд үүнд галт хана ашиглах, халдлагыг илрүүлэх, урьдчилан сэргийлэх систем, аюулгүй байдлын байнгын аудит хийх зэрэг орно.
6.2. Мэдээлэл дамжуулах
Бид нууц мэдээллийг нууцлалтайгаар дамжуулах, тэр дундаа шифрлэлт, аюулгүй файл дамжуулах протоколыг ашиглах бодлого, журмыг тогтоосон.
6.3. Гуравдагч талын харилцаа холбоо
Бид гуравдагч талын байгууллагуудтай нууц мэдээлэл солилцох, тэр дундаа аюулгүй холболт, шифрлэлт ашиглах бодлого, журмыг тогтоосон.
6.4. Хэвлэл мэдээллийн хэрэгсэлтэй харьцах
Бид цаасан баримт, цахим зөөвөрлөгч, зөөврийн хадгалах төхөөрөмж зэрэг янз бүрийн хэлбэрийн мэдээллийн хэрэгслээр нууц мэдээлэлтэй ажиллах журмыг тогтоосон.
6.5. Мэдээллийн системийн хөгжил, засвар үйлчилгээ
Бид мэдээллийн системийг хөгжүүлэх, засвар үйлчилгээ хийх, үүнд аюулгүй кодчилол ашиглах, програм хангамжийн байнгын шинэчлэлт, засварын менежмент зэрэг бодлого, журмыг тогтоосон.
6.6. Хортой програм, вирусын хамгаалалт
Бид вирусны эсрэг программ хангамж ашиглах, аюулгүй байдлын байнгын шинэчлэлтийг багтаасан мэдээллийн системийг хортой программ хангамж, вирусээс хамгаалах бодлого, журмыг тогтоосон.
6.7. Нөөцлөх, сэргээх
Өгөгдлийн алдагдал, эвдрэлээс урьдчилан сэргийлэхийн тулд бид нууц мэдээллийг нөөцлөх, сэргээх бодлого, журмыг тогтоосон.
6.8. Үйл явдлын менежмент
Бид аюулгүй байдлын зөрчил, үйл явдлыг тодорхойлох, мөрдөн шалгах, шийдвэрлэх бодлого, журмыг тогтоосон.
6.9. Эмзэг байдлын менежмент
Бид мэдээллийн системийн эмзэг байдлын менежментийн бодлого, журмыг тогтоосон бөгөөд үүнд эмзэг байдлын үнэлгээ, засварын менежментийг тогтмол ашигладаг.
6.10. Хандалтын хяналт
Бид мэдээллийн системд хандах хэрэглэгчийн хандалтыг удирдах бодлого, журмыг тогтоосон бөгөөд үүнд хандалтын хяналтыг ашиглах, хэрэглэгчийн баталгаажуулалт, хандалтыг тогтмол хянах зэрэг багтана.
6.11. Хяналт, бүртгэл
Бид мэдээллийн системийн үйл ажиллагааг хянах, бүртгэх, үүнд аудитын мөрийг ашиглах, аюулгүй байдлын ослын бүртгэлийг бүртгэх бодлого, журмыг тогтоосон.
7-р хэсэг. Мэдээллийн системийг олж авах, хөгжүүлэх, засвар үйлчилгээ хийх
7.1. Шаардлага
Бизнесийн шаардлага, хууль эрх зүйн болон зохицуулалтын шаардлага, аюулгүй байдлын шаардлага зэрэг мэдээллийн системийн шаардлагыг тодорхойлох бодлого, журмыг бид тогтоосон.
7.2. Нийлүүлэгчийн харилцаа
Бид мэдээллийн систем, үйлчилгээний гуравдагч этгээдийн ханган нийлүүлэгчидтэй харилцах харилцааг зохицуулах бодлого, журмыг тогтоосон бөгөөд үүнд ханган нийлүүлэгчдийн аюулгүй байдлын туршлагыг үнэлдэг.
7.3. Системийн хөгжил
Бид мэдээллийн системийг аюулгүй хөгжүүлэх бодлого, журмыг тогтоосон бөгөөд үүнд аюулгүй кодчилол ашиглах, тогтмол туршилт хийх, чанарын баталгаажуулалт зэрэг багтана.
7.4. Системийн туршилт
Бид функциональ тест, гүйцэтгэлийн туршилт, аюулгүй байдлын тест зэрэг мэдээллийн системийг турших бодлого, журмыг тогтоосон.
7.5. Системийн хүлээн авалт
Туршилтын үр дүнг батлах, аюулгүй байдлын үнэлгээ, хэрэглэгчийн хүлээн авах тест зэрэг мэдээллийн системийг хүлээн зөвшөөрөх бодлого, журмыг бид тогтоосон.
7.6. Системийн засвар үйлчилгээ
Бид мэдээллийн системийн засвар үйлчилгээ, тухайлбал байнгын шинэчлэлт, хамгаалалтын засварууд, системийн нөөцлөлт зэрэг бодлого, журмыг тогтоосон.
7.7. Системийн тэтгэвэр
Бид мэдээллийн систем, түүний дотор техник хангамж, өгөгдлийг аюулгүй устгах бодлого, журмыг тогтоосон.
7.8. Мэдээлэл хадгалах
Бид нууц мэдээллийг найдвартай хадгалах, устгах зэрэг хууль эрх зүйн болон зохицуулалтын шаардлагын дагуу өгөгдлийг хадгалах бодлого, журмыг тогтоосон.
7.9. Мэдээллийн системийн аюулгүй байдлын шаардлага
Бид хандалтын хяналт, шифрлэлт, мэдээллийн хамгаалалт зэрэг мэдээллийн системд тавигдах аюулгүй байдлын шаардлагыг тодорхойлох, хэрэгжүүлэх бодлого, журмыг тогтоосон.
7.10. Аюулгүй хөгжлийн орчин
Бид мэдээллийн системийг аюулгүй хөгжүүлэх практик, хандалтын хяналт, аюулгүй сүлжээний тохиргоог ашиглах бодлого, журмыг тогтоосон.
7.11. Туршилтын орчныг хамгаалах
Бид мэдээллийн системд зориулсан туршилтын орчныг хамгаалах бодлого, журмыг тогтоосон бөгөөд үүнд аюулгүй тохиргоо, хандалтын хяналт, аюулгүй байдлын байнгын туршилтыг ашиглах зэрэг орно.
7.12. Аюулгүй байдлын системийн инженерчлэлийн зарчим
Бид мэдээллийн системд аюулгүй байдлын архитектур, аюул заналхийллийн загварчлал, аюулгүй кодчилол ашиглах зэрэг аюулгүй байдлын системийн инженерчлэлийн зарчмуудыг хэрэгжүүлэх бодлого, журмыг тогтоосон.
7.13. Аюулгүй кодчилолын удирдамж
Бид мэдээллийн системд кодчиллын стандарт ашиглах, кодын хянан шалгах, автоматжуулсан туршилт зэрэг аюулгүй кодчиллын удирдамжийг хэрэгжүүлэх бодлого, журмыг тогтоосон.
8-р хэсэг. Техник хангамжийн худалдан авалт
8.1. Стандартуудыг дагаж мөрдөх
Бид мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны (ISMS) ISO 27001 стандартыг баримталж, техник хангамжийн хөрөнгийг манай аюулгүй байдлын шаардлагын дагуу худалдан авдаг.
8.2. Эрсдлийн үнэлгээ
Аюулгүй байдлын болзошгүй эрсдлийг тодорхойлж, сонгосон техник хангамж нь аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг баталгаажуулахын тулд техник хангамжийн хөрөнгийг худалдан авахаас өмнө эрсдлийн үнэлгээ хийдэг.
8.3. Борлуулагчдын сонголт
Бид техник хангамжийн хөрөнгийг зөвхөн найдвартай бүтээгдэхүүн нийлүүлдэг туршлагатай итгэмжлэгдсэн үйлдвэрлэгчдээс худалдаж авдаг. Бид үйлдвэрлэгчийн аюулгүй байдлын бодлого, практикийг хянаж үзээд бүтээгдэхүүн нь бидний аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг баталгаажуулахыг тэднээс шаарддаг.
8.4. Аюулгүй тээвэрлэлт
Дамжуулах явцад хөндлөнгөөс оролцох, эвдрэх, хулгайд алдахаас урьдчилан сэргийлэхийн тулд бид тоног төхөөрөмжийн эд хөрөнгийг байрандаа найдвартай зөөвөрлөдөг.
8.5. Жинхэнэ байдлын баталгаажуулалт
Бид хүргэлтийн дараа тоног төхөөрөмжийн жинхэнэ эсэхийг шалгадаг бөгөөд тэдгээр нь хуурамч эсвэл хуурамч биш гэдгийг баталгаажуулдаг.
8.6. Физик болон хүрээлэн буй орчны хяналт
Бид техник хангамжийн хөрөнгийг зөвшөөрөлгүй нэвтрэх, хулгайлах, гэмтээхээс хамгаалахын тулд зохих физик болон байгаль орчны хяналтыг хэрэгжүүлдэг.
8.7. Тоног төхөөрөмж суурилуулах
Бид бүх техник хангамжийн хөрөнгийг тогтоосон аюулгүй байдлын стандарт, удирдамжийн дагуу тохируулж, суурилуулсан эсэхийг баталгаажуулдаг.
8.8. Техник хангамжийн тойм
Бид аюулгүй байдлын шаардлагад нийцэж, хамгийн сүүлийн үеийн аюулгүй байдлын засварууд болон шинэчлэлтүүдтэй шинэчлэгдсэн эсэхийг баталгаажуулахын тулд техник хангамжийн эд хөрөнгийг үе үе хянаж байдаг.
8.9. Техник хангамжийг устгах
Бид нууц мэдээлэлд зөвшөөрөлгүй нэвтрэхээс урьдчилан сэргийлэхийн тулд техник хангамжийн хөрөнгийг аюулгүйгээр устгадаг.
9-р хэсэг. Хортой програм болон вирусын хамгаалалт
9.1. Програм хангамжийг шинэчлэх бодлого
Бид сервер, ажлын станц, зөөврийн компьютер, хөдөлгөөнт төхөөрөмж зэрэг Европын мэдээллийн технологийн гэрчилгээжүүлэлтийн хүрээлэнгийн ашигладаг бүх мэдээллийн системд вирусын эсрэг болон хортой программаас хамгаалах программ хангамжийг хамгийн сүүлийн үеийн байдлаар хадгалж байдаг. Бид вирусны эсрэг болон хортой програмаас хамгаалах программ хангамжийг өөрийн вирусын тодорхойлолтын файлууд болон програм хангамжийн хувилбаруудыг автоматаар шинэчлэхээр тохируулагдсан байх ба энэ процессыг тогтмол шалгаж байхыг баталгаажуулдаг.
9.2. Вирусны эсрэг болон хортой програмыг сканнердах
Бид сервер, ажлын станц, зөөврийн компьютер, хөдөлгөөнт төхөөрөмж зэрэг бүх мэдээллийн системийг тогтмол сканнердаж, аливаа вирус, хортой програмыг илрүүлж устгадаг.
9.3. Идэвхгүй болгох, өөрчлөхгүй байх бодлого
Бид аливаа мэдээллийн систем дээрх вирусны эсрэг болон хортой програмаас хамгаалах программ хангамжийг идэвхгүй болгох, өөрчлөхийг хориглосон бодлогыг хэрэгжүүлдэг.
9.4. Хяналт шинжилгээ
Бид вирусын эсрэг болон хортой програмаас хамгаалах программ хангамжийн сэрэмжлүүлэг, бүртгэлд хяналт тавьж, вирус, хортой програмын халдварын тохиолдлыг илрүүлж, ийм тохиолдлуудад цаг тухайд нь хариу арга хэмжээ авдаг.
9.5. Бүртгэлийн засвар үйлчилгээ
Бид аудитын зорилгоор вирусын эсрэг болон хортой програмаас хамгаалах программ хангамжийн тохиргоо, шинэчлэлт, сканнерын бүртгэл, түүнчлэн вирус, хортой програмын халдварын тохиолдлын бүртгэлийг хөтөлдөг.
9.6. Програм хангамжийн тойм
Бид вирусны эсрэг болон хортой програмаас хамгаалах программ хангамжаа үе үе шалгаж, энэ нь өнөөгийн салбарын стандартад нийцэж байгаа бөгөөд бидний хэрэгцээнд нийцэж байгаа эсэхийг шалгадаг.
9.7. Сургалт ба мэдлэг
Бид бүх ажилчдад вирус, хортой програмаас хамгаалахын ач холбогдол, сэжигтэй үйл ажиллагаа, тохиолдлыг хэрхэн таних, мэдээлэх талаар сургах сургалт, сурталчилгааны хөтөлбөрүүдийг явуулдаг.
10-р хэсэг. Мэдээллийн хөрөнгийн менежмент
10.1. Мэдээллийн хөрөнгийн тооллого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь систем, сүлжээ, програм хангамж, өгөгдөл, баримт бичиг гэх мэт тоон болон физик мэдээллийн бүх хөрөнгийг багтаасан мэдээллийн хөрөнгийн бүртгэлийг хөтөлдөг. Хамгаалалтын зохих арга хэмжээг хэрэгжүүлэхийн тулд бид мэдээллийн хөрөнгийг шүүмжлэл, мэдрэмжинд нь үндэслэн ангилдаг.
10.2. Мэдээллийн хөрөнгийн зохицуулалт
Бид мэдээллийн хөрөнгийг нууцлал, бүрэн бүтэн байдал, хүртээмж зэрэг ангилалд үндэслэн хамгаалах зохих арга хэмжээг хэрэгжүүлдэг. Бид бүх мэдээллийн хөрөнгийг холбогдох хууль тогтоомж, дүрэм журам, гэрээний шаардлагын дагуу зохицуулдаг. Мөн бид бүх мэдээллийн хөрөнгийг зохих ёсоор хадгалж, хамгаалж, шаардлагагүй болсон үед устгадаг.
10.3. Мэдээллийн хөрөнгийн эзэмшил
Бид мэдээллийн хөрөнгийн өмчлөлийг мэдээллийн хөрөнгийг удирдах, хамгаалах үүрэгтэй хувь хүн эсвэл хэлтэст хуваарилдаг. Мөн бид мэдээллийн хөрөнгийн эзэмшигчид мэдээллийн хөрөнгийг хамгаалах үүрэг, хариуцлагыг ойлгохыг баталгаажуулдаг.
10.4. Мэдээллийн хөрөнгийн хамгаалалт
Бид мэдээллийн хөрөнгийг хамгаалахын тулд физик хяналт, хандалтын хяналт, шифрлэлт, нөөцлөх, сэргээх үйл явц зэрэг олон төрлийн хамгаалалтын арга хэмжээг ашигладаг. Мөн бид мэдээллийн бүх хөрөнгийг зөвшөөрөлгүй нэвтрэх, өөрчлөх, устгахаас хамгаалдаг.
11-р хэсэг. Хандалтын хяналт
11.1. Хандалтын хяналтын бодлого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээллийн өмчид хандах эрх олгох, өөрчлөх, цуцлах шаардлагыг тодорхойлсон Хандалтын хяналтын бодлоготой. Хандалтын хяналт нь манай мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны чухал бүрэлдэхүүн хэсэг бөгөөд зөвхөн эрх бүхий хүмүүс манай мэдээллийн өмчид хандах эрхтэй байх үүднээс үүнийг хэрэгжүүлдэг.
11.2. Хандалтын хяналтын хэрэгжилт
Бид хамгийн бага давуу эрхийн зарчимд тулгуурлан хандалтын хяналтын арга хэмжээг хэрэгжүүлдэг бөгөөд энэ нь хувь хүмүүс зөвхөн ажлын чиг үүргээ гүйцэтгэхэд шаардлагатай мэдээллийн хөрөнгөд хандах боломжтой гэсэн үг юм. Бид баталгаажуулалт, зөвшөөрөл, нягтлан бодох бүртгэл (AAA) зэрэг хандалтын хяналтын төрөл бүрийн арга хэмжээг ашигладаг. Бид мөн мэдээллийн хөрөнгийн хандалтыг хянахын тулд хандалтын хяналтын жагсаалт (ACL) болон зөвшөөрлийг ашигладаг.
11.3. Нууц үгийн бодлого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь нууц үг үүсгэх, удирдахад тавигдах шаардлагуудыг тодорхойлсон Нууц үгийн бодлоготой. Бид хамгийн багадаа 8 тэмдэгтийн урттай, том жижиг үсэг, тоо, тусгай тэмдэгтийн хослол бүхий хүчтэй нууц үг шаарддаг. Мөн бид үе үе нууц үг солихыг шаарддаг бөгөөд өмнөх нууц үгээ дахин ашиглахыг хориглодог.
11.4. Хэрэглэгчийн удирдлага
Бидэнд хэрэглэгчийн бүртгэл үүсгэх, өөрчлөх, устгах зэрэг хэрэглэгчийн удирдлагын процесс байдаг. Хэрэглэгчийн данс нь хамгийн бага давуу эрхийн зарчмаар үүсгэгддэг бөгөөд зөвхөн тухайн хүний ажлын чиг үүргийг гүйцэтгэхэд шаардлагатай мэдээллийн хөрөнгөд хандах эрхийг олгодог. Мөн бид хэрэглэгчийн бүртгэлийг тогтмол шалгаж, шаардлагагүй болсон бүртгэлүүдийг устгана.
12-р хэсэг. Мэдээллийн аюулгүй байдлын ослын менежмент
12.1. Ослын удирдлагын бодлого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь аюулгүй байдлын зөрчлийг илрүүлэх, мэдээлэх, үнэлэх, хариу арга хэмжээ авахад тавигдах шаардлагуудыг тодорхойлсон ослын менежментийн бодлоготой. Бид аюулгүй байдлын ослыг мэдээллийн хөрөнгө, системийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг алдагдуулсан аливаа үйл явдал гэж тодорхойлдог.
12.2. Ослыг илрүүлэх, мэдээлэх
Бид аюулгүй байдлын зөрчлийг цаг алдалгүй илрүүлж мэдээлэх арга хэмжээг хэрэгжүүлдэг. Бид халдлагыг илрүүлэх систем (IDS), вирусны эсрэг программ хангамж, хэрэглэгчийн мэдээлэх зэрэг аюулгүй байдлын зөрчлийг илрүүлэх олон аргыг ашигладаг. Мөн бид бүх ажилчдаа аюулгүй байдлын зөрчлийн талаар мэдээлэх журмыг мэддэг байхыг баталгаажуулж, сэжигтэй бүх тохиолдлыг мэдээлэхийг дэмждэг.
12.3. Ослын үнэлгээ ба хариу арга хэмжээ
Аюулгүй байдлын ослын ноцтой байдал, нөлөөлөл дээр тулгуурлан тэдгээрийг үнэлэх, хариу арга хэмжээ авах үйл явц бидэнд бий. Бид ослыг мэдээллийн эд хөрөнгө, системд үзүүлж болзошгүй нөлөөллийн үндсэн дээр эрэмбэлж, тэдгээрт хариу арга хэмжээ авахын тулд зохих нөөцийг хуваарилдаг. Бидэнд мөн аюулгүй байдлын зөрчлийг илрүүлэх, таслан зогсоох, дүн шинжилгээ хийх, арилгах, арилгах, холбогдох талуудад мэдэгдэх, ослын дараах хяналт шалгалт хийх журмыг багтаасан хариу арга хэмжээний төлөвлөгөө бий. аюулгүй байдлын осолд. Үр дүнтэй, хамааралтай эсэхийг баталгаажуулахын тулд журмыг тогтмол хянаж, шинэчилдэг.
12.4. Ослын хариу арга хэмжээ авах баг
Бидэнд аюулгүй байдлын ослын үед хариу арга хэмжээ авах үүрэгтэй Осолд хариу арга хэмжээ авах баг (IRT) бий. IRT нь янз бүрийн нэгжийн төлөөлөгчдөөс бүрддэг бөгөөд Мэдээллийн аюулгүй байдлын ажилтан (ISO) удирддаг. IRT нь ослын ноцтой байдлыг үнэлэх, ослыг агуулж, зохих хариу арга хэмжээг эхлүүлэх үүрэгтэй.
12.5. Гэнэтийн ослыг мэдээлэх, хянах
Бид холбогдох хууль тогтоомж, дүрэм журмын дагуу үйлчлүүлэгчид, зохицуулах байгууллага, хууль сахиулах байгууллагууд зэрэг холбогдох талуудад аюулгүй байдлын зөрчлийн талаар мэдээлэх журмыг тогтоосон. Мөн бид ослын хариу үйл явцын туршид нөлөөлөлд өртсөн талуудтай харилцаж, ослын төлөв байдал болон түүний нөлөөллийг бууруулахын тулд авч буй арга хэмжээний талаар цаг тухайд нь мэдээлдэг. Бид мөн үндсэн шалтгааныг олж тогтоох, цаашид үүнтэй төстэй хэрэг гарахаас урьдчилан сэргийлэхийн тулд аюулгүй байдлын бүх зөрчлийг хянан шалгадаг.
13-р хэсэг. Бизнесийн тасралтгүй байдлын менежмент ба гамшгийн нөхөн сэргээлт
13.1. Бизнесийн тасралтгүй байдлын төлөвлөлт
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь ашгийн бус байгууллага хэдий ч үйл ажиллагааны тасалдал гарсан тохиолдолд үйл ажиллагаагаа тасралтгүй явуулах журмыг тодорхойлсон Бизнесийн тасралтгүй байдлын төлөвлөгөө (BCP)-тэй. BCP нь үйл ажиллагааны бүх чухал үйл явцыг хамардаг бөгөөд эвдрэлийн үед болон дараа нь үйл ажиллагааг хангахад шаардагдах нөөцийг тодорхойлдог. Түүнчлэн эвдрэл, гамшгийн үед бизнесийн үйл ажиллагааг хадгалах, тасалдлын нөлөөллийг үнэлэх, тодорхой зөрчлийн нөхцөл байдлын хамгийн чухал үйл ажиллагааны процессуудыг тодорхойлох, хариу арга хэмжээ авах, сэргээн босгох журмыг боловсруулах журмыг тодорхойлсон.
13.2. Гамшгийн нөхөн сэргээлтийн төлөвлөлт
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь манай мэдээллийн системийг эвдрэл, гамшгийн үед сэргээх журмыг тодорхойлсон Гамшгийн нөхөн сэргээх төлөвлөгөөтэй (DRP) юм. DRP нь өгөгдлийг нөөцлөх, өгөгдлийг сэргээх, системийг сэргээх процедурыг агуулдаг. DRP нь үр дүнтэй байхын тулд тогтмол туршиж, шинэчлэгддэг.
13.3. Бизнесийн нөлөөллийн шинжилгээ
Бид бизнесийн чухал үйл явц, тэдгээрийг хадгалахад шаардагдах нөөцийг тодорхойлохын тулд Бизнесийн нөлөөллийн шинжилгээ (BIA) хийдэг. BIA нь нөхөн сэргээх хүчин чармайлтаа эрэмбэлж, нөөцийг зохих ёсоор хуваарилахад тусалдаг.
13.4. Бизнесийн тасралтгүй байдлын стратеги
МБХ-ны үр дүнд үндэслэн бид саад учруулсан үйл явдалд хариу арга хэмжээ авах журмыг тодорхойлсон Бизнесийн тасралтгүй байдлын стратегийг боловсруулдаг. Энэхүү стратеги нь BCP-ийг идэвхжүүлэх, чухал үйл ажиллагааны процессуудыг сэргээх, холбогдох оролцогч талуудтай харилцах журмыг багтаасан болно.
13.5. Туршилт ба засвар үйлчилгээ
Бид BCP болон DRP-ээ үр дүнтэй, хамааралтай эсэхийг шалгахын тулд тогтмол туршиж, засварлаж байна. Бид BCP/DRP-г баталгаажуулах, сайжруулах шаардлагатай газруудыг тодорхойлохын тулд тогтмол туршилт хийдэг. Мөн бид үйл ажиллагааныхаа өөрчлөлт эсвэл аюул заналхийллийг тусгахын тулд шаардлагатай бол BCP болон DRP-г шинэчилдэг. Туршилтанд ширээний дасгал, загварчлал, процедурын шууд туршилт орно. Мөн бид туршилтын үр дүн, сурсан сургамж дээр үндэслэн төлөвлөгөөгөө хянаж, шинэчилдэг.
13.6. Өөр боловсруулах сайтууд
Бид тасалдал, гамшгийн үед бизнесийн үйл ажиллагаагаа үргэлжлүүлэхэд ашиглаж болох өөр онлайн боловсруулалтын сайтуудыг ажиллуулдаг. Боловсруулах өөр газрууд нь шаардлагатай дэд бүтэц, системээр тоноглогдсон бөгөөд бизнесийн чухал үйл явцыг дэмжихэд ашиглаж болно.
14-р хэсэг. Нийцэл ба аудит
14.1. Хууль тогтоомжийг дагаж мөрдөх
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь мэдээлэл хамгаалах хууль тогтоомж, салбарын стандарт, гэрээний үүрэг зэрэг мэдээллийн аюулгүй байдал, нууцлалтай холбоотой холбогдох хууль тогтоомж, дүрэм журмыг дагаж мөрдөх үүрэгтэй. Бид холбогдох бүх шаардлага, стандартад нийцэж байгаа эсэхийг баталгаажуулахын тулд бодлого, журам, хяналтаа тогтмол хянаж, шинэчилдэг. Мэдээллийн аюулгүй байдлын хүрээнд бидний дагаж мөрддөг үндсэн стандарт, тогтолцоонд дараахь зүйлс орно.
- ISO/IEC 27001 стандарт нь эмзэг байдлын менежментийг гол бүрэлдэхүүн хэсэг болгон Мэдээллийн Аюулгүй байдлын Удирдлагын Систем (ISMS)-ийг хэрэгжүүлэх, удирдах зааварчилгааг өгдөг. Энэ нь эмзэг байдлын менежментийг багтаасан мэдээллийн аюулгүй байдлын удирдлагын системийг (ISMS) хэрэгжүүлэх, хадгалахад зориулсан лавлагааны хүрээг өгдөг. Энэхүү стандартын заалтын дагуу бид мэдээллийн аюулгүй байдлын эрсдэл, түүний дотор эмзэг байдлыг тодорхойлж, үнэлж, удирддаг.
- АНУ-ын Үндэсний Стандарт, Технологийн Хүрээлэн (NIST) Кибер аюулгүй байдлын тогтолцоо нь эмзэг байдлын менежмент зэрэг кибер аюулгүй байдлын эрсдлийг тодорхойлох, үнэлэх, удирдах зааварчилгааг өгдөг.
- Үндэсний Стандарт, Технологийн Хүрээлэн (NIST) Кибер аюулгүй байдлын эрсдлийн удирдлагыг сайжруулахад чиглэсэн Кибер аюулгүй байдлын тогтолцоо бөгөөд бидний кибер аюулгүй байдлын эрсдлийг удирдахын тулд эмзэг байдлын менежментийг багтаасан үндсэн чиг үүрэг бүхий.
- SANS Critical Security Controls нь кибер аюулгүй байдлыг сайжруулахад чиглэсэн 20 аюулгүй байдлын хяналтын багцыг агуулсан бөгөөд эмзэг байдлын менежмент, эмзэг байдлын сканнердах, засварын менежмент болон эмзэг байдлын удирдлагын бусад тал дээр тусгай зааварчилгаа өгдөг.
- Төлбөрийн картын салбарын мэдээллийн аюулгүй байдлын стандарт (PCI DSS) нь энэ хүрээнд эмзэг байдлын менежментийн хувьд зээлийн картын мэдээлэлтэй ажиллахыг шаарддаг.
- Интернэтийн аюулгүй байдлын хяналтын төв (CIS) нь манай мэдээллийн системийн аюулгүй тохиргоог хангах гол хяналтын нэг болох эмзэг байдлын менежментийг багтаасан.
- Нээлттэй Вэб Програмын Аюулгүй байдлын Төсөл (OWASP) нь вэб программын аюулгүй байдлын хамгийн чухал эрсдэлүүдийн эхний 10 жагсаалт, тухайлбал тарилгын халдлага, эвдэрсэн нэвтрэлт танилт болон сессийн удирдлага, сайт хоорондын скрипт (XSS) гэх мэт эмзэг байдлын үнэлгээг багтаасан. Бидний ашигладаг. OWASP шилдэг 10 нь бидний эмзэг байдлын менежментийн хүчин чармайлтыг эрэмбэлэх, вэб системтэй холбоотой хамгийн чухал эрсдэлд анхаарлаа хандуулах.
14.2. Дотоод аудит
Бид Мэдээллийн Аюулгүй байдлын Удирдлагын Систем (МАБС)-ийн үр нөлөөг үнэлэх, бодлого, журам, хяналтыг мөрдөж байгаа эсэхийг шалгах зорилгоор дотоод аудитыг тогтмол хийдэг. Дотоод аудитын үйл явцад зөрчил дутагдлыг илрүүлэх, засч залруулах арга хэмжээг боловсруулах, засч залруулах ажлыг хянах зэрэг орно.
14.3. Гадаад аудит
Бид холбогдох хууль тогтоомж, дүрэм журам, салбарын стандартад нийцэж байгаа эсэхээ баталгаажуулахын тулд хөндлөнгийн аудиторуудтай үе үе хамтран ажилладаг. Бид дагаж мөрдөж буйгаа баталгаажуулахын тулд шаардлагатай бол өөрийн байгууламж, систем, баримт бичигт нэвтрэх эрхийг аудиторуудад олгодог. Мөн бид аудитын явцад илэрсэн аливаа дүгнэлт, зөвлөмжийг шийдвэрлэхийн тулд хөндлөнгийн аудиторуудтай хамтран ажилладаг.
14.4. Нийцлийн хяналт
Бид холбогдох хууль тогтоомж, дүрэм журам, салбарын стандартыг дагаж мөрдөж байгаа эсэхээ байнга хянаж байдаг. Бид дагаж мөрдөж байгаа эсэхийг хянахын тулд үе үе үнэлгээ хийх, аудит хийх, гуравдагч талын үйлчилгээ үзүүлэгчдийн хяналт зэрэг олон аргыг ашигладаг. Мөн бид холбогдох бүх шаардлагыг тасралтгүй дагаж мөрдөхийн тулд бодлого, журам, хяналтаа тогтмол хянаж, шинэчилдэг.
15-р хэсэг. Гуравдагч этгээдийн удирдлага
15.1. Гуравдагч этгээдийн удирдлагын бодлого
Европын мэдээллийн технологийн гэрчилгээжүүлэх хүрээлэн нь манай мэдээллийн хөрөнгө, системд нэвтрэх эрхтэй гуравдагч талын үйлчилгээ үзүүлэгчдийг сонгох, үнэлэх, хянахад тавигдах шаардлагыг тодорхойлсон Гуравдагч этгээдийн удирдлагын бодлоготой. Уг бодлого нь үүлэн үйлчилгээ үзүүлэгч, борлуулагч, гүйцэтгэгч зэрэг гуравдагч талын бүх үйлчилгээ үзүүлэгчдэд хамаарна.
15.2. Гуравдагч этгээдийн сонгон шалгаруулалт ба үнэлгээ
Бид гуравдагч талын үйлчилгээ үзүүлэгчид манай мэдээллийн хөрөнгө, системийг хамгаалахад хангалттай аюулгүй байдлын хяналттай эсэхийг шалгахын тулд тэдэнтэй холбогдохын өмнө зохих шалгалт хийдэг. Бид мөн гуравдагч этгээдийн үйлчилгээ үзүүлэгчид мэдээллийн аюулгүй байдал, нууцлалтай холбоотой холбогдох хууль тогтоомж, дүрэм журмыг дагаж мөрдөж байгаа эсэхийг үнэлдэг.
15.3. Гуравдагч этгээдийн хяналт
Бид мэдээллийн аюулгүй байдал, нууцлалын талаарх бидний шаардлагыг хангаж байгаа эсэхийг баталгаажуулахын тулд гуравдагч талын үйлчилгээ үзүүлэгчдийг байнга хянаж байдаг. Бид гуравдагч этгээдийн үйлчилгээ үзүүлэгчдийг хянахын тулд үе үе үнэлгээ хийх, аудит хийх, аюулгүй байдлын зөрчлийн тайланг хянах зэрэг олон аргыг ашигладаг.
15.4. Гэрээнд тавигдах шаардлага
Бид гуравдагч этгээдийн үйлчилгээ үзүүлэгчтэй байгуулсан бүх гэрээнд мэдээллийн аюулгүй байдал, нууцлалтай холбоотой гэрээний шаардлагыг тусгасан болно. Эдгээр шаардлагуудад өгөгдөл хамгаалах, аюулгүй байдлын хяналт, ослын менежмент, дагаж мөрдөх хяналт зэрэг заалтууд орно. Аюулгүй байдлын асуудал гарсан эсвэл дагаж мөрдөөгүй тохиолдолд гэрээг цуцлах заалтыг бид бас оруулсан.
16-р хэсэг. Гэрчилгээжүүлэх үйл явц дахь мэдээллийн аюулгүй байдал
16.1 Гэрчилгээжүүлэх үйл явцын аюулгүй байдал
Бид гэрчилгээжүүлэх үйл явцтай холбоотой бүх мэдээллийн аюулгүй байдлыг хангахын тулд зохих, системчилсэн арга хэмжээ авдаг, үүнд гэрчилгээ авах хүсэлтэй хүмүүсийн хувийн мэдээлэл орно. Үүнд баталгаажуулалттай холбоотой бүх мэдээлэлд хандах, хадгалах, дамжуулах хяналт орно. Эдгээр арга хэмжээг хэрэгжүүлснээр бид гэрчилгээжүүлэх үйл явцыг хамгийн дээд түвшний аюулгүй байдал, бүрэн бүтэн байдлыг хангах, гэрчилгээ авах хүсэлтэй хүмүүсийн хувийн мэдээллийг холбогдох дүрэм журам, стандартын дагуу хамгаалахыг зорьж байна.
16.2. Баталгаажуулалт ба зөвшөөрөл
Бид зөвхөн эрх бүхий ажилтнууд баталгаажуулалтын мэдээлэлд хандах эрхтэй байхын тулд баталгаажуулалт болон зөвшөөрлийн хяналтыг ашигладаг. Хандалтын хяналтыг боловсон хүчний үүрэг, хариуцлагын өөрчлөлтөд үндэслэн тогтмол хянаж, шинэчилдэг.
16.3 дугаартай. Мэдээлэл хамгаалах
Бид мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг хангах техникийн болон зохион байгуулалтын зохих арга хэмжээг авч баталгаажуулах явцад хувийн мэдээллийг хамгаалдаг. Үүнд шифрлэлт, хандалтын хяналт, байнгын нөөцлөлт зэрэг арга хэмжээ багтана.
16.4. Шалгалтын үйл явцын аюулгүй байдал
Бид шалгалтын орчныг хууран мэхлэх, хянах, хянахад чиглэсэн зохих арга хэмжээг хэрэгжүүлснээр шалгалтын үйл явцын аюулгүй байдлыг хангадаг. Бид мөн шалгалтын материалын бүрэн бүтэн байдал, нууцлалыг найдвартай хадгалах журмаар хангадаг.
16.5. Шалгалтын агуулгын аюулгүй байдал
Бид агуулгыг зөвшөөрөлгүй нэвтрэх, өөрчлөх, задруулахаас хамгаалах зохих арга хэмжээг хэрэгжүүлснээр шалгалтын агуулгын аюулгүй байдлыг хангадаг. Үүнд шалгалтын агуулгыг аюулгүй хадгалах, шифрлэх, хандалтын хяналтыг ашиглахаас гадна шалгалтын агуулгыг зөвшөөрөлгүй түгээх, түгээхээс сэргийлэх хяналт орно.
16.6. Шалгалтын хүргэлтийн аюулгүй байдал
Бид шалгалтын орчинд зөвшөөрөлгүй нэвтрэх, хөндлөнгөөс оролцохоос урьдчилан сэргийлэх зохих арга хэмжээг хэрэгжүүлснээр шалгалтын аюулгүй байдлыг хангадаг. Үүнд шалгалтын орчин, шалгалтын тодорхой арга барилд хяналт тавих, аудит хийх, хянах зэрэг арга хэмжээнүүд багтаж, хууран мэхлэлт болон бусад аюулгүй байдлын зөрчлөөс урьдчилан сэргийлэх болно.
16.7. Шалгалтын үр дүнгийн аюулгүй байдал
Бид шалгалтын үр дүнг зөвшөөрөлгүй нэвтрэх, өөрчлөх, задруулахаас хамгаалах зохих арга хэмжээг хэрэгжүүлснээр шалгалтын үр дүнгийн аюулгүй байдлыг хангадаг. Үүнд шалгалтын үр дүнг аюулгүй хадгалах, шифрлэх, нэвтрэх хяналт, шалгалтын үр дүнг зөвшөөрөлгүй тараахаас урьдчилан сэргийлэх хяналтууд орно.
16.8. Сертификат олгох аюулгүй байдал
Бид хуурамч гэрчилгээ олгох, зөвшөөрөлгүй олгохоос урьдчилан сэргийлэх зохих арга хэмжээг хэрэгжүүлснээр гэрчилгээ олгох аюулгүй байдлыг хангадаг. Үүнд гэрчилгээ хүлээн авч буй хүмүүсийн хувийн мэдээллийг шалгах хяналт, аюулгүй хадгалах, олгох журам зэрэг багтана.
16.9. Гомдол, гомдол
Баталгаажуулалтын үйл ажиллагаатай холбоотой гомдол, гомдлыг зохицуулах журмыг бид тогтоосон. Эдгээр журамд үйл явцын нууцлал, шударга байдлыг хангах, гомдол, гомдолтой холбоотой мэдээллийн аюулгүй байдлыг хангах арга хэмжээ багтана.
16.10. Баталгаажуулалтын үйл явц Чанарын менежмент
Бид баталгаажуулалтын үйл явцын үр нөлөө, үр ашиг, аюулгүй байдлыг хангах арга хэмжээг багтаасан Чанарын удирдлагын тогтолцоог (ЧМС) байгуулсан. ЧМС нь үйл явц, тэдгээрийн аюулгүй байдлын хяналтыг тогтмол аудит, хянан шалгахыг агуулдаг.
16.11. Баталгаажуулалтын үйл явцын аюулгүй байдлыг тасралтгүй сайжруулах
Бид баталгаажуулалтын үйл явц болон тэдгээрийн аюулгүй байдлын хяналтыг тасралтгүй сайжруулах үүрэг хүлээдэг. Үүнд бизнесийн орчин дахь өөрчлөлт, зохицуулалтын шаардлага, мэдээллийн аюулгүй байдлын менежментийн шилдэг туршлагууд дээр үндэслэн гэрчилгээжүүлэхтэй холбоотой бодлого, журмын аюулгүй байдлыг тогтмол хянаж, шинэчлэх, мэдээллийн аюулгүй байдлын удирдлагын ISO 27001 стандарт, түүнчлэн ISO стандартын дагуу хийх зэрэг орно. 17024 баталгаажуулалтын байгууллагуудын үйл ажиллагааны стандарт.
17-р хэсэг. Хаалтын заалт
17.1. Бодлогыг хянаж, шинэчлэх
Энэхүү Мэдээллийн аюулгүй байдлын бодлого нь манай үйл ажиллагааны шаардлага, зохицуулалтын шаардлага эсвэл мэдээллийн аюулгүй байдлын менежментийн шилдэг туршлагын өөрчлөлтөд тулгуурлан байнга хянаж, шинэчлэгдэж байдаг амьд баримт бичиг юм.
17.2. Нийцлийн хяналт
Бид энэхүү Мэдээллийн аюулгүй байдлын бодлого болон холбогдох аюулгүй байдлын хяналтыг дагаж мөрдөхөд хяналт тавих журмыг тогтоосон. Нийцлийн хяналт нь аюулгүй байдлын хяналт, энэ бодлогын зорилгод хүрэх үр дүнтэй байдлын тогтмол аудит, үнэлгээ, хяналтыг багтаадаг.
17.3. Аюулгүй байдлын талаар мэдээлэх
Бид өөрсдийн мэдээллийн систем, түүний дотор хувь хүмүүсийн хувийн мэдээлэлтэй холбоотой аюулгүй байдлын зөрчлийг мэдээлэх журмыг тогтоосон. Ажилтнууд, гэрээт гүйцэтгэгчид болон бусад сонирхогч талууд аюулгүй байдлын аливаа осол эсвэл сэжигтэй ослын талаар томилогдсон хамгаалалтын багт аль болох хурдан мэдээлэхийг зөвлөж байна.
17.4. Сургалт ба мэдлэг
Бид ажилтнууд, гүйцэтгэгчид болон бусад оролцогч талуудад мэдээллийн аюулгүй байдалтай холбоотой хариуцлага, үүргийнхээ талаар мэдлэгтэй болгохын тулд тогтмол сургалт, сурталчилгааны хөтөлбөрүүдийг зохион байгуулдаг. Үүнд аюулгүй байдлын бодлого, журмын талаарх сургалт, хувь хүмүүсийн хувийн мэдээллийг хамгаалах арга хэмжээ багтана.
17.5. Хариуцлага ба хариуцлага
Бид энэхүү Мэдээллийн аюулгүй байдлын бодлого болон холбогдох аюулгүй байдлын хяналтыг дагаж мөрдөх үүрэгтэй бүх ажилтан, гүйцэтгэгч болон бусад оролцогч талуудад хариуцлага тооцдог. Мөн бид мэдээллийн аюулгүй байдлын үр дүнтэй хяналтыг хэрэгжүүлэх, хадгалахад зохих нөөцийг хуваарилах талаар удирдлагад хариуцлага тооцдог.
Энэхүү Мэдээллийн аюулгүй байдлын бодлого нь Euroepan IT Certification Institute-ийн мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны чухал бүрэлдэхүүн хэсэг бөгөөд мэдээллийн хөрөнгө, боловсруулсан өгөгдлийг хамгаалах, мэдээллийн нууцлал, нууцлал, бүрэн бүтэн байдал, хүртээмжийг баталгаажуулах, зохицуулалтын болон гэрээний шаардлагыг дагаж мөрдөх бидний амлалтыг харуулдаг.