Аюулгүй байдлыг 'Гэрчилгээгээр'
нотолно
ISMS / ISMS-P авах үүрэгтэй гэсэн албан мэдэгдлийг хүлээн авсан уу?
ISO 27001 болон ISMS-P-г нэг дор бэлтгэх нэгдсэн стратеги — аудитор байсан туршлагатай мэргэжилтэн өөрөө зохиомжилно.
ISO 27001 гэж юу вэ
ISO/IEC 27001 нь мэдээллийн аюулгүй байдлын менежментийн тогтолцоо (ISMS)-ны олон улсын стандарт юм. Мэдээллийг хамгаалах тусдаа төхөөрөмж буюу шийдлээс цааш гарч, эрсдэлийг тодорхойлж, хянаж, тасралтгүй сайжруулдаг менежментийн түвшний удирдлагын тогтолцоо-г шаарддаг. 2022 оны шинэчилсэн хувилбар (27001:2022) нь үндсэн хэсгийн 7 удирдлагын заалт болон 4 сэдвийн 93 хяналтын зүйлээс бүрдэх бөгөөд дэлхийн хаана ч хүчинтэй мэдээллийн аюулгүй байдлын нийтлэг хэл юм.
Annex A хяналтын зүйл (2022 шинэчлэл)
Зохион байгуулалтын·хүний·биет·техникийн
Гэрчилгээний хүчинтэй хугацаа (жилд 1 удаа хяналтын аудит)
Яагаад одоо шаардлагатай вэ?
Нэг удаагийн рансомвэйрээр үйлдвэр зогсож, нэг хувийн мэдээлэл алдагдвал худалдаа тасрана. Аюулгүй байдал нь цаашид зөвхөн IT хэлтсийн ажил биш, компанийн оршин тогтнолтой холбоотой асуудал болсон. ISO 27001 нь гурван дарамтад өгөх хариулт юм.
- Хууль Хувийн мэдээлэл хамгаалах тухай хууль·Мэдээлэл харилцаа холбооны сүлжээний тухай хууль, түүнчлэн гадаад худалдаа хийхэд GDPR хүртэл — аюулгүй байдлын удирдлагын тогтолцоо бүрдүүлсэн нотолгоо шаарддаг.
- Худалдаа Том корпораци·санхүүгийн салбар·төрийн байгууллага нь хамтрагчаар бүртгэх болон тендерийн шатанд ISO 27001 эсвэл ISMS-P-г үндсэн шаардлага болгон тавьдаг.
- Итгэл Хөрөнгө оруулалтын шалгаруулалт болон дэлхийн харилцагчтай байгуулах гэрээнд "аюулгүй байдлыг эхнээсээ зөв хийсэн компани" гэдгийг нэг хуудсаар нотолно.
ISO 27001 болон ISMS-P, юугаараа ялгаатай вэ
Мэдээллийн аюулгүй байдлын гэрчилгээг судлахад ISO 27001, ISMS, ISMS-P нэгэн зэрэг гарч ирээд төөрөгдөл үүсгэхэд амархан. Гурав нь өрсөлдөгч биш, харин нэг язгууртай ах дүү юм. ISMS-P нь ISO 27001-ийн олон улсын шалгуурыг үндэс болгож, дотоодын хууль тогтоомж болон хувийн мэдээлэл хамгаалалтыг нэмсэн тогтолцоо юм.
| Ангилал | ISO 27001 | ISMS-P |
|---|---|---|
| Шинж чанар | Олон улсын стандарт (дэлхий даяар хүчинтэй) | Дотоодын гэрчилгээ (хууль ёсны тогтолцоо) |
| Эрхлэгч | ISO/IEC, итгэмжлэх байгууллага (KAB гэх мэт) | Шинжлэх ухаан мэдээлэл харилцаа холбооны яам·Хувийн мэдээлэл хороо, аудитын байгууллага KISA |
| Авах үүрэг | Сайн дурын (худалдааны шаардлагаар бараг зайлшгүй) | Мэдээлэл харилцаа холбооны сүлжээний тухай хуулийн 47 дугаар зүйл — тодорхой хэмжээнээс дээш хууль ёсны үүрэг |
| Хувийн мэдээлэл хамгаалал | Мэдээллийн аюулгүй байдал төвтэй (хувийн мэдээлэл хэсэгчлэн) | Мэдээлэл хамгаалал + хувийн мэдээлэл хамгаалал нэгдсэн (P багтсан) |
| Давуу тал | Гадаад худалдаа·дэлхийн харилцагч·хөрөнгө оруулалтын шалгаруулалт | Дотоодын хууль ёсны үүрэг хангах·төрийн худалдан авалтын тендер |
※ ISMS нь зөвхөн мэдээлэл хамгаалалтыг гэрчилдэг тогтолцоо бөгөөд ISMS-P нь үүн дээр хувийн мэдээлэл хамгаалал (Privacy)-ыг нэмсэн дээд гэрчилгээ юм. Хувийн мэдээлэл боловсруулдаг үйлчилгээ бол ISMS-P шалгуур болно.
Яагаад хоёр гэрчилгээг хамт бэлтгэх ёстой вэ
ISMS-P нь үүрэг учраас түрүүлж авч, гадаад худалдаа үүссэний дараа ISO 27001-ийг тусад нь авдаг компани олон. Гэтэл хоёр гэрчилгээ нь хяналтын зүйл 70 гаруй хувь нь давхцдаг. Тусад нь бэлтгэвэл нэг ажлыг хоёр удаа хийх бөгөөд хамт бэлтгэвэл нэг удаагийн байгуулалтаар хоёр хуудсыг авна.
- Эрсдэлийн үнэлгээ·бодлого·бичиг баримтыг хоёр удаа боловсруулна
- Аудит·зөвлөх үйлчилгээний зардлыг хоёр удаа гаргана
- Ажилтны ярилцлага·нотлох баримт цуглуулалтыг хоёр удаа давтана
- Сунгалт·хяналтын аудитын хуваарь тусдаа эргэлддэг учир удирдлагын дарамт
- Нэг удаагийн эрсдэлийн үнэлгээгээр нийтлэг хяналтыг зэрэг зохиомжилно
- Бичиг баримт·нотлох баримтыг хоёр аудитад хамт өргөн барина
- Дотоодын үүрэг (ISMS-P) болон дэлхийн итгэл (ISO 27001)-ийг нэг дор
- Үйл ажиллагаа·сунгалтыг нэг тогтолцоонд багтаан удирдлагыг хялбарчилна
Гол нь зохиомж юм. Эхнээсээ хоёр гэрчилгээг хамт харж хяналтыг буулгавал нэг удаагийн байгуулалтаар хоёр хуудсыг авна. Нэгийг нь түрүүлж авсны дараа хооронд нь тааруулбал эцэст нь дахин засах хэрэгтэй болно. Тиймээс ямар дарааллаар, аль хяналтыг хуваалцахыг тогтоож өгдөг зөвлөх үйлчилгээ зардлыг шийдвэрлэдэг.
ISO 27001:2022-ийн гол шаардлага
ISO 27001 нь том утгаараа хоёр хэсэг. Компанийг хэрхэн ажиллуулахыг тогтоодог үндсэн хэсэг (заалт 4~10), мөн бодит аюулгүй байдлын арга хэмжээний жагсаалт болох хавсралт A (93 хяналт) юм.
① Менежментийн тогтолцооны үндсэн хэсэг — заалт 4~10
Байгууллагын нөхцөл байдал
Дотоод·гадаад асуудал болон оролцогч талуудын шаардлага, хамрах хүрээг тодорхойлох
Манлайлал
Удирдлагын зориг, мэдээллийн аюулгүй байдлын бодлого, үүрэг ба хариуцлага
Төлөвлөлт
Эрсдэлийн үнэлгээ·эрсдэл боловсруулалт, хэрэглэх боломжийн тодорхойлолт (SoA), аюулгүй байдлын зорилт
Дэмжлэг
Нөөц·чадавхи·ойлголт·харилцаа холбоо·баримтжуулсан мэдээлэл
Үйл ажиллагаа
Эрсдэлийн үнэлгээний хэрэгжилт болон эрсдэл боловсруулах арга хэмжээний үйл ажиллагааны хяналт
Гүйцэтгэлийн үнэлгээ·сайжруулалт
Дотоод аудит·удирдлагын дүн шинжилгээ, үл нийцлийн залруулга ба тасралтгүй сайжруулалт
② Хавсралт A — 4 сэдвийн 93 хяналт
A.5 Зохион байгуулалтын хяналт
Мэдээллийн аюулгүй байдлын бодлого, хөрөнгийн менежмент, хандалтын хяналтын бодлого, нийлүүлэгч·үүлэн аюулгүй байдал, ослын менежмент, заналхийллийн мэдээлэл зэрэг компани даяарх дүрэм журам
A.6 Хүний хяналт
Ажилд авахдаа хийх аюулгүй байдлын шалгалт, аюулгүй байдлын баталгаа, сургалт·ойлголт, сахилгын журам, гэрээсээ ажиллах·аюулгүй байдлын осол мэдэгдэх зэрэг хүнтэй холбоотой хяналт
A.7 Биет хяналт
Нэвтрэх хяналт, аюулгүй байдлын бүс, тоног төхөөрөмжийн хамгаалалт, кабель·хадгалах хэрэгслийн менежмент, биет аюулгүй байдлын хяналт зэрэг орон зай ба төхөөрөмжтэй холбоотой хяналт
A.8 Техникийн хяналт
Хандалтын эрх, шифрлэлт, нөөцлөлт, бүртгэл·хяналт, сүлжээ·вэб шүүлтүүр, аюулгүй кодчлол, өгөгдөл алдагдлаас сэргийлэх зэрэг техникийн арга хэмжээ
2022 шинэ Шинээр нэмэгдсэн 11 хяналт
2022 оны шинэчилсэн хувилбар нь үүлэн рүү шилжих хувирал болон шинэ заналхийллийн орчныг тусгаж 11 хяналтыг шинээр нэмсэн. Хуучин хувилбараар (2013) авсан компани нь шилжилтийн аудит хийлгэх шаардлагатай.
Гэрчилгээний журам
Зөрүүгийн шинжилгээ
Одоогийн аюулгүй байдлын түвшин болон ISO·ISMS-P шалгуурын зөрүүг оношлох
Эрсдэлийн менежмент
Мэдээллийн хөрөнгө тодорхойлох, эрсдэлийн үнэлгээ ба эрсдэл боловсруулах төлөвлөгөө гаргах
SoA·байгуулалт
Хэрэглэх боломжийн тодорхойлолт боловсруулах болон хяналт хэрэгжүүлэх, бодлого·журмын үйл ажиллагаа
Гэрчилгээний аудит
1-р шат бичиг баримтын аудит, 2-р шат газар дээрх аудитаар хяналтын үйл ажиллагааг шалгах
Гэрчилгээ·дараах арчилгаа
Гэрчилгээ олгох (3 жил), жил бүрийн хяналтын аудитаар тогтолцоог хадгалах
Яагаад зөвлөх компани сонгох нь үр дүнг шийдэх вэ
Мэдээллийн аюулгүй байдлын гэрчилгээ нь бичиг баримтын багц авах ажил биш, компанийн дотор бодитоор эргэлддэг тогтолцоо бүтээх ажил юм. Адил гэрчилгээ ч аль компанитай хийснээс хамаарч гэрчилгээний дараах үе тэс өөр болно.
Буруу сонголтын үнэ
- · Зөвхөн бичиг баримт хийгээд явбал аудитад үйл ажиллагааны нотлох баримтгүй болж нэмэлт засвар·дахин аудит
- · Зөвхөн хэлбэр төдий тогтолцоо нь бодит халдлагын осол гарахад ажиллахгүй
- · Манай салбарын эрсдэлийг мэдэхгүй бол шаардлагагүй хяналт л нэмэгдэж, гол хэсэг нь хоосон үлдэнэ
- · Сунгалт·хяналтын аудитын үед өөр компани дахин хайх зардал
Сайн түншийн шалгуур
- · Аудитын талбайг мэддэг мэргэжилтэн "аудитад бодитоор юу хардаг вэ" гэдэг шалгуураар зохиомжилно
- · Манай салбар (SaaS·финтек·үйлдвэрлэл гэх мэт)-ийн эрсдэлийн профайлд тааруулсан хяналт сонгох
- · ISMS-P болон ISO 27001-ийг хамт харах нэгдсэн зохиомжоор давхцлыг арилгах
- · Гэрчилгээгээр дуусахгүй, сунгалт·үйл ажиллагаа хүртэл нэг баг хамт явна
Just Verify-ийн ялгаа
Одоо ажиллаж байгаа аудитын туршлагатай хүн 1:1 хариуцна. Аудит давах биш, үр нөлөөтэй тогтолцоог зохиомжилно.
ISMS-P·ISO 27001-ийг эхнээсээ хамт буулгаж нэг удаагийн байгуулалтаар хоёр гэрчилгээг бэлтгэнэ.
Нийт 500 компанийн гэрчилгээний амжилт болон салбар тус бүрийн мэдлэгээр алдаа оноог бууруулна.
Хүлээгдэх үр нөлөө
Худалдааны итгэл бий болгох
Харилцагч болон түншид аюулгүй байдлын түвшинг нэг хуудсаар нотлох
Хууль ёсны үүрэг хангах
Хувийн мэдээлэл хамгаалах тухай хууль·Мэдээлэл харилцаа холбооны сүлжээний тухай хуулийн шаардлагыг нэг дор хангах
Тендерийн нэмэлт оноо
Төрийн·санхүүгийн төсөлд санал тавихад зайлшгүй шаардлага болон нэмэлт оноо авах
Ослын зардлаас сэргийлэх
Халдлагын осолд учрах нөхөн төлбөр·сэргээлт·итгэлийн алдагдлыг урьдчилан таслах
Түгээмэл асуултууд
ISO 27001 болон ISMS-P юугаараа ялгаатай вэ, яагаад хамт бэлтгэдэг вэ?
ISO 27001:2022-ийн 93 хяналтын зүйлийг бүгдийг хэрэгжүүлэх ёстой юу?
Манай компани ISMS-P-ийн заавал авах үүрэгтэй эсэхийг хэрхэн тодорхойлох вэ?
Үүлэн (AWS·Azure·GCP) орчинд ажилладаг компани авах боломжтой юу?
Гэрчилгээний зөвлөх компани сонгох нь яагаад тийм чухал вэ?
Мэдээллийн аюулгүй байдлын гэрчилгээг нэгдсэн стратегиар эхлүүлээрэй
Дунджаар 30 хоногт гүйцэтгэх, зардал 30% хэмнэлт, нийт 500 компанийн гэрчилгээний амжилт. ISMS-P болон ISO 27001-ийг нэг дор бэлтгэх замыг Just Verify зааж өгнө.