“Юбикаб Холдинг” ХХК-н Гүйцэтгэх захирлын
2025 оны 09 сарын 22-ны өдрийн А/09 тоот тушаалын Хавсралт

“ЮБИКАБ ХОЛДИНГ” ХХК БОЛОН ОХИН КОМПАНИУДЫН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН МЕНЕЖМЕНТИЙН ТОГТОЛЦООНЫ БОДЛОГО

/Баримтын дугаар: ISMS-DOC-02-1 Хувилбар 2.0/

2025 оны 09 дүгээр сарын 22-ны өдөр

  1. УДИРТГАЛ

    1. “ЮБИКАБ ХОЛДИНГ” ХХК (цаашид “Компани” гэх) нь Монгол Улсын тэргүүлэгч финтек болон технологийн холдинг компани бөгөөд өөрийн охин компаниудаар дамжуулан ride-hailing, хүргэлт, харилцагчдад үйлчлэх 24/7 үйлчилгээ, логистик, финтек төлбөрийн шийдэл, автомашины лизинг, программ хангамжийн хөгжүүлэлт зэрэг олон чиглэлийн охин компаниудыг өөртөө нэгтгэсэн байгууллага юм. Компанийн өдөр тутмын үйл ажиллагаанд санхүүгийн систем, хэрэглэгч болон жолооч/курьерийн хувийн мэдээлэл, байршлын дата, финтек платформын өгөгдөл, харилцагчийн харилцааны бичлэг зэрэг өндөр мэдрэмтгий мэдээлэл боловсруулагддаг тул мэдээллийн аюулгүй байдлыг хангах нь бизнесийн тасралтгүй байдал, үйлчилгээний чанар болон харилцагчдын итгэлийг хамгаалахад онцгой ач холбогдолтой.

      “ЮБИКАБ ХОЛДИНГ” ХХК нь олон улсын ISO/IEC 27001:2022 стандартыг нэвтрүүлснээр мэдээллийн хөрөнгийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг эрсдэлийн удирдлагад суурилан хамгаалах цогц тогтолцоог төлөвшүүлж, бизнесийн бүх салбарт аюулгүй байдлын нэгтгэсэн хандлагыг хэрэгжүүлнэ. Энэ нь ялангуяа ride-hailing, хэрэглэгчийн өгөгдлийн хамгаалалт болон хүргэлтийн үйлчилгээнд хэрэглэгчийн байршлын мэдээллийн хамгаалалт, финтек үйлчилгээнд төлбөрийн мэдээллийн PCI DSS нийцэл, програм хөгжүүлэлт болон cloud үйлчилгээний аюулгүй ажиллагаазэрэг чиглэлүүдэд онцгой ач холбогдолтой.

    2. Монгол Улсын хууль эрхзүйн орчинд мэдээллийн аюулгүй байдал, хувийн мэдээллийн хамгаалалтын чиглэлээр сүүлийн жилүүдэд шинэ шаардлагууд бий болсон. 2021 онд батлагдсан Кибер аюулгүй байдлын тухай хууль, 2022 оноос мөрдөгдөж эхэлсэн Хувийн мэдээлэл хамгаалах тухай хууль, түүнчлэн Санхүүгийн зохицуулах хороо, Монгол банкнаас гаргасан мэдээллийн технологи, санхүүгийн үйлчилгээний аюулгүй байдлын журмууд нь компаниудыг мэдээллийн аюулгүй байдлын өндөр түвшний зохицуулалт мөрдөхийг шаарддаг. Иймд “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний охин компаниуд нь зөвхөн олон улсын ISO/IEC 27001 стандартад нийцсэн МАБМТ-ийг хэрэгжүүлээд зогсохгүй, үйл ажиллагааны салбар бүрт хамаарах такси үйлчилгээний стандарт, санхүүгийн зохицуулалтын шаардлага, төлбөрийн системийн PCI DSS, AML/KYC зэрэг дотоодын болон олон улсын зохицуулалтуудыг мөрдөж ажиллахыг энэхүү бодлогоор тунхаглаж байна.

    3. Энэхүү мэдээллийн аюулгүй байдлын бодлогоор “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компаниудын үйл ажиллагааны онцлогт нийцсэн байдлаар мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хүрээнд баримтлах үндсэн зарчим, шаардлагыг тодорхойлно. Бодлого нь компанийн дээд удирдлагын мэдээллийн аюулгүй байдлыг хангах манлайлал, чиглэлийг баталгаажуулж, МАБМТ-ийн зорилт, зорилтуудыг тодорхойлох суурь баримт бичиг болно. Түүнчлэн энэхүү бодлогоор дамжуулан:

      • ride-hailing болон хүргэлтийн үйлчилгээнд хэрэглэгч, жолоочийн хувийн мэдээлэл, байршлын өгөгдлийн хамгаалалт, хэрэглэгчийн харилцааны өгөгдлийн нууцлал,
      • финтек үйлчилгээнд төлбөрийн системийн найдвартай ажиллагаа, картын мэдээллийн хамгаалалт, PCI DSS нийцэл,
      • программ хөгжүүлэлт, систем интеграцийн төслүүдэд secure development практик,автомашины лизинг болон B2B үйлчилгээний гэрээт өгөгдлийн хамгаалалт зэрэг мэдээллийн аюулгүй байдлын шаардлагыг хангах чиглэлүүдийг тодорхойлно.
  2. ХАМРАХ ХҮРЭЭ

    1. Энэхүү бодлого нь “ЮБИКАБ ХОЛДИНГ” ХХК болон бүх охин компаниудын хэмжээнд дагаж мөрдөнө. Компанийн бүх бүтэц, нэгж, харьяа байгууллагын мэдээллийн аюулгүй байдлын үйл ажиллагаанд энэхүү бодлогын заалтууд бүрэн хамаарна. Тухайлбал, дараах хамрах хүрээнд мөрдөж ажиллана:

      • Группийн төв компани болон охин компаниудын бүх алба, хэлтэс, салбар нэгжүүдийн эзэмшилд эсвэл хяналтад байдаг бүх мэдээллийн хөрөнгө хамрагдана. Үүнд: мэдээллийн сан, хэрэглэгчийн өгөгдөл, жолооч/курьерийн байршлын мэдээлэл, санхүүгийн системүүд, серверүүд, төхөөрөмжүүд, программ хангамж, үүлэн (cloud) орчин, бичиг баримт болон компанийн бизнесийн нууц зэрэг бүх төрлийн мэдээлэл орно.
      • Компанийн нийт ажилтнууд, гэрээт болон түр хугацааны ажиллах хүч, зөвлөх, аутсорсинг үйлчилгээ үзүүлэгч, нийлүүлэгч, финтек болон банкны түнш байгууллагууд, cloud үйлчилгээ үзүүлэгчид, мөн мэдээллийн систем, өгөгдөлд нэвтрэх эрх бүхий бусад этгээд энэ бодлогыг мөрдөх үүрэгтэй.
      • Мэдээллийн боловсруулалт явагдаж буй бүх орчин, байршилд энэ бодлогын шаардлага үйлчилнэ. Үүнд: компанийн төв оффис, салбар нэгж, дата төв, үүлэн үйлчилгээ, call center, BPO орчин, жолооч/курьерийн мобайл аппликейшн, гэрээс ажиллах орчин зэрэг багтана.
      • Компанийн бүх бүтээгдэхүүн, үйлчилгээний хүрээнд бий болсон, цуглуулсан, боловсруулсан, дамжуулсан мэдээлэл бодлогын хамгаалалтад хамаарна. Үүнд:
        • Харилцагчийн хувийн,санхүүгийн болон харилцааны бичлэг, дата, мэдээлэл
        • Жолооч, хүргэлтийн ажилтны байршлын болон орлогын мэдээлэл
        • Төлбөрийн гүйлгээний болон финтек үйлчилгээний өгөгдөл
        • Компанийн санхүүгийн тайлан, гэрээний мэдээлэл

    2. Программ хангамжийн хөгжүүлэлт болон системийн код, техник шийдэлБодлогын хэрэгжилтийг нийт Группийн хэмжээнд ханган ажиллах бөгөөд шаардлагатай тохиолдолд охин компани бүр өөрийн үйл ажиллагааны онцлогт нийцсэн дотоод журам, заавар боловсруулж мөрдөнө. Ийм тохиолдолд тухайн журам, заавар нь заавал энэхүү бодлоготой нийцсэн байх бөгөөд “ЮБИКАБ ХОЛДИНГ” ХХК -ийн мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хүрээнд нэгдсэн удирдлагад хамаарна.

  3. ЗОРИЛГО

    1. Энэхүү бодлогын зорилго нь “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компаниудын мэдээллийн хөрөнгийг зохих түвшний хамгаалалтаар хангах замаар:

      • бизнесийн тасралтгүй байдлыг дэмжих,
      • харилцагч, жолооч, хүргэлтийн ажилтан болон түнш байгууллагуудын мэдээллийн аюулгүй байдлыг хадгалах,
      • финтек үйлчилгээний төлбөрийн системийн найдвартай ажиллагааг баталгаажуулах,
      • программ хангамжийн хөгжүүлэлт, интеграцийн төслүүдийн аюулгүй байдлыг хангах,
      • BPO үйлчилгээний харилцагчийн өгөгдлийг хамгаалах,
      • улмаар байгууллагын нэр хүнд, хууль эрхзүйн нийцлийг бүрдүүлэхэд оршино.

    2. Мэдээллийн аюулгүй байдлын бодлогоор дамжуулан компанийн дээд удирдлага мэдээллийн аюулгүй байдлын менежментэд манлайлал, дэмжлэг үзүүлж буйгаа баталгаажуулж, МАБМТ-ийн зорилтуудыг тодорхойлох суурь баримт бичиг болгон ашиглана.

    3. Энэхүү бодлого нь ISO/IEC 27001:2022 стандартад нийцсэн мэдээллийн аюулгүй байдлын зорилго, зарчмуудыг тогтоож, цаашид боловсруулах дэд бодлого, журам, зааврын үндэс болно. Бодлогын хүрээнд байгууллага дараах чиглэлээр тодорхой зорилтуудыг дэвшүүлнэ:

      • Нууцлал, бүрэн бүтэн байдал, хүртээмж (CIA): Ride-hailing, хүргэлт, финтек, програм хөгжүүлэлт, call center-ийн хүрээнд бий болсон мэдээллийн активыг хамгаалах.

      • Хууль эрх зүйн нийцэл: Хүний хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль, PCI DSS, AML/KYC зэрэг хууль, журам болон гэрээний шаардлагыг бүрэн биелүүлэх.

      • Эрсдэлийн удирдлага: Жил бүр болон шаардлагатай үед мэдээллийн аюулгүй байдлын эрсдэлийг үнэлж, өндөр болон ноцтой эрсдэлийг заавал бууруулах арга хэмжээг хэрэгжүүлэх.

      • Ажилтны мэдлэг ба соёл: Бүх ажилтанд мэдээллийн аюулгүй байдлын сургалтыг тогтмол явуулж, ажилтан бүр бодлогыг өдөр тутмын ажилдаа хэрэглэх соёл төлөвшүүлэх.Ажилтны мэдлэг ба соёл: Бүх ажилтанд мэдээллийн аюулгүй байдлын сургалтыг тогтмол явуулж, ажилтан бүр бодлогыг өдөр тутмын ажилдаа хэрэглэх соёл төлөвшүүлэх.

      • Тасралтгүй сайжруулалт: МАБМТ-ийг PDCA мөчлөгт тулгуурлан байнга сайжруулж, шинэ технологи (AI, EV fleet, e-wallet, cloud гэх мэт)-ийн эрсдэлийг тооцож, хяналтын арга хэмжээг нэвтрүүлэх.

    4. Дээрх зорилтуудыг хэрэгжүүлэхийн тулд бодлого нь мэдээллийн аюулгүй байдлын менежментийн тогтолцоог байгууллага даяар хэвшүүлэх хүрээ, арга хэмжээ-г тодорхойлно. Үүнд:

      • Бүх охин компанид нэгдсэн МАБМТ хэрэгжүүлэх,
      • Үйл ажиллагааны онцлог бүрт (ride-hailing, финтек, BPO гэх мэт) тохирсон дэд журам боловсруулах,
      • Эрсдэлийн үнэлгээ, дотоод аудит, удирдлагын хяналтын тогтолцоог тогтмол хэрэгжүүлэх,
      • Зөрчлийн удирдлагын протокол, бизнесийн тасралтгүй ажиллагааны төлөвлөгөө, гуравдагч талын аудит зэрэг хяналтын арга хэмжээг хэрэгжүүлэх,
  4. НЭР ТОМЬЁО БА ТОДОРХОЙЛОЛТ

    1. Энэхүү бодлогод хэрэглэсэн зарим нэр томьёог дор дурдсан утгаар ойлгоно:

      • Мэдээллийн аюулгүй байдал – Мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг хадгалах байдлыг хэлнэ. Нууцлал гэдэг нь мэдээлэл зөвшөөрөгдсөн этгээдэд хүртээмжтэй байхыг, бүрэн бүтэн байдал нь мэдээлэл зөвшөөрөлгүйгээр өөрчлөгдөөгүй үнэн зөв хэвээр хадгалагдахыг, хүртээмжтэй байдал нь мэдээлэл шаардлагатай үед тасралтгүй ашиглах боломжтой байхыг тус тус илэрхийлнэ.
      • Мэдээллийн аюулгүй байдлын менежментийн тогтолцоо (МАБМТ) – Байгууллагын мэдээллийн аюулгүй байдлыг удирдах, зохицуулах зорилгоор бодлого, журам, үйл ажиллагаа, нөөцийг нэгтгэсэн цогц систем. ISO/IEC 27001 стандартад заасан шаардлагуудыг хангахуйц, тасралтгүй сайжруулах хандлагатай менежментийн тогтолцоо юм.
      • Мэдээллийн хөрөнгө – Байгууллагын мэдлийн болон боловсруулалтын хүрээнд байгаа аливаа мэдээлэл болон түүнийг дэмжих дэд бүтэц, хэрэгслүүд. Үүнд цахим болон цаасан хэлбэрийн мэдээлэл, мэдээллийн сан, программ хангамж, техник хангамж, сүлжээний төхөөрөмж, хадгалах хэрэгсэл, бичиг баримт зэрэг мэдээлэл агуулж буй бүх төрлийн хөрөнгө хамаарна.
      • Нууцлалтай мэдээлэл – Хувь хүн, байгууллагын нууцын зэрэгтэй, зөвшөөрөлгүй задруулбал хохирол учруулахуйц мэдээлэл. Үүнд харилцагчийн хувийн мэдээлэл, санхүүгийн мэдээлэл, төлбөрийн картын мэдээлэл, компанийн дотоод нууц баримт зэрэг хуулиар болон гэрээгээр хамгаалагдсан мэдээлэл орно.
      • Хэрэглэгчийн хувийн мэдээлэл – Хувь хүнтэй холбоотой, шууд болон шууд бусаар тухайн хүнийг тодорхойлох боломжтой мэдээлэл (жишээ нь: нэр, регистрийн дугаар, холбоо барих мэдээлэл, санхүүгийн дэлгэрэнгүй мэдээлэл, гэрийн хаяг, аяллын мэдээлэл гэх мэт). Монгол Улсын Хувийн мэдээлэл хамгаалах тухай хуульд заасан “хувийн мэдээлэл” мөн энэ хүрээнд ойлгогдоно.
      • Эрсдэл – Мэдээллийн аюулгүй байдалд сөргөөр нөлөөлж болзошгүй үйл явдал, нөхцөл байдлын тохиолдох магадлал болон түүний учруулах үр дагаврын нийлбэр үнэлгээ. Эрсдэлийн түвшин нь илрэх магадлал ба нөлөөллийн хэмжээгээр тодорхойлогдоно.
      • Мэдээллийн аюулгүй байдлын зөрчил – Мэдээллийн аюулгүй байдал (нууцлал, бүрэн бүтэн байдал, хүртээмж)-д сөрөг нөлөө үзүүлж, хохирол учруулж болзошгүй эсвэл бодит хохирол учруулсан үйл явдал. Жишээ нь, мэдээлэл алдагдах, зөвшөөрөлгүй нэвтрэлт, хортой программын халдлага, системийн тасалдал зэргийг зөрчил гэнэ.
      • Хяналтын арга хэмжээ – Мэдээллийн аюулгүй байдлыг хангах зорилгоор хэрэгжүүлж буй бодлого, журам, техник, технологи, арга ажиллагаа, зохион байгуулалтын бүхий л шийдлүүдийг нэрлэнэ. Жишээлбэл, нууц үгийн бодлого, галт хана, мэдээлэл шифрлэх арга, хандалт хязгаарлалт зэрэг нь хяналтын арга хэмжээнд орно.
  5. БОДЛОГЫН ЗАРЧИМ

    1. “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний охин компаниуд мэдээллийн аюулгүй байдлыг хангах дараах үндсэн зарчмыг баримтална:

      • Хууль, журам мөрдөх зарчим: Байгууллага нь мэдээллийн аюулгүй байдлын талаарх бүх холбогдох хууль тогтоомж, зохицуулагч байгууллагаас баталсан дүрэм журмыг бүрэн мөрдөж ажиллана. Тухайлбал, Монгол Улсын Хүний хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль болон бусад холбогдох эрхзүйн актуудын шаардлагыг мэдээллийг хамгаалах үйл ажиллагаандаа тусган хэрэгжүүлнэ. Мөн гуравдагч талуудтай байгуулсан гэрээ, тохиролцооны хүрээнд хүлээсэн мэдээллийн аюулгүй байдлын үүрэг, шаардлагыг чандлан биелүүлнэ.
      • Хариуцлагын зарчим (мэдээллийн хөрөнгийн өмчлөл): Байгууллагын эзэмшдэг бүх мэдээллийн хөрөнгө нь тодорхой эзэн, өмчлөгчтэй байна. Хөрөнгийн эзэмшигч нь тухайн мэдээллийн активыг ашиглах зөвшөөрөгдөх хүрээг тогтоож, зохих хамгаалалтын арга хэмжээг хэрэгжүүлэх хариуцлагыг хүлээнэ. Мэдээллийн хөрөнгийг ангилж, тухайн ангилалд тохирсон хамгаалалтыг хангах журам хэрэгжинэ. (жишээ нь, нууцлалын зэрэглэл тогтоох).
      • “Шаардлага мэдэгч” зарчим (Need-to-know): Мэдээлэлд зөвхөн ажлын шаардлагаар, зохих эрх бүхий ажилтан, хандах эрхтэй этгээд байна. Хэрэглэгчдэд тэдний үүрэгт ажил гүйцэтгэхэд зайлшгүй хэрэгцээтэй хамгийн бага хүртээмжийг олгож, давуу эрх, хандах эрхийг үе шаттай хянаж зохицуулна. Зөвшөөрөлгүй этгээд мэдээлэлд нэвтрэхээс урьдчилан сэргийлэх техникийн болон зохион байгуулалтын арга хэмжээг байнга сайжруулж ажиллана.
      • Мэдээллийг ангилж, шошголох зарчим: Байгууллага бүх мэдээллийн активдаа мэдээллийн ангилал (нууцлалын зэрэг)-ыг тогтоож, ангиллын дагуу зохих хамгаалалт, ашиглалтын горимыг мөрдөнө. Мэдээллийг “нийтийн”, “дотоод хэрэглээний”, “нууцлалтай”, “маш нууц” гэх мэт ангиллын дагуу шошголох ба тус бүрд нь мэдээлэл хадгалах, дамжуулах, устгах журам, горимыг тодорхойлно. Ажилтнууд нь өөрт олгогдсон мэдээллийг түүний ангилалд нийцүүлэн зөв зохистой хэрэглэх, хадгалах үүрэг хүлээнэ.
      • Мэдээллийн бүрэн бүтэн байдлыг хадгалах зарчим: Байгууллага мэдээллийн үнэн зөв, бүрэн байдлыг хамгаалах бүх талын арга хэмжээг авна. Мэдээлэл ямар нэгэн өөрчлөлт, гэмтэлд ороогүй найдвартай эсэхийг хангахын тулд нөөцлөлт, шалгалт, хяналтын механизмуудыг үйл ажиллагаандаа нэвтрүүлнэ. Бүх өгөгдөл, систем дэх өөрчлөлтүүд зөвшөөрөгдсөн, бүртгэгдсэн байх ба алдаанаас сэргээх төлөвлөгөөг тодорхойлсон байна.
      • Нууцлалыг хангах зарчим: Мэдээллийг зөвшөөрөлгүй нэвтрэлт, задруулалт, алдагдалаас хамгаалахын тулд техникийн (жишээ нь, криптографи, нууц үг, танилт нэвтрэлтийн олон шатлал) болон зохион байгуулалтын (жишээ нь, физик хамгаалалт, хандалт хязгаарлалт) хяналтуудыг хэрэгжүүлнэ. Нууцлалтай мэдээлэлд хандах бүхий л үйлдэл бүртгэгдэж, хянагдана.
      • Эрсдэлийн удирдлагын зарчим: Байгууллага нь мэдээллийн аюулгүй байдлын эрсдэлийг тогтмол үнэлж, илрүүлсэн эрсдэл бүрд тохирсон бууруулах, хянах арга хэмжээг авч хэрэгжүүлнэ. Эрсдэлийн үнэлгээг байгууллагын хэмжээнд дор хаяж жил бүр эсвэл мэдээллийн системд томоохон өөрчлөлт ороход гүйцэтгэж, эрсдэлийн бүртгэл хөтөлнө. Эрсдэлийг бууруулах арга хэмжээ нь байгууллагын эрсдэлийн хүлцлийн түвшинд нийцсэн байхын зэрэгцээ үлдэгдэл эрсдэлийг дээд удирдлагад танилцуулж, зөвшөөрүүлнэ.
      • Тасралтгүй сайжруулалтын зарчим: Байгууллага нь МАБМТ-ийг хэрэгжүүлэхдээ “Төлөвлөх-Хийх-Шалгах-Сайжруулах” (PDCA) мөчлөгт тулгуурлан байнга үнэлж, сайжруулалт хийнэ. Мэдээллийн аюулгүй байдлын зорилтууд, хяналтын арга хэмжээнүүдийн хэрэгжилтийг тогтмол хянаж, шалган, дүнг удирдлагын тоймд хэлэлцэнэ. Илэрсэн зөрчил, сул талыг залруулах, сайжруулах үйл ажиллагааг даруй авч хэрэгжүүлэх замаар мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог байнга боловсронгуй болгож байх болно.
    2. Дээрх зарчмуудыг компанийн бүхий л түвшинд мөрдөж, мэдээллийн аюулгүй байдлын бүх шийдвэр, үйл ажиллагаанд баримтлан ажиллахыг энэ бодлогоор үүрэг болгож байна.
  6. ХЯНАЛТЫН ХҮРЭЭ
    1. Мэдээллийн аюулгүй байдлын бодлогыг хэрэгжүүлэхийн тулд дараах үндсэн чиглэлүүдээр хяналтын арга хэмжээнүүдийг төлөвлөн хэрэгжүүлнэ. Эдгээр хяналтын хүрээ нь ISO/IEC 27001:2022 стандартын Хавсралт А-ийн хяналтын зорилтууд болон санхүүгийн технологийн салбарын онцлогт нийцүүлэн сонгогдсон болно.
    2. Хандалтын хяналт (Access Control)

      1. Компанийн мэдээлэл, систем нөөцөд хандах эрхийг зөвхөн эрх бүхий ажилтан, хэрэглэгчдэдээ олгоно. Хандалтын эрхийг олгох, өөрчлөх, цуцлах үйл явцыг албан ёсны журмын дагуу хэрэгжүүлж, хэрэглэгч бүрд зөвхөн өөрийн ажил үүргийн хүрээнд шаардлагатай хамгийн бага эрхийг олгоно. Хэрэглэгчийн данс, нууц үгийн бодлого, нэвтрэх олон шатлал (2FA гэх мэт) болон сүлжээний нэвтрэлт хяналтын тохиргоог хэрэгжүүлж, зөвхөн зөвшөөрөгдсөн хүмүүс мэдээлэлд хандах боломжийг хангана. Хандалтын эрхийн бүртгэлийг хөтөлж, бүх хэрэглэгчийн эрхийг тодорхой хугацаанд тогтмол хянаж, давхар шалган, шаардлагагүй болсон эрхийг цуцална. Администраторын болон өндөр түвшний эрхүүдэд онцгой анхаарч, тэдгээрийн ашиглалтыг бүртгэн, хяналт тавина.

    3. Криптографи (Cryptography)

      1. Мэдээллийн нууцлалыг хадгалах болон бүрэн бүтэн байдлыг хамгаалахын тулд криптографийн арга техникүүдийг өргөн ашиглана. Мэдээллийн чухал, эмзэг хэсгүүд (жишээ нь, харилцагчийн хувийн мэдээлэл, төлбөрийн картын өгөгдөл г.м.) болон систем хоорондын өгөгдөл дамжуулалтад баталгаат криптографийн алгоритм (AES, RSA гэх мэт) хэрэглэн шифрлэлт хийнэ. Мэдээлэл дамжуулахдаа TLS/SSL зэрэг аюулгүй протокол ашиглаж, хадгалахдаа шифрлэн хамгаална.Криптографийн түлхүүрүүдийг амьдралын мөчлөгийнх (lifecycle) нь турш (үүсгэх, тараах, хадгалах, архивлах, устгах) найдвартай хамгаалалтын аргаар удирдана. Түлхүүрийн алдагдал, алдааг илрүүлэх, сэргээх журам тогтоож, түлхүүрүүдэд хяналт, аудит хийж байх болно.

    4. Мэдээллийн хөрөнгийн удирдлага (Asset Management)

      1. Байгууллагын бүх мэдээллийн хөрөнгийг (мэдээлэл, программ хангамж, техник төхөөрөмж, баримт бичиг зэрэг) бүртгэн, ангилж, хариуцсан эзэн томилсон байна. Хөрөнгийн бүртгэл (Asset Register) хөтөлж, хөрөнгийн эзэмшигчид нь тухайн мэдээллийн активын ашиглалт, хамгаалалтыг хангах үүрэг хүлээнэ. Мэдээллийн хөрөнгийг түүний үнэ цэнэ, эмзэг байдал, эрсдэлийн түвшингээр нь ангилан зохистой хамгаалалтын түвшнийг тодорхойлно. Бүх мэдээллийн хөрөнгийг ангиллын дагуу зохих хамгаалалт (жишээ нь, хамгаалалтын тэмдэглэгээ, нууцлалын шошго) хийнэ. Хөрөнгийн бүрэн бүтэн байдал, ашиглалт, байршлыг хянах механизм ажиллаж, мэдээллийн активын өөрчлөлт, хөдөлгөөнийг (шинээр бий болох, шилжүүлэх, устгах) журмын дагуу бүртгэн зохицуулна.

    5. Хүний нөөцийн аюулгүй байдал

      1. Ажилтнууд, гэрээт болон түр ажиллах хүчнийг ажилд авах, ажлаас чөлөөлөх үеийн үйл явцад мэдээллийн аюулгүй байдлын шаардлагыг тусгана. Ажилд орох шатанд ажил горилогчийн өмнөх туршлага, нэр хүндийг лавлах, шаардлагатай тохиолдолд хууль эрхзүйн шалгалт хийж (background check) тохиромжтой эсэхийг үнэлнэ. Албан тушаалын тодорхойлолтод мэдээллийн аюулгүй байдлын холбогдох үүрэг, хариуцлагыг тусгаж, ажилтан бүр байгууллагын мэдээллийн аюулгүй байдлын бодлого, журамтай танилцаж, дагаж мөрдөхөө хөдөлмөрийн гэрээгээр хүлээн зөвшөөрнө. Ажилтанд мэдээллийн аюулгүй байдлын талаар шаардагдах мэдлэгийг олгох сургалтыг ажилд орох үед нь болон тогтмол хугацаанд явуулна.

      2. Ажилтны ажлын байр, үүрэгт өөрчлөлт орох буюу компанид ажиллах харилцаа дуусгавар болоход мэдээллийн аюулгүй байдлыг хангах дараах арга хэмжээг авч хэрэгжүүлнэ:

      3. Ажилтны хандаж байсан бүх систем дэх нэвтрэх эрхийг нэн даруй цуцлах буюу шинэ үүрэгт тохируулан өөрчлөх (ажлаас гарах өдрөөс өмнө эрхийг түдгэлзүүлэх, ажлын шинэ шилжилтэд нь тохирсон эрх өгөх гэх мэт).

      4. Ажилтны хадгалж байсан компанийн бүх мэдээлэл, баримт бичиг, түүнчлэн түүнд олгогдсон тоног төхөөрөмж, нууцлалтай холбогдох цаасан мэдээлэл зэргийг бүрэн хүлээн авах, буцаалтыг баримтжуулах.
      5. Ажилтны ажлаас гарах, шилжих үйл явцыг удирдах явцад шифрлэгдсэн түлхүүр, нууц үг зэрэг хандалтын мэдээллийг шилжүүлэх, шаардлагатай бол дахин тохируулах.
      6. Шаардлагатай тохиолдолд ажилтантай холбоотой мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг хийж, нэмэлт хамгаалалт авах.
      7. Мөн компанийн дотоод аудит, мэдээллийн аюулгүй байдлын баг нь хэрэгцээ гарвал хуульд нийцсэн хүрээнд системийн хэрэглээ, имэйл зэрэгт хяналт шинжилгээ хийж, бодлогын хэрэгжилтэд хяналт тавьж болно.
    6. Физик ба орчны аюулгүй байдал

      1. Мэдээллийн систем, өгөгдөл хадгалах төхөөрөмжүүд байрлаж буй объект, байр талбайн физик хамгаалалтыг өндөр түвшинд хангасан байна. Зөвшөөрөлгүй хүн байгууллагын мэдээллийн дэд бүтцэд биечлэн нэвтрэхээс сэргийлэх хамгаалалт (жишээ нь, хамгаалалтын ажилтан, хяналтын камер г.м.) нэвтрүүлнэ. Серверийн өрөө, өгөгдөл төвлөрсөн агуулах зэрэг чухал бүсүүдэд зөвхөн эрх бүхий ажилтан нэвтрэх бөгөөд зочин, гадаад хүмүүсийг нэвтрүүлэхдээ бүртгэлжүүлж, харгалзаж явах горим баримтална. Мэдээллийн төхөөрөмжүүд байрлах өрөө тасалгаанд галын дохиолол, хяналтын систем зэргийг суурилуулж, байгалийн гамшиг, ослын үед мэдээлэл устаж гэмтэхээс хамгаалах арга хэмжээ авна. Байгууллагын өмчлөлийн зөөврийн компьютер, мобайл төхөөрөмжүүдийг гадуур авч явах, гэрээс ашиглах тохиолдолд алдагдахаас сэргийлэх (байршил тогтоох, алсаас устгах боломж гэх мэт) болон шифрлэлтийн арга хэрэгслийг ашиглана.

    7. Үйл ажиллагааны болон сүлжээний аюулгүй байдал

      1. Мэдээллийн технологийн өдөр тутмын үйл ажиллагаанд аюулгүй байдлын шилдэг туршлагыг мөрдөнө. Систем, серверүүдийн тохиргоог аюулгүй байдлын шаардлагад нийцүүлэн хатууруулсан байна (secure configuration). Бүх сервер, ажлын станцууд, сүлжээний төхөөрөмжүүдэд зориулалтын вирусийн эсрэг программ, хортой кодын халдлагаас хамгаалах хэрэгсэл ажиллуулж, халдлагыг илрүүлэх, таслан зогсоох хамгаалалтыг байнгын шинэчлэлтэй байлгана. Сүлжээний олон түвшний хамгаалалтын шийдэл (галт хана, халдлага илрүүлэх/сэргийлэх систем, VPN) ашиглаж, гаднын халдлага, зөвшөөрөлгүй нэвтрэлтийг таслан зогсооно. Мэдээллийн системүүдийн хэвийн ажиллагааг алдагдуулж болзошгүй аюул заналуудыг илрүүлэхийн тулд лог, үйл явдлын мэдээллийг тасралтгүй цуглуулж, дүн шинжилгээ хийнэ.

      2. Өөрчлөлтийн менежментийн (change management) журмыг чанд мөрдөж, мэдээллийн систем, программ хангамжид хийх аливаа өөрчлөлт, шинэчлэлтийг зохих зөвшөөрөл, туршилтын дараа гүйцэтгэнэ. Онцгой өөрчлөлт, шинэ систем нэвтрүүлэх үед мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг заавал хийж, шаардлагатай хамгаалалтын арга хэмжээг урьдчилан төлөвлөж хэрэгжүүлнэ. Мөн үйлдвэрлэлийн (Development) орчны өгөгдөл, системд нөлөөлж болзошгүй өөрчлөлт, шинэ хөгжүүлэлтийг тусгаарлагдсан тест орчинд туршиж баталгаажуулсны дараа нэвтрүүлэх бодлого баримтална.

      3. Лог, системийн үйл ажиллагааны бүртгэлийг төвлөрүүлэн хадгалж, тодорхой хугацаагаар архивлан, ямар нэг аюулгүй байдлын асуудал гарсан нөхцөлд мөрдөн шалгах боломжийг бүрдүүлнэ.

    8. Гуравдагч тал болон нийлүүлэгчийн аюулгүй байдал

      1. Компанийн мэдээллийн систем, үйлчилгээнд хамтран ажиллагч гуравдагч талуудтай (банкны түнш, төлбөрийн системийн интеграци, үүлэн үйлчилгээ үзүүлэгч, программ хангамжийн ханган нийлүүлэгч гэх мэт) харилцахдаа мэдээллийн аюулгүй байдлын шаардлагыг гэрээгээр тохиролцож, мөрдүүлнэ. Нийлүүлэгч сонгон авах, гэрээ байгуулах үе шатанд тухайн талын мэдээллийн аюулгүй байдлын практик, чадавхад үнэлгээ (due diligence) хийж, шаардлагатай тохиолдолд ISO27001 зэрэг баталгаажуулалтын гэрчилгээг шаардана. Гуравдагч талуудтай байгуулсан гэрээнд мэдээлэл хамгаалах үүрэг, нууцлалын нөхцөл, мэдээлэл алдалт гарвал мэдэгдэх журам зэргийг тусгана. Нийлүүлэгчийн гүйцэтгэл, аюулгүй байдлын үзүүлэлтийг тодорхой давтамжтай хянаж (жишээлбэл, жил бүрийн аудит, өөрийн үнэлгээний асуулгаар), шаардлагыг зөрчсөн тохиолдолд залруулах төлөвлөгөө авч хэрэгжүүлэхийг шаардана.

    9. Мэдээллийн аюулгүй байдлын зөрчлийн удирдлага

      1. Мэдээллийн аюулгүй байдалтай холбоотой аливаа сэжигтэй үйл явдал, зөрчлийг (инцидент) нэн даруй илрүүлэх, хариу арга хэмжээ авах, мэдэгдэх, сэргээн засварлах цогц чадварыг бий болгоно. Зөрчлийн удирдлагын журам боловсруулж, дараах үе шаттай ажиллагааг тогтооно:

        1. Илрүүлэлт ба ангилал – Ажилтнууд мэдээллийн аюулгүй байдлын аль ч сэжигтэй шинж тэмдгийг (жишээ нь, систем удаашрах, алдааны мэдэгдэл гарах, сэжигтэй имэйл ирэх, сүлжээнд хэвийн бус ачаалал мэдрэгдэх гэх мэт) илрүүлсэн даруй холбогдох алба (IT туслалцаа, мэдээллийн аюулгүй байдлын менежер)-д мэдэгдэх үүрэгтэй. Хүлээн авсан мэдээлэлд мэдээллийн аюулгүй байдлын баг анхан шатны шинжилгээ хийж, зөрчлийн ангилал (ноцтой байдлын түвшин, нөлөөллийн хүрээ)-ыг тогтооно.

        2. Шуурхай хариу үйлдэл – Зөрчлийн ноцтой байдлаас хамааран шаардлагатай багийг (IT, мэдээллийн аюулгүй байдал, хууль эрхзүй, олон нийттэй харилцах гэх мэт) шуурхай ажиллуулж, тархалтыг зогсоох, хор уршгийг хязгаарлах арга хэмжээг авна. Жишээ нь, халдлагад өртсөн серверийг сүлжээнээс тусгаарлах, халдлагын улмаас илэрсэн эмзэг цоорхойг даруй нөхөх, хортой программ илэрсэн тохиолдолд системийг унтраах зэрэг арга хэмжээг авч, цаашдын хохирлыг хязгаарлана.

        3. Мэдээлэл түгээх ба мэдэгдэл – Томоохон зөрчил гарсан тохиолдолд компанийн удирдлага болон шаардлагатай бол зохицуулагч байгууллагуудад (Монгол банк, СЗХ, Хэрэглэгчдийн мэдээллийн эрхийг хамгаалах байгууллага гэх мэт) хуулийн хугацаанд нь мэдэгдэнэ. Хэрэв харилцагчдын хувийн мэдээлэл алдагдсан бол Хувийн мэдээлэл хамгаалах тухай хуульд заасан хугацаанд (жишээ нь, 72 цагийн дотор) тухайн хувь хүн болон хяналтын байгууллагад мэдэгдэл хүргэнэ.

        4. Шинжилгээ ба залруулах үйлдэл – Зөрчлийн үндсэн шалтгааныг (root cause) олж тогтоон, дахин давтагдахаас сэргийлэх урт хугацааны залруулах арга хэмжээг тодорхойлж хэрэгжүүлнэ. Зөрчлийн үеэр эвдэрч тасалдаж болсон систем, өгөгдлийг боломжтой хамгийн богино хугацаанд нөөцөөс сэргээнэ. Давтан ийм төрлийн зөрчил гарахаас хамгаалахад шаардлагатай бол нэмэлт хяналтын арга хэмжээг (жишээ нь, системийн нэмэлт хамгаалалт, сэргийлэх сургалт) нэвтрүүлнэ.

        5. Баримтжуулалт ба сургамж – Зөрчил бүрийг тусгай бүртгэл, тайлангаар баримтжуулж, учирсан нөлөөлөл, авч хэрэгжүүлсэн арга хэмжээ, ирээдүйд анхаарах сургамжийг тэмдэглэнэ. Зөрчлийн тайланг дотоодод хянан хэлэлцэж, шаардлагатай тохиолдолд бодлого, журмаа дахин хянаж сайжруулна. Ажилтнуудад энэхүү сургамжаас хуваалцаж, цаашид ийм төрлийн зөрчлөөс урьдчилан сэргийлэх мэдлэг, чадавхыг дээшлүүлнэ.

      2. Ийнхүү Зөрчлийн менежментийн тогтолцоог хэрэгжүүлснээр мэдээллийн аюулгүй байдлын зөрчлийн үед шуурхай арга хэмжээ авч, бизнесийн тасралтгүй үйл ажиллагааг хангах боломжтой болно. Мөн энэ нь байгууллагын аюулгүй байдлын багийг үргэлж бэлэн байдалд байлгаж, эрсдэлийн орчны өөрчлөлтөд тасралтгүй зохицон ажиллах нөхцөлийг бүрдүүлнэ.

    10. Бизнесийн тасралтгүй байдал ба сэргээн босголт
      1. Мэдээллийн аюулгүй байдал нь байгууллагын бизнесийн тасралтгүй байдлыг хангахад салшгүй холбоотой. Байгууллага нь мэдээллийн системийн доголдол, кибер халдлага, байгалийн гамшиг зэргээс үүдэн бизнесийн тасалдал гарсан нөхцөлд ажил үйлчилгээг түргэн сэргээж, үргэлжлүүлэх төлөвлөгөөг урьдчилан боловсруулсан байна. Бизнесийн тасралтгүй ажиллагааны төлөвлөгөө (BCP) болон гамшгаас сэргээн босголтын төлөвлөгөө (DRP)-г гаргаж, тогтмол шалгалт, сургуулилт хийж туршина. Чухал мэдээллийн системүүдийн өгөгдлийг тодорхой давтамжтай нөөцлөн, тусгаар байршилд хадгална. Онцгой байдал үүссэн үед ямар системийг ямар хугацаанд сэргээх шаардлагатайг (Recovery Time Objective, Recovery Point Objective) тодорхойлж, тэр дагуу нөөц систем, тоног төхөөрөмжийг бэлэн байлгана. BCP, DR төлөвлөгөөнд ажилтнуудын үүрэг, харилцаа холбооны мэдээлэл, орлох ажлын байршил, шаардлагатай тоног төхөөрөмжийн жагсаалт, гол нийлүүлэгчдийн холбоо барих зэрэг мэдээллийг багтааж, жил бүр шинэчлэн сайжруулна.
    11. Мэдээллийн аюулгүй байдлын нийцэл

      1. Байгууллага нь мэдээллийн аюулгүй байдлын бүх үйл ажиллагаагаараа холбогдох хууль, дүрэм журам болон гэрээний шаардлагад нийцэж буй эсэхэд тогтмол хяналт тавина. Хууль эрхзүйн нийцлийн хүрээнд дараах шаардлагыг хангана:

        1. Монгол Улсын хууль тогтоомж (жишээ нь: Хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль, Банкны тухай хууль, Компьютерын мэдээллийн аюулгүй байдлын тухай журам гэх мэт) болон олон улсын зохицуулалтын шаардлагуудыг (жишээ нь: төлбөрийн картын мэдээллийн аюулгүй байдлын стандарт PCI DSS, Европын холбооны Ерөнхий мэдээлэл хамгааллын журам GDPR зэрэг холбогдох тохиолдолд) үйл ажиллагаандаа тусгаж, биелүүлнэ.

        2. Зохицуулагч байгууллагууд (Монгол банк, Санхүүгийн зохицуулах хороо гэх мэт)-ын мэдээллийн технологи, аюулгүй байдлын хяналт, шалгалт, аудитад байнга бэлэн байдлыг хангаж, шаардлагын дагуу тайлан мэдээг цаг тухайд нь хүргүүлнэ.

        3. Мэдээллийн аюулгүй байдлын зөрчил гарсан тохиолдолд хууль, журмаар заасан мэдээлэх үүргээ биелүүлж (жишээлбэл, хувийн мэдээллийн зөрчлийг 72 цагийн дотор мэдэгдэх гэх мэт) ажиллана.

        4. Программ хангамжийн лиценз, оюуны өмчийн эрхийг хүндэтгэн, зөвшөөрөлгүй программ, контент ашиглахгүй байх зарчмыг мөрдөнө.

        5. Ажилтнууд мэдээллийн аюулгүй байдлын бодлого, холбогдох журмыг зөрчсөн үйлдэл гаргавал хөдөлмөрийн гэрээ, дотоод дүрмийн дагуу хариуцлага хүлээлгэх нөхцөлийг бүрдүүлнэ.

  7. ҮҮРЭГ, ХАРИУЦЛАГА

    1. Мэдээллийн аюулгүй байдлын бодлогыг амжилттай хэрэгжүүлэхийн тулд байгууллагын бүх түвшинд тодорхой үүрэг, хариуцлагыг хуваарилна. Гол оролцогчдын үүрэг, хариуцлагыг дараах байдлаар тодорхойлж байна:

      1. Менежментийн зөвлөл ба Гүйцэтгэх удирдлага: Байгууллагын гүйцэтгэх удирдлагын баг мэдээллийн аюулгүй байдлын бодлогыг баталж, хэрэгжилтийг дэмжиж ажиллана. Менежментийн зөвлөл байгууллагын хэмжээнд мэдээллийн аюулгүй байдлыг тэргүүлэх чиглэл болгож, шаардлагатай нөөц (хүний нөөц, хөрөнгө, технологи)-өөр ханган, бодлогын хэрэгжилтэд манлайлан оролцоно. Мөн МАБМТ-ийн хүрээнд тогтоосон зорилтуудын биелэлт, нийт эрсдэлийн төлөв байдлын талаар тогтмол мэдээлэл авч, дотоод аудитын үр дүнг хэлэлцэж, сайжруулалтын шийдвэрүүдийг гаргана.

      2. Мэдээллийн аюулгүй байдлын хороо: Байгууллага дотооддоо мэдээллийн аюулгүй байдлын зөвлөл буюу олон нэгжийн төлөөлөл бүхий хороог байгуулж, мэдээллийн аюулгүй байдлын бодлого, стратегийг хэрэгжүүлэхэд чиглүүлэг, хяналт тавина. Энэ зөвлөл (шаардлагатай бол эрсдэлийн удирдлагын хороотой уялдуулж ажиллаж болно) нь бүх гол хэлтэс, охин компаниудын төлөөллийг оролцуулан мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийг хэлэлцэх, бодлогын хэрэгжилтийг зохицуулах үүрэгтэй.

      3. Мэдээллийн аюулгүй байдлын менежер (CISO): Группийн хэмжээнд мэдээллийн аюулгүй байдлын менежер буюу Chief Information Security Officer (CISO) нь МАБМТ-ийг өдөр тутмын түвшинд удирдаж, бодлогын хэрэгжилтийг зохион байгуулах гол хүн байна. Түүний үүрэгт мэдээллийн аюулгүй байдлын стратеги, төлөвлөгөөг боловсруулах, эрсдэлийн үнэлгээ зохион байгуулах, ажилтнуудад зөвлөгөө мэдээлэл өгөх, дотоод аудит, мониторингийг удирдах, удирдлагад тайлагнах зэрэг ажлууд хамаарна. CISO нь бодлогын хэрэгжилтийн явц, зөрчил, эрсдэлийн талаар тогтмол тайлагнаж, шаардлагатай сайжруулалтын саналыг удирдлагад танилцуулна.

      4. Мэдээллийн хөрөнгийн эзэд (бизнесийн нэгжийн удирдлага): Компанийн салбар нэгж, охин компаниудын удирдах ажилтнууд өөрсдийн хариуцсан бизнес процесс, мэдээллийн системийн хүрээнд энэхүү бодлогыг хэрэгжүүлэх, мөрдүүлэх гол үүрэгтэй. Тухайн нэгж, компанийн удирдлага нь өөрийн хариуцсан мэдээллийн актив бүрд эзэмшигч томилж, бодлогын шаардлагын хүрээнд хамгаалалтын арга хэмжээнүүдийг нэвтрүүлэхийг зохион байгуулна. Мөн шинэ төсөл, бүтээгдэхүүн эхлүүлэх, өөрчлөлт хийх үед мэдээллийн аюулгүй байдлын шалгалт, эрсдэлийн үнэлгээг хийлгэх санаачилга гаргаж ажиллах шаардлагатай.

      5. Мэдээллийн технологийн хэлтэс ба системийн администраторууд: Мэдээллийн технологи хариуцсан нэгжийн ажилтнууд, систем, сүлжээний администраторууд техник хэрэгслийн түвшинд бодлогын шаардлагыг хэрэгжүүлнэ. Тэд хэрэглэгчийн эрх олголт, системийн тохиргоо, сүлжээний хамгаалалт, нөөцлөлт зэрэг өдөр тутмын үйл ажиллагааг аюулгүй байдлын бодлого, журмын дагуу гүйцэтгэнэ. Системийн администраторууд нь өөрийн хариуцсан сервер, системд аюулгүй байдлын тохиргоог хийж, журмын хэрэгжилтийг хангах үүрэгтэй бөгөөд аливаа эмзэг байдал, зөрчлийг илрүүлбэл шуурхай мэдээлж засах арга хэмжээ авна.

      6. Ажилтан, систем ашиглагчид: Байгууллагын бүх ажилтан, түүнчлэн мэдээллийн систем ашиглах эрхтэй гэрээт гүйцэтгэгч, түнш байгууллагын ажилтнууд энэхүү бодлогыг мөрдөх үндсэн үүрэгтэй. Ажилтан бүр мэдээллийн аюулгүй байдлын журмыг ягштал дагаж мөрдөхөөс гадна өөрт олгогдсон мэдээллийг түүний ангилал, нууцлалын шаардлагад нийцүүлэн зохистой ашиглах, хамгаалах үүрэг хүлээнэ. Мөн мэдээллийн аюулгүй байдлын ямар нэг зөрчил, сэжигтэй тохиолдлыг анзаармагц даруй холбогдох алба (IT үйлчилгээ, мэдээллийн аюулгүй байдлын менежер)-д мэдээлнэ. Ажилтан нь өөрийн нууц үг, таних тэмдэг, тоног төхөөрөмж зэрэг хандалтын хэрэгслээ нууцлалтай хадгалж, бусдад дамжуулахгүй байхаас гадна байгууллагын мэдээллийг зөвшөөрөлгүй этгээдэд задруулахгүй байх үүрэгтэй.

      7. Дотоод аудит, нийцлийн хяналт: Байгууллагын дотоод аудитын нэгж болон хууль, нийцлийн асуудал хариуцсан ажилтнууд энэхүү бодлого болон холбогдох журам, арга хэмжээнүүд хууль дүрэм, стандартад нийцэж буй эсэхэд хяналт тавина. Тэд төлөвлөгөөт болон онцгой дотоод аудитыг явуулж, бодлогын хэрэгжилтийн байдлыг үнэлэн тайлагнана. Аудитаар илэрсэн зөрчил, сайжруулах шаардлагатай асуудлуудыг ангилж (ноцтой, жижиг зөрчил гэх мэт) тогтоосон хугацаанд засах арга хэмжээг авч хэрэгжүүлэхийг хариуцсан нэгжүүдэд үүрэг болгоно. Дотоод аудит нь МАБМТ-ийн үйл ажиллагаанд хараат бус үнэлгээ өгч, сайжруулалтыг тулгах чухал хэрэгсэл болно.

      8. Гадны байгууллагууд, түншүүд: Мэдээллийн аюулгүй байдалд нөлөө үзүүлж болзошгүй гуравдагч талын байгууллагууд (нийлүүлэгч, аутсорс үйлчилгээ үзүүлэгч, хамтран ажиллагч түншүүд гэх мэт) нь манай байгууллагатай байгуулсан гэрээний дагуу мэдээллийн аюулгүй байдлын шаардлагыг мөрдөх үүрэгтэй. Тухайн талуудтай байгуулсан гэрээнд заасан мэдээлэл хамгаалах нөхцөл, шаардлагын хэрэгжилтийг бизнес хариуцсан нэгжүүд болон мэдээллийн аюулгүй байдлын менежер хамтран хянаж, шаардлагатай тохиолдолд сайжруулах арга хэмжээ (жишээ нь, нэмэлт хамгаалалт нэвтрүүлэх, аудитын дүгнэлт гаргуулах гэх мэт)-г авч хэрэгжүүлнэ.

  8. БОДЛОГО ХЭРЭГЖҮҮЛЭХ ХЯНАЛТ, МОНИТОРИНГ, АУДИТ

    1. Энэхүү бодлогыг хэрэгжүүлэх явцад түүнтэй уялдсан дотоод журмууд, процедур, техник арга хэмжээнүүдийг тасралтгүй хянан сайжруулж, мөрдөлтийг хангах нь чухал ач холбогдолтой. Бодлогын хэрэгжилтэд мониторинг, аудит хийх болон түүнийг хэвшил болгох зарчим, арга барилыг дор дурдав:

      1. Бодлогын сурталчилгаа ба сургалт: Батлагдсан мэдээллийн аюулгүй байдлын бодлогыг бүх ажилтан, холбогдох гуравдагч талуудад хүргэж танилцуулна (дотоод сүлжээ, имэйл, танилцуулга уулзалт зэргээр). Ажилтан бүр энэхүү бодлогын агуулгыг ойлгож хэрэгжүүлэх мэдлэгтэй байх ёстой. Иймд шинээр ажилд орж буй хүмүүст мэдээллийн аюулгүй байдлын бодлого, журамтай танилцах сургалтыг явуулж, цаашид тогтмол хугацаанд (жил бүр буюу шаардлагатай үеүдэд) сэргээх сургалтад хамруулна. Сургалтаар дамжуулан ажилтнуудын аюулгүй байдлын мэдлэг, ухамсар дээшилж, бодлогыг өдөр тутмын ажилдаа хэвшүүлэх соёл төлөвшинө.

      2. Хяналт-шинжилгээ, хэмжилт: Мэдээллийн аюулгүй байдлын бодлогын хэрэгжилтийг тогтмол хянаж, үр дүнг хэмжиж үнэлнэ. Үүний тулд гол гүйцэтгэлийн үзүүлэлтүүд (KPI) болон гол эрсдэлийн үзүүлэлтүүд (KRI)- ийг тодорхойлж, тухайлбал: мэдээллийн аюулгүй байдлын сургалтад хамрагдсан хувь, илрүүлсэн эмзэг байдлын тоо, гарсан зөрчлийн тоо ба шийдвэрлэсэн хувиар, дотоод/гадны аудитын илрүүлсэн зөрчлүүдийн тоо зэрэг үзүүлэлтээр тасралтгүй мониторинг хийнэ. Мониторинг хийхдээ автоматжуулсан хэрэгсэл (логийн менежмент, эрсдэлийн удирдлагын программ зэрэг) ашиглан өгөгдөл цуглуулж, тогтмол тайлагнана. Хэрэв тогтоосон үзүүлэлтүүдийн утга хэвийн бус хандлагатай байвал даруй шалтгааныг шинжилж, тохирох залруулах арга хэмжээг авч хэрэгжүүлнэ.

      3. Дотоод аудит: Мэдээллийн аюулгүй байдлын бодлого болон бүх холбогдох хяналтын хэрэгжилтэд төлөвлөгөөт дотоод аудитыг жил бүр явуулна. Дотоод аудитыг хараат бус, мэргэшсэн ажилтнууд (дотоод аудитын алба эсвэл гадаад мэргэжилтэн) ISO/IEC 27001 стандартын шаардлагад нийцүүлэн гүйцэтгэж, бодлого журам мөрдөгдөж буй байдал, МАБМТ-ийн үр нөлөөг үнэлнэ. Аудитын тайлангаар илэрсэн зөрчил, дутагдлыг засах залруулах төлөвлөгөөг холбогдох нэгжүүд боловсруулан хэрэгжүүлж, гүйцэтгэлийг нь дахин шалган баталгаажуулна. Дотоод аудитын дүнг дээд удирдлагад танилцуулж, бодлого, журмыг шинэчлэх шаардлагатай эсэхийг хэлэлцэнэ.

      4. Хөндлөнгийн аудит ба гэрчилгээ: Байгууллага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоондоо ISO/IEC 27001 стандартын гэрчилгээ авах зорилго тавьсан тохиолдолд гэрчилгээжүүлэх аудитад хамрагдана. Аккредитацитай хөндлөнгийн аудитын байгууллага манай МАБМТ-ийг үнэлж, стандартын шаардлагыг хангаж байвал ISO/IEC 27001 гэрчилгээг олгоно. Гэрчилгээ авсны дараа ч гэрчилгээг хүчинтэй хадгалахын тулд тогтоосон давтамжтай хяналтын (surveillance) аудитыг хөндлөнгийн аудитороор хийлгэж, тасралтгүй нийцлийг баталгаажуулна. Хөндлөнгийн аудитын зөвлөмж, дүгнэлтийг дотооддоо шуурхай хэрэгжүүлж залруулан, мэдээллийн аюулгүй байдлын тогтолцоог байнга боловсронгуй болгоно.

      5. Бодлогын шинэчлэл, хяналт: Энэхүү бодлогыг байгууллагын дотоод өөрчлөлт, хууль эрхзүйн шинэ шаардлага, технологийн орчны өөрчлөлт зэргийг харгалзан тогтмол (жил бүр) тухай бүрд хянан шинэчилж байна. Бодлогын шинэчилсэн хувилбарыг Мэдээллийн аюулгүй байдлын менежер боловсруулж, мэдээллийн аюулгүй байдлын зөвлөл, дээд удирдлагаар хэлэлцүүлэн батлуулна. Шинэчлэгдсэн бодлогыг бүх ажилтанд шуурхай хүргэж мөрдүүлнэ. Ингэснээр бодлого нь цаг үеийн нөхцөл байдал, бизнесийн хэрэгцээнд нийцсэн, хууль эрхзүйн шаардлагад бүрэн нийцсэн хэвээр байхаар хангана.

      6. Зөрчил, сахилгын арга хэмжээ: Мэдээллийн аюулгүй байдлын бодлогыг зөрчсөн тохиолдолд холбогдох ажилтан, нэгжид зохих арга хэмжээ авна. Хэрэг зөрчлийн шинж байдал, ноцтой байдлаас хамааран албан сануулга өгөх, давтан сургалтад хамруулах, ноцтой зөрчил гаргасан бол хөдөлмөрийн гэрээг цуцлах хүртэл сахилгын шийтгэл ногдуулж болно. Энэхүү зарчмыг тодруулан зааснаар бодлогыг зөрчихгүй мөрдөх өндөр соёл, сахилга баттай байдлыг бүх түвшинд хадгалахыг зорьж байна.

    2. Энэхүү бодлого нь батлагдсан өдрөөс эхлэн “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компанийн хэмжээнд мөрдөж, мэдээллийн аюулгүй байдлыг ханган ажиллах үндсэн баримт бичиг болно.