6. ინფორმაციული უსაფრთხოების მართვა-შეფასება

მგს 27004:2011
20 დეკემბერი 2011 წელი
ვერსია 1.0
ინფორმაციული უსაფრთხოების მართვა - შეფასება
საქართველოს იუსტიციის სამინისტრო

სსიპ. მონაცემთა გაცვლის სააგენტო
წმ. ნიკოლოზის/ ნ. ჩხეიძის 2
0101 თბილისი, საქართველო
ტელ.: (+995 32) 91 51 40 შიდა: 555
ელ. ფოსტა: info@dea.gov.ge
ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 1

მგს 27004:2011| ინფორმაციული უსაფრთხოების მართვა - შეფასება
Contents
1. გავრცელების სფერო ............................................................................................................................... 4
2. ნორმატიული დოკუმენტები ................................................................................................................. 5
3. ტერმინები და განმარტებები ..................................................................................................................... 5
4. მოცემული სტანდარტის სტრუქტურა ..................................................................................................... 6
5 ინფორმაციული უსაფრთხოების შეფასების საზომები ......................................................................... 7
5.1 ინფორმაციული უსაფრთხოების შეფასების მიზნები ........................................................................ 7
5.2 ინფორმაციული უსაფრთხოების შეფასების პროგრამა ...................................................................... 8
5.3 წარმატების ფაქტორები ............................................................................................................................ 9
5.4 ინფორმაციული უსაფრთხოების შეფასების მოდელი ..................................................................... 10
5.4.1 მიმოხილვა ............................................................................................................................................ 10
5.4.2 ძირითადი საზომი და შეფასების მეთოდი .................................................................................... 11
5.4.3 შეფასების ფუნქცია და წარმოებული საზომი ................................................................................. 12
5.4.4 მაჩვენებლები და ანალიტიკური მოდელი............................................................................... 13
5.4.5 შეფასების შედეგები და გადაწყვეტილების კრიტერიუმები ........................................................ 14
6 მენეჯმენტის პასუხისმგებლობა .............................................................................................................. 15
6.1 მიმოხილვა ................................................................................................................................................ 15
6.2 რესურსების მართვა ................................................................................................................................ 16
6.3 შეფასების სწავლება, ცნობადობა და კომპეტენტურობა.................................................................. 16
7 საზომები და შეფასების შემუშავება ....................................................................................................... 17
7.1 შესავალი .................................................................................................................................................... 17
7.2 შეფასების ფარგლების დადგენა ........................................................................................................... 17
7.3ინფორმაციული საჭიროების განსაზღვრა ........................................................................................... 18
7.4 ობიექტის და ატრიბუტის შერჩევა...................................................................................................... 18
7.5 შეფასების კონსტრუქციის შემუშავება ................................................................................................ 19
7.5.1 მიმოხილვა ............................................................................................................................................. 19
7.5.2 საზომების შერჩევა ............................................................................................................................... 19
7.5.3 შეფასების მეთოდი ............................................................................................................................... 20
7.5.4 შეფასების ფუნქცია ............................................................................................................................... 20
7.5.5 ანალიტიკური მოდელი....................................................................................................................... 21
7.5.6 ინდიკატორები ...................................................................................................................................... 21
7.5.7 გადაწყვეტილების მიღების კრიტერიუმები .................................................................................... 21
7.5.8 დაინტერესებული მხარეები ............................................................................................................... 22

7.6 შეფასების კონსტრუქცია ........................................................................................................................ 22
შეფასების კონსტრუქცია სულ ცოტა უნდა შეიცავდეს შემდეგ ინფორმაციას:.............................. 22
 შეფასების მიზანი; ............................................................................................................................. 22
 კონტროლების, კონტროლთა ჯგუფების და იუმს-ის შესაფასებელი პროცესის მისაღწევი
მიზნები; ....................................................................................................................................................... 22
 შეფასების ობიექტი;........................................................................................................................... 22
 შესაგროვებელი და გამოსაყენებელი მონაცემები; ...................................................................... 22
 მონაცემთა შეგროვების და ანალიზის პროცესები; ..................................................................... 22
 შეფასების შედეგების ანგარიშის პროცესი, მათ შორის ანგარიშგების ფორმატები; ............. 22
 შესაბამისი დაინტერესებული პირების როლები და პასუხისმგებლობები; .......................... 22
 შეფასების მიმოხილვის ციკლი, რომელიც უზრუნველყოფს შეფასების კონსტრუქციების
გონივრულობას ინფორმაციულ საჭიროებებთან მიმართებაში. ...................................................... 22
დანართში ა წარმოდგენილია შეფასების კონსტრუქციის ზოგადი მაგალითი, რომელიც
მოიცავს ზემოთ ჩამოთვლილ პუნქტებს. .............................................................................................. 22
დანართი ბ წარმოადგენს შეფასების კონსტრუქციების მაგალითებს, იუმს-ის პროცესებისა და
კონტროლების შესაფასებლად. ............................................................................................................... 22
7.7 მონაცემთ შეგროვება, ანალიზი და ანგარიშგება ............................................................................... 23
7.8 შეფასების დანერგვა და დოკუმენტირება .......................................................................................... 23
8 შეფასება ....................................................................................................................................................... 24
8.1 მიმოხილვა ............................................................................................................................................... 24
8.2 პროცედურის ჩართვა ............................................................................................................................ 24
8.3 მონაცემთა შეგროვება, შენახვა და შემოწმება .................................................................................... 25
9 მონაცემთა ანალიზი და შეფასების შედეგების ანგარიშგება .............................................................. 25
9.1 მიმოხილვა ................................................................................................................................................ 25
9.2 მონაცემთა ანალიზი და შეფასების შედეგების მიღება .................................................................... 25
9.3 შეფასების შედეგების შესახებ ინფორმირება ..................................................................................... 26
10 იფნორმაციული უსაფრთხოების შეფასების პროგრამის შეფასება და გაუმჯობესება................. 27
10.1 მიმოხილვა .............................................................................................................................................. 27
10.2 ინფორმაციული უსაფრთხოების შეფასების პროგრამის შეფასების კრიტერიუმების დადგენა
........................................................................................................................................................................... 27
10.3 ინფრომციული უსაფრთხოების შეფასების პროგრამის ზედამხედველობა, მიმოხილვა და
შემოწმება......................................................................................................................................................... 28
10.4 გაუმჯობესებების დანერგვა ................................................................................................................ 28
დანართები ...................................................................................................................................................... 29

დანართი ბ ....................................................................................................................................................... 29
შეფასების კონსტრუქციების ნიმუშები...................................................................................................... 29
ბ. 1. იუმს ტრენინგი ................................................................................................................................ 30
ბ. 1.1 იუმს-ში დატრენინგებული პერსონალი ................................................................................ 30
ბ 1.2. ინფორმაციულ უსაფრთხოებაში ტრენინგი ......................................................................... 32
ბ. 1.3 ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის შესაბამისობა .............. 35
ბ. 2. პაროლების პოლიტიკები ................................................................................................................. 39
ბ 2.1 პაროლების ხარისხი - არაავტომატიზებული შეფასების მეთოდი ...................................... 39
ბ. 2.2. პაროლის ხარისხი - ავტომატურად ......................................................................................... 41
ბ. 3. იუმს-ის მიმოხილვის პროცესი.................................................................................................... 44
ბ.4 იუმს-ის მუდმივი გაუმჯობესება, ინფორმაციული უსაფრთხოების ინციდენტების მართვა47
ბ.4.1. ეფექტიანობა ................................................................................................................................. 47
ბ. 4.2. კორექტირება ............................................................................................................................... 48
ბ. 5. მენეჯმენტის ვალდებულება ........................................................................................................... 50
ბ.6. მავნე კოდის საწინააღმდეგო დაცვა ................................................................................................ 54
ბ. 7. ფიზიკური წვდომის კონტროლები ................................................................................................ 57
ბ. 8. ლოგ-ფაილების მიმოხილვა ............................................................................................................. 59
ბ. 9. პერიოდული ტექნიკური მომსახურების მართვა ........................................................................ 61
ბ. 10. მესამე მხარესთან შეთანხმებების უსაფრთხოება....................................................................... 63
1. გავრცელების სფერო

აღნიშნული სტანდარტი წარმოადგენს საზომებისა და შეფასებების შემუშავებისა და გამოყენების
სახელმძღვანელო მითითებებს, რომლის მიზანია დანერგილი იუმს-ის ეფექტიანობის და
კონტროლის მექანიზმებისა ან კონტროლის მექანიზმების ჯგუფების შეფასება, როგორც ეს
მოცემულია აღწერილია მგს 27001:2011-ში.
მოცემული სტანდარტი მიესადაგება ყველა ტიპისა და ზომის ორგანიზაციას.
2. ნორმატიული დოკუმენტები
შემდეგი საცნობარი ნორმატიული დოკუმენტები აუცილებელია მოცემული დოკუმენტის

გამოსაყენებლად.
მგს ინფორმაციული ტექნოლოგიები - უსაფრთხოების
27001:2011, საშუალებები -
ინფორმაციული უსაფრთხოების მართვის სისტემები - მოთხოვნები
3. ტერმინები და განმარტებები
3.1
მონაცემები
ძირათად საზომთან, წარმოებულ საზომთან ან/და მაჩვენებლის განსაზღვისთვის საჭირო
მონაცემთა ერთობლიობა
3.2
გადაწყვეტილება კრიტერიუმები
სამომავლო მოქმედების აუცილობლობის დადგენისათვის ან მირებული შედეგების სანდოობაში
დარწმუნების მიზნით გამოყებული ნიმუშები, მოდელები
დონეს მოცემულ შედეგი
3.3
წარმოებულ საზომი
ორი ან მეტი ძირათად საზომის მნიშვნელობის ფუნაციისგან მიღებული შეფასება
3.4
მაჩვებელი
საჭირო ინფორმაცის გათვალისწინებით, ანალიტიკური მოდელიდან მიღებული სპეციფიური
ატრიბუტის მიახლოებით შეფასების ან მიახლოებითი მნიშვნელობის საზომი
3.5
საჭირო ინფორმაცია
ცოდნა რომლიც საჭიროა რათა ვმართოთ მიზნები, ამოცანები, რისკები და პრობლემები
3.6
შეფასების შედეგები
ერთი ან მეტი ინდიკატორი, რომელიც მიესადაგება ინფორმაციულ საჭიროებას, და მათი აღწერა.
3.7
ობიექტი

ერთეული, რომელიც ხასიათდება მისი ატრიბუტების შეფასებით.
3.8
შკალა
ატრიბუტის შესაბამის მნიშვნელობათა დალაგებული ერთობლიობა, უწყვეტი ან დისკრეტული,
ან კატეგორიათა ჩამონათვალი.
შენიშვნა: შკალის ტიპი განისაზღვრება შკალის მნიშვნელობებს შორის დამოკიდებულების
ბუნებით. ზოგადად მიღებულია ოთხი ტიპის შკალა:
ნომინალური: შეფასების მნიშვნელობები არის კატეგორიები;
რიგითი: შეფასების მნიშვნელობები წარმოადგენს რანგირებას;
ინტერვალი: ატრიბუტის მნიშვნელობების შესაბამისად შეფასების მნიშვნელობებს აქვთ
თანაბარი მანძილები;
შეფარდება: ატრიბუტის მნიშვნელობების შესაბამისად შეფასების მნიშვნელობებს აქვთ თანაბარი
მანძილები, სადაც ნულოვანი მნიშვნელობა შეესაბამება არტიბუტის არქონას.
ეს არის მხოლოდ მაგალითები.
3.9
შეფასების ერთეული
გარკვეული მნიშვნელობა, რომელიც განისაზღვრება შეთანხმებისამებრ, და რომელთანაც ხდება
იგივე ბუნების მქონე მნიშვნელობების შედარება ამ მნიშვნელობასთან სიახლოვის მიზნით
3.10
დადასტურება
ობიექტური მტკიცებულების წარდგენით დამტკიცება იმისა რომ გარკვეული მოთხოვნები
დაკმაყოფილდა.
4. მოცემული სტანდარტის სტრუქტურა
მოცემული სტანდარტი წარმოადგენს ხელმძღვანელობისთვის იუმს-ის მოთხოვნების შეფასების

ჩასატარებლად აუცილებელი ქმედებების შეფასებებისა და საზომების განმარტებას, მგს
(ISO/IEC) 27001:2011, 4.2.
მოცემული სტანდარტის სტრუქტურა შემდეგნაირია:
 ინფორმაციული უსაფრთხოების შეფასების პროგრამისა და ინფორმაციული
უსაფრთხოების შეფასების მოდელის (პუნქტი 5) მიმოხილვა;
 შეფასების კონსტრუქციები და პროცესები (მაგალითად: საზომების/შეფასების დაგეგმვა
და შემუშავება, დანერგვა და ფუნქციონირება, გაუმჯობესება: შეფასების შედეგების
შესახებ ინფორმირება), რომლებიც უნდა დაინერგოს ინფორმაციული უსაფრთხოების
შეფასების პროგრამაში (პუნქტები 7-10).
დანართი ა წარმოადგენს შეფასების კონსტრუქციის ნიმუშს, რომლის კომპონენტებიც არის
სწორედ ინფორმაციული უსაფრთხოების შეფასების მოდელის ელემენტები (იხილეთ პუნქტი 7).
დანართი ბ წარმოადგენს შეფასების კონსტრუქციის ნიმუშს იუმს-ის სპეციფიკური კონტროლის
მექანიზმებისა ან პროცესებისთვის; დანართი ბ გამოიყენებს დანართში ა წარმოდგენილ ნიმუშს.

ეს ნიმუშები დაეხმარება ორგანიზაციას ინფორმაციული უსაფრთხოების შეფასებების
ჩატარებასა და შეფასებებთან დაკავშირებული ქმედებებისა და მათი შედეგების შესახებ
ჩანაწერების განხორციელებაში.
5 ინფორმაციული უსაფრთხოების შეფასების საზომები
5.1 ინფორმაციული უსაფრთხოების შეფასების მიზნები

იუმს-ს კონტექსტში ინფორმაციული უსაფრთხოების მიზნებია:
ა) დანერგილი კონტროლების ან კონტროლთა ჯგუფის ეფექტიანობის შეფასება (იხ 4.2.2. დ),
ნახატი 1;
ბ) დანერგილი იუმს-ის ეფექტიანობის შეფასება (იხ. 4.2.3 ბ) ნახატი 1;
გ) დადგენილი უსაფრთხოების მოთხოვნების დაკმაყოფილების დონის შემოწმება;
დ) ინფორმაციული უსაფრთხოების წარმადობის გაუმჯობესების ხელშეწყობა ორგანიზაციის
ბიზნეს რისკების ჭრილში;
ე) იუმს-თან დაკავშირებული მისაღები გადაწყვეტილებების და საჭირო გაუმჯობესების
არგუმენტირების მიზნით მენეჯერული მიმოხილვის ხელშეწყობა. ნახატი 1 გვიჩვენებს
შეფასების ქმედებებს, რაც აღწერს შემავალი რესურსებისა და გამომავალი შედეგების
ურთიერთდამოკიდებულებას „დაგეგმე-შეასრულე-შეამოწმე-იმოქმედე“ პროცესთან
მიმართებაში შესაბამისი ქვეკლასები აღნიშნულია ციფრებით.

დაგეგმვა ქმედება
4.2.1 ზ) რისკების
4.2.1 ე) 2) შეფასდეს
დამუშავებსითვის კონტროლის
უსაფრთხოების ხდომილების
მიზნების და კონტროლების 4.2.4 ა)აღმოჩცეილი
რეალური ალბათობა ძირითადი
შერჩევა. რისკების შეფასების და გაუმჯობესებების დანერგვა იუმს-
საფრთხეების და სისუსტეების,
რისკების დაუშაების პროცესის ში
აქტივებზე მათი გავლენის
თანახმად ნუდა შეირჩეს და
ჭრილში, აგრეთვე მიმდინარე
დაინერგოს კონტროლის
კოტროლების ეფექტიანობა
მიზნებიდ ა კონტროლები.
კეთება შემოწმება
4.2.2 გ) კონტროლის მიზნების

4.2.3 ბ) იუმს-ის
მისაღწევად შერჩეული
ეფექტიანობის პერიოდული მენეჯერული მიმოხილვის
კონტროლების დანერგვა
მიმოხოლვა შედეგი უნდა მოიცავდეს :
7.3 ბ) რისკების და რისკების
დამუშავბის გეგმის
განახლებას;
4.2.3 დ) მოხდეს რისკების 7.3 ე) კონტროლთა
შეფასების მიმოხილვა ეფექტიანობის შეფასების
4.2.2 დ) შერჩეული ხერხების გაუმჯობესებას.
კონტროლების ან რეგულარულად, და ნარჩენი
კონტროლთა ჯგუფის რისკების და აღმოჩენილი
ეფექტიანობის შეფასების რისკების მისაღები დონეების
საზომების დადგენ მიმოხილვა, დანერგილი
კონტროლების ეფექტიანობის
ცვლილების
გათვალისწინებით. 4.2.3 ვ) პერიოულად შესრულდს იუმს-
ის მმოხილვამენჯრმენტის მხრდან,
რათა უზრუნველყფილი იყოს
გავცელების სფროს ფარგლბის
7.2 ა) ვ) მენეჯერული
4.2.3 გ) კონტროლთა ადქვატრობა და გაუმჯობესებბის
მიმოხილვის საფუძველს
ეფექტიანობის შეფასება გამოვლენა
უნდა შეადგენდეს
უსაფრთხოების მოთხოვნების
ეფექტიანობის შეფასებები და
უზრუნველსაყოფად
იუმს-ის მიმოხილვა
ნახ. 1 - იუმს-ის “PDCA” ინფორმაციული უსაფრთხოების ციკლის შემავალი რესურსების და

შედეგების შეფასება.
ორგანიზაციამ უნდა ჩამოაყალიბოს შეფასების მიზნები შემდეგი დაშვებების საფუძველზე:

ა) ინფორმაციული უსაფრთხოების როლი, ორგანიზაციის ქმედებები და მათთან
დაკავშირებული რისკები;
ბ) შესაბამისი საკანონმდებლო, მარეგულირებელი და საკონტრაქტო მოთხოვნები;
გ) ორგანიზაციული სტრუქტურა;
დ) ინფორმაციული უსაფრთხოების დანერგვის ხარჯები და სარგებელი;
ე) ორგანიზაციაში რისკების მიღების კრიტერიუმები;
ვ) ორგანიზაციაში ალტერნატიული იუმს-ების შედარების აუცილებლობა.
5.2 ინფორმაციული უსაფრთხოების შეფასების პროგრამა

ორგანიზაციამ უნდა შექმნას და მართოს ინფორმაციული უსაფრთხოების შეფასების პროგრამა
დადგენილი შეფასების საზომების მიზნების მისაღწევად და დაამტკიცოს და გამოიყენოს „PDCA“
მოდელი ორგანიზაციაში საერთო შეფასებისთვის.

ორგანიზაციამ ასევე უნდა შეიმუშაოს და განახორციელოს გაზომვის მეთოდები, რათა
ინფორმაციული უსაფრთხოების მოდელის საფუძველზე მიიღოს განმეორებადი, ობიექტური და
სასარგებლო შედეგები (იხ. 5.4).
ინფორმაციული უსაფრთხოების შეფასების პროგრამა მოიცავს შემდეგ პროცესებს:

 საზომების შემუშავება (პუნქტი 7);
 საზომების ფუნქციონირება (პუნქტი 8);
 მონაცემთა ანალიზი და შეფასების შედეგების ანგარიშგება (პუნქტი 9);
 ინფორმაციული უსაფრთხოების შეფასების პროგრამის შემოწმება და გაუმჯობესება
(პუნქტი 10).
ინფორმაციული უსაფრთხოების შეფასების პროგრამის მიერ შერჩეული და დანერგილი
საზომები უშუალოდ უნდა იყოს იუმს-ის ფუნქციონირებასთან, სხვა საზომებთან, აგრეთვე
ორგანიზაციის ბიზნეს პროცესებთან დაკავშირებული.
შეფასება შეიძლება ინტეგრირებული იყოს ჩვეულ საოპერაციო ქმედებებში, ან შესრულდეს
იუმს-ის მიერ განსაზღვრულ პერიოდებში.
5.3 წარმატების ფაქტორები
აქ ჩამოთვლილია ინფორმაციული უსაფრთხოების შეფასების პროგრამის წარმატების

რამდენიმე ფაქტორი, რომელიც ხელს უწყობს იუმს-ის მუდმივ გაუმჯობესებას:
ა) მენეჯმენტის მზადყოფნა, რომელსაც მხარს უჭერს შესაბამისი რესურსები;
ბ) იუმს-ის პროცესების და პროცედურების არსებობა;
გ) განმეორებადი პროცესი, რომელიც დროთა განმავლობაში მოიცავს მნიშვნელოვან მონაცემებს
და აწარმოებს ანგარიშგებას საჭირო მიმართულებებით;
დ) იუმს-ის მიზნებიდან გამომდინარე რაოდენობრივი საზომები;
ე) შეფასებისათვის ადვილად მოსაპოვებელი მონაცემები;
ვ) ინფორმაციული უსაფრთხოების შეფასების პროგრამის ეფექტიანობის შემოწმება და
აღმოჩენილი გაუმჯობესებების დანერგვა;
ზ) შეფასებისთვის საჭირო მონაცემების შეგროვება, მათი ანალიზი და ანგარიშგება;
თ) დაინტერესებული პირების მიერ შეფასების შედეგების გამოყენება, რათა იუმს-ში დაინერგოს
გამოვლენილი გასუმჯობესებები, მათ შორის გავრცელების სფეროს, პოლიტიკების, მიზნების,
კონტროლების, პროცესების და პროცედურების გათვალისწინებით;
ი) დაინტერესებული პირებისგან შეფასების შედეგების შესახებ უკუკავშირის მიღება;
კ) შეფასების შედეგების გამოყენებადობის შეფასება და გამოვლენილი გაუმჯობესებების ასახვა.
.
წარმატებით დანერგვის შემდეგ, ინფორმაციული უსაფრთხოების შეფასების პროგრამას
შეუძლია:
1) ორგანიზაციის საკანონმდებლო ან მარეგულირებელი მოთხოვნებისა და სახელშეკრულებო
ვალდებულებებისადმი შესაბამისობის უზრუნველყოფა;
2) ფარული ან უცნობი ინფორმაციული უსაფრთხოების საკითხების აღმოჩენის უზრუნველყოფა;
3) მენეჯერული ანგარიშგების საჭიროებების ხელშეწყობა ისტორიული და მიმდინარე
საქმიანობის შესახებ;
4) გამოიყენებოდეს როგორც ინფორმაციული უსაფრთხოების რისკების მართვის პროცესის,
იუმს-ის შიდა აუდიტის და მენეჯერული მიმოხილვების შემავალი რესურსები.

5.4 ინფორმაციული უსაფრთხოების შეფასების მოდელი
5.4.1 მიმოხილვა
ინფორმაციული უსაფრთხოების შეფასების მოდელი არის სტრუქტურა, რომელიც აკავშირებს

შესაფასებელი ობიექტებისათვის საჭირო ინფორმაციას მათ ატრიბუტებთან. შესაფასებელი
ობიექტები შეიძლება მოიცავდეს დაგეგმილ ან დანერგილ პროცესებს, პროცედურებს, პროექტებს
და რესურსებს.
ინფორმაციული უსაფრთხოების შეფასების მოდელი აღწერს თუ როგორ ხდება ატრიბუტების

რაოდენობრივი შეფასება და ინდიკატორებად გარდაქმნა, რომლებიც გადაწყვეტილების მიღების
საშუალებას იძლევა.
ინფორმაციული საჭიროებები
ინფორმაციული
უსაფრთხოების მართვის
პროცესები
კონტროლების მიზნები
ეფექტიანობა შეფასების შედეგები
კონტროლები
დანერგვის პროცესები,
პროცედურები
გადაწყვეტილების მიღების კრიტერიუმები
შესაფასებელი ობიექტი ინდიკატორი

ატრიბუტი
ატრიბუტი გამოყვანილი
საზომი
ანალიტიკური მოდელი
შეფასების ფუნქცია
შეფასების მეთოდი ძირითადი საზომი
შეფასება
ნახატი 2 ინფორმაციული უსაფრთხოების შეფასების მოდელი.
შენიშვნა: პუნქტი 7 წარმოადგენს ინფორმაციული უსაფრთხოების შეფასების მოდელის ყოველი

ელემენტის შესახებ უფრო დეტალურ ინფორმაციას.
შემდეგი ქვე-პუნქტები გაგვაცნობს მოდელის ინდივიდუალურ ელემენტებს. ის აგრეთვე

გვიჩვენებს ამ ელემენტების გამოყენების მაგალითებს.
მაგალითში გამოყენებული ინფორმაციული საჭიროებები ან შეფასების დანიშნულება არის თუ
რამდენად კარგად იცნობს შესაბამისი პერსონალი ორგანიზაციული უსაფრთხოების პოლიტიკას.
5.4.2 ძირითადი საზომი და შეფასების მეთოდი
ძირითადი საზომი არის უმარტივესი საზომი. ძირითადი საზომი არის შესაფასებელი

ობიექტისთვის შერჩეული ატრიბუტის შეფასების მეთოდის შედეგი. შესაფასებელ ობიექტს
შესაძლოა გააჩნდეს ბევრი ატრიბუტი, რომლეთაგან მხოლოდ რამოდენიმეს გააჩნია ძრითად
საზომად გამოსაყენებელი სასარგებლო მნიშვნელობები. ატრიბუტი შესაძლოა გამოიყენებოდეს
რამოდენიმე ძირითად საზომში.
შეფასების მეთოდი არის ატრიბუტზე გარკვეული ოპერაციების ჩატარების თანმიმდევრობა
რაოდენობრივი მახასიათებლის მიღების მიზნით. ოპერაციები შესაძლოა მოიცავდეს ისეთ
ქმედებებს, როგორებიცაა ხდომილებათა დათვლა ან დროთა განმავლობაში დაკვირვება.
შეფასების მეთოდი გამოიყენება შესაფასებელი ობიექტის ატრიბუტების მიმართ. ობიექტის

შეფასების მაგალითებია:
- იუმს-ში დანერგილი კონტროლების წარმადობა;
- კონტროლების მიერ დაცული ინფორმაციული აქტივების სტატუსი;
- იუმს-ში დანერგილი პროცესების წარმადობა;
- იუმს-ზე პასუხისმგებელი პერსონალის ქცევა;
- ინფორმაციულ უსაფრთხოებაზე პასუხისმგებელი ორგანიზაციული ქვედანაყოფების
საქმიანობა;
- დაინტერესებულ პირთა კმაყოფილების ხარისხი.
შეფასების მეთოდი შესაძლოა გამოიყენებდეს შეფასების ობიექტებს ან ატრიბუტებს სხვადასხვა

წყაროდან, მაგალითად:
- რისკის ანალიზი და რისკების შეფასების შედეგები;
- კითხვარები და პერსონალის გამოკითხვა;
- შიდა და გარე აუდიტის ანგარიშები;
- მოვლენების, ლოგების, სტატისტიკის და აუდიტისთვის საკონტროლო ჩანაწერები;
- ინციდენტის შესახებ ანგარიში, განსაკუთრებით ის, რომელიც აისახება შედეგში;
- ტესტირების შედეგები, მაგ. შეღწევადობის ტესტები, ადამიანური ფაქტორი (სოციალური
ინჟინერია), შესაბამისობის ხელსაწყოები და უსაფრთხოების აუდიტის ხელსაწყოები;
- ჩანაწერები ორგანიზაციის ინფორმაციული უსაფრთხოების პროცედურებიდან და
პოლიტიკებიდან, მაგალითად ინფრომაციული უსაფრთხოების ცნობადობის ტესტირების
შედეგები.
ცხრილი 1-4 წარმოადგეს ინფორმაციული უსაფრთხოების მოდელის გამოყენებას შემდეგი

კონტროლებისათვის:
 „კონტროლი 2“ აღნიშნავს ა 8.2.1 კონტროლს, რომელიც განიმარტება შემდეგნაირად: „იუმს-
ის მიმართ ყველა შესაბამისი პერსონალი უნდა აწერდეს ხელს მომხმარებლის შეთანხმებებს
ინფორმაციულ სისტემაზე წვდომის მიღებამდე.
 „კონტროლი 1“ აღნიშნავს ა 8.2.2 კონტროლს „ინფორმაციული უსაფრთხოების შესახებ
ცნობიერების ამაღლება, სწავლება და ტრენინგი; „იუმს-სადმი შესაბამისი პერსონალი უნდა
იღებდეს განათლებას ინფორმაციულ უსაფრთხოებაში მანამ, სანამ ინფორმაციულ
სისტემაზე წვდომას მიიღებს.

ბ1-ში აღწერილია შესაბამისი შეფასების საზომების შაბლონები.
შენიშვნა: ცხრილი 1-4 შედგება სხვადასხვა სვეტისაგან, რომლებიც აღნიშნულია ასოებით.

ყოველი უჯრა აღინიშნება ნომრით. ისრებით აღინიშნება მონაცემთა დინება ინფორმაციული
უსაფრთხოების შეფასების მოდელის ცალკეულ ელემენტებს შორის.
ცხრილი 1 შეიცავს ზემოთ აღნიშნული საზომი ობიექტის, ატრიბუტის, შეფასების მეთოდის და

ძირითადი შეფასების საზომის ურთიერთდამოკიდებულების მაგალითს.
ცხრილი 1 - ძირითადი საზომის და შეფასების მეთოდის მაგალითი
შეფასების ობიქეტი (ო) ატრიბუტი (ა) შეფასების მეთოდი (მ) ძირითადი საზომი (ძ)
კონტროლი 1
მ.1 დღემდე დაგეგმილი
ო.1.1 ინფორმაციული ა.1.1 გეგმით დასატრენიგებელი ძ.1 დღემდე დაგეგმილი
უსაფრთხოების ცნობადობის გათვალისწინებული პერსონალის ხელმოწერა დასატრენინგებელი
ტრენინგის გეგმა პერსონალი (ა.2.1) და ტრენნის პერსონალი (ა.2.1, ა.1.1)
დასრულება (ა.1.1)
მ.2 ყოველი ხელმოწერილი ძ.2 ხელმოწერილი

ო.1.2ტრენინგის დასრულება ა.1.2 ტრენინგთან
პერსონალისთვის ტრენინგის პერსონალი, დასრულებული
ან მიმდინარეობა მიმართებაში პერსონალის
დასრულების პროცენტული პროცენტული მაჩვენებელი
(პერსონალი) სტატუსი (ო.1.2))
მაჩვენებელი (ა.1.2, ა.2.2)
კონტროლი 2
მ.3 დღემდე დაგეგმილი

ო.2.1 მომხმარებლის ა.2.1 ხელმოწერის გეგმაში
პერსონალის რაოდენობა , ძ.3 დღემდე ხელმოწერად
შეთანხმებების ხელმოწერის გათვალისწინებულ
რომლებსაც ხელი აქვთ დაგეგმილი პერსონალი ა.2.1)
გეგმა პერსონალი
მოსაწერი (ა.2.1)
ა.2.2 შეთანხმებების
მ.4 შეთანხმებებზე ხელის
ო.2.2 პერსონალი, რომელმაც ხელმოწერასთან ძ.4 პერსონალი, ვინც დღემდე
მომწერი პერსონალის
ხელი მოაწერა მიმართებაში პერსონალის ხელი მოაწერა (ა.2.2)
რაოდენობის დათვლა (ა.2.2)
სტატუსი
Phase
ცხრილი 1 - ძირითადი საზომის და შეფასების მეთოდის მაგალითი
5.4.3 შეფასების ფუნქცია და წარმოებული საზომი
წარმოებული საზომი არის ორი ან მეტი ძირითადი საზომის კომბინაცია. მოცემული ძირითადი
საზომი შეიძლება გამოიყენებოდეს როგორც რამოდენიმე წარმოებული საზომის შემავალი
რესურსი.გაზომვის ფუნქცია არის გარკვეული გამოთვლის მეთოდი, რომელიც ძირითად
საზომებს გამოიყენებს წარმოებული საზომის მისაღებად. წარმოებული საზომის მასშტაბი და
საზომი ერთეული დამოკიდებულია ძირითადი საზომების მასშტაბზე და საზომ ერთეულზე,
რომელიც მის შემადგელობაში შედის, აგრეთვე ამ საზომების გამოყენების ხერხზე. გაზომვის
ფუნქცია შეიძლება მოიცავდეს სხვადასხვა ტექნიკას, როგორიცაა ძირითადი საზომების
გასაშუალოება, წონის გამოყენება, ან ხარისხობრივი კოეფიციენტების მინიჭება. გაზომვის
ფუნქცია შეიძლება აერთიანებდეს ძირითად საზომებს სხვადასხვა მასშტაბით, როგორიცაა

პროცენტები და ხარისხობრივი შეფასების შედეგები. მაგალითად, ცხრილში 2 წარმოდგენილია
ინფორმაციული უსაფრთხოების შეფასების მოდელის სხვა ელემენტებს შორის კავშირი,
მაგალითად ძირითადი საზომების, შეფასების ფუნქციის და წარმოებული საზომის.
ცხრილი 2. წარმოებული საზომის და შეფასების ფუნქციის მაგალითი
შეფასების ფუნქცია წარმოებული

ძირითადი საზომი (ძ)
(ფ) საზომი (წ)
პირდაპირ
ანალიტიკურ
ძ.1 დღემდე მოდელში
დაგეგმილი (იხ.ცხრილი 3)
პერსონალი (ა.2.1, ა.1.1)
ძ.2 პერსონალი, ფ.1 სტატუსის

რომელსაც ხელი აქვს დამატება
მოწერილი ხელმოწერილი წ.1 დღემდე
დასრულებული პერსონალისთვ პროგრესი (ძ.2)
პროცენტული ის, რაც
მაჩვენებელი (ა.1.2, დაგეგმილი
ა.2.2) დღეისთვის
ფ.2 დღემდე
ხელმოწერის წ.2
ძ.3 პერსონალი, მქონე ხელმოწერილებ
რომელმაც დღემდე პერსონალის და ის პროგრესი
უნდა მოაწეროს ხელი ხელმოსაწერად დღემდე (ძ.4,
ა.2.1) დაგეგმილი ძ.3)
პერსონალის
შეფარდება
ძ.4 პერსონალი, ვინც

დღემდე ხელი მოაწერა
(ა.2.2)
Phase
ცხრილი 2 - შეფასების ფუნქციის და წარმოებული საზომის მაგალითი.
5.4.4 მაჩვენებლები და ანალიტიკური მოდელი
მაჩვენებელი არის საზომი, რომელიც, ინფორმაციული საჭიროებიდან გამომდინარე, შეაფასებს

ანალიტიკური მოდელის კონკრეტულ ატრიბუტებს. მაჩვენებლები მიიღება ანალიტიკური
მოდელის გამოყენებით ძირითად ან / და წარმოებულ საზომზე და მათი გადაწყვეტილების
კრიტერიუმის კომბინირებით. მასშტაბი და გაზომვის მეთოდი გავლენას ახდენს მაჩვენებლების
წარმოსაქმნელად გამოყენებულ ანალიტიკურ ტექნიკაზე. ცხრილში 3 წარმოდგენილია
წარმოებული საზომების, ანალიტიკური მოდელის და მაჩვენებლების ურთიერთკავშირის
მაგალითი.

ცხრილი 3.ინდიკატორის და ანალიტიკური მოდელის მაგალითი
წარმოებული საზომი (წ) ინდიკატორი (ი)
(ამ)
ამ.1 [დღემდე პროგრესის (გ.1) ი.1 თანაფარდობათა

წ.1 დღემდე გაყოფა დღემდე დაგეგიმილ
კომბინაციის მიერ
პერსონალზე (ძ.1) * 100] და
პროგრესი (ძ.2) ნაჩვენები სტატუსი
ხელმოწერების პროგრესი
დრემდე (გ.2) (გ.1/ძ.1*100, გ.2)
გ.2
ხელმოწერილების ი.2 ტენდენცია (ი.1
ამ.2 ი.1-ის შედარება ი.1-ის
პროგრესი დღემდე და ი.1-ს წინა
წინა მნიშვნელობებთან.
(ძ.4, ძ.3) მნიშვნელობები)
Phase
ცხრილი 3 - მაჩვენებლის და ანალიტიკური მოდელის მაგალითი
5.4.5 შეფასების შედეგები და გადაწყვეტილების კრიტერიუმები
შეფასების შედეგებს განაპირობებს შესაბამისი მაჩვენებლებით განსაზღვრული

გადაწყვეტილების კრიტერიუმები და ითვალისწინებს იუმს-ის ეფექტიანობის შეფასების
ზოგადი მიზნებს. გადაწყვეტილების კრიტერიუმები გასაზღვრავს შემდგომი გამოძიების
აუცილებლობას ისევე, როგორც შეფასების შედეგების სანდოობას. გადაწყვეტილების
კრიტერიუმები შეიძლება გამოყენებულ იქნას მთელ რიგ მაჩვენებლებზე, მაგალითად დროის
სხვადასხვა მომენტში მიღებული მაჩვენებლების ტენდენციის ანალიზი. ობიექტებს
წარმოადგენს ორგანიზაციის ან მისი ნაწილის წარმადობის დეტალური მახასიათებლები,
რომლებიც მიიღება ინფორმაციული უსაფრთხოების მიზნებიდან, როგორებიცაა იუმს-ის
გავრცელების სფერო და კონტროლის მიზნები, რომლებიც ჩამოყალიბებული და მიღწეული
უნდა იქნას დასახული მიზნების მისაღწევად.

ცხრილი 4. შეფასების შედეგების და ანალიტიკური მოდელის მაგალითი
გადაწყვეტილების მიღების
ინდიკატორი (ი) შეფასების შედეგები
კრიტერიუმები (გკ)
ი.1-ის ინტერპრეტაცია:
ორგანიზაციული უსაფრთხოების
ცნობადობის პოლიტიკასთან
გკ.1 შედაგად მიღებული შესაბამისობა მიღწეულ იქნა
შეფარდებები (ი.1-გ.1/ძ.1, გ.2) დამაკმაყოფილებელი შედეგით თუ:
ი.1 უნდა ხვდებოდეს 0.9<=გ.1/ძ.1<=1.1 და 0.99<=გ.2<=1.01
თანაფარდობებით შესაბამისად 0.9-11 და 0.99-
გამოსახული 1.01 ინტერვალებში ორგანიზაციის კრიტერიუმები არ
სტატუსი (გ.1/ კონტროლის მიზნის მიიღწევა დამაკმაყოფილებლად,
ძ.1*100, გ.2) მისაღწევად; წინააღმდეგ როცა [გ.1/ძ.1<0.9 ან გ.1/ძ.1>1.1] და
შემთხვევასი საჭიროა 0.99<=გ.2<=1.01
მენეჯმენტის ჩარევა.
ორგანიზაციის კრიტერიუმები არ
მიღწევა, როდესაც გ.2<0.99 ან
გ.2>1.01
ი.2-ის ინტერპრეტაცია: აღმავალი

ტენდენცია გვიჩვენებს
გკ.2 ტენდენცია (ი.2) უნდა
შესაბამისობის გაუმჯობესებას,
ი.2 ტენდენცია (ი.1 იყოს აღმავალი და
დაღმავალი – გაუარესებას.
და ი.1-ს წინა სტაბილური; წინააღმდეგ
ტენდენციის ცვალებადობის
მნიშვნელობები) შემთხვევასი საჭიროა
ხარისხმა შესაძლოა კონტროლის
მენეჯმენტის ჩარევა.
ეფექტიანობის შესახებ დამატებითი
Phase
ინფორმაცია მოგვცეს
ცხრილში 4 მოყვანილია ინფორმაციული უსაფრთხოების მოდელის გამოყენების ელემენტების

ურთიერთკავშირის (ანუ მაჩვენებელი, გადაწყვეტილების კრიტერიუმები და შეფასების
შედეგები) მაგალითი.
6 მენეჯმენტის პასუხისმგებლობა
6.1 მიმოხილვა
მენეჯმენტი პასუხისმგებელია ინფორმაციული უსაფრთხოების შეფასების პროგრამის

ჩამოყალიბებაზე, რომელიც შეფასების საქმიანობაში მოიცავს შესაბამის დაინტერესებულ
მხარეებს (იხ. 7.5.8), გამოიყენებს შეფასების შედეგებს მენეჯმენტის მიმოხილვისათვის და იუმს-
ის მოქმედების გაუმჯობესებისათვის.
ამისათვის, მენეჯმენტი ვალდებულია:

ა) ჩამოაყალიბოს ინფორმაციული უსაფრთხოების შეფასების პროგრამის მიზნები;
ბ) განსაზღვროს ინფორმაციული უსაფრთხოების შეფასების პროგრამის პოლიტიკა;

გ) ჩამოაყალიბოს ინფორმაციული უსაფრთხოების შეფასების პროგრამის როლები და
პასუხისმგებლობა;
დ) უზრუნველყოს შეფასების პროცესი შესაბამისი რესურსებით, მათ შორის პერსონალით,
დაფინანსებით, ხელსაწყოებით და ინფრასტრუქტურით;
ე) უზრუნველყოს, რომ ინფორმაციული უსაფრთხოების შეფასების პროგრამის მიზნები
მიიღწევა;
ვ) უზრუნველყოს, რომ მონაცემთა შეგროვების ხელსაწყოები და აღჭურვილობა გამოიყენება
სწორად;
ზ) შექმნას შეფასების მიზნები თითოეული შეფასების მოდელისთვის;
თ) უზრუნველყოს, რომ შეფასება აძლევს საკმარის ინფორმაციას შესაბამის დაინტერესებულ
მხარეებს იუმს-ის ეფექტიანობის და გაუმჯობესების საჭიროებების თაობაზე და ფარავს
მოქმედების არეალს, პოლიტიკას, მიზნებს, კონტროლებს, პროცესებს და პროცედურებს;
ი) უზრუნველყოს, რომ შეფასება აძლევს საკმარის ინფორმაციას შესაბამის დაინტერესებულ
მხარეებს კონტროლების ან კონტროლთა ჯგუფის ეფექტიანობის და დანერგილი კონტროლების
გაუმჯობესების საჭიროებების შესახებ.
შეფასების როლების და მოვალეობების შესაბამისი მინიჭებით მენეჯმენტმა უნდა

უზრუნველყოს, რომ ინფორმაციის მფლობელები არ ახდენენ გავლენას შეფასების შედეგებზე
(იხ. 7.5.8). ამის მიღწევა შესაძლებელია მოვალეობათა გამიჯვნით, ან თუ ეს შეუძლებელია,
დეტალური დოკუმენტაციის გამოყენებით, რომლის მეშვეობით შესაძლებელია
დამოუკიდებელი შემოწმება.
6.2 რესურსების მართვა
მენეჯმენტმა უნდა გამოყოს რესურსები, რათა მოხდეს შეფასების ძირითადი ქმედებების

მხარდაჭერა, როგორიცაა მონაცემთა შეგროვება, ანალიზი, შენახვა, ანგარიშგება და გავრცელება.
რესურსების განაწილება უნდა შეიცავდეს:
ა) ინფორმაციული უსაფრთხოების შეფასების პროგრამის ყველა ასპექტზე პასუხისმგებელ
პირებს;
ბ) შესაბამის ფინანსურ მხარდაჭერას;
გ) შესაბამის ინფრასტრუქტურულ მხარდაჭერას, როგორიცაა ფიზიკური ინფრასტრუქტურა და
შეფასების პროცესში გამოსაყენებელი ხელსაწყოები.
6.3 შეფასების სწავლება, ცნობადობა და კომპეტენტურობა
მენეჯმენტმა უნდა უზრუნველყოს, რომ:

ა) ინფორმაციული უსაფრთხოების შეფასების პროგრამის ფარგლებში ხდება დაინტერესებულ
მხარეთათვის (იხ. 7.5.8) ტრენინგების ჩატარება მათი როლის და პასუხისმგებლობის
შესაბამისად, რის შემდეგაც ისინი ხდებიან კვალიფიციურნი, რათა შეასრულონ მათზე
დაკისრებული როლები და პასუხისმგებლობები;
ბ) დაინტერესებულ მხარეებს ესმით, რომ ვალდებული არიან მიაწოდონ ინფორმაციული
უსაფრთხოების შეფასების პროგრამის გაუმჯობესების შესახებ წინადადებები.
7 საზომები და შეფასების შემუშავება
7.1 შესავალი
ამ პუნქტში მოცემულია მითითებები, თუ როგორ უნდა შემუშავდეს დანერგილი იუმს-ის,

კონტროლების და კონტროლთა ჯგუფების ეფექტიანობის საზომები და შეფასებები, აგრეთვე
მოიძებნოს ორგანიზაციისთვის დამახასიათებელი კონკრეტული საზომი კონსტრუქციები.
საჭირო საზომების და შეფასებების შესამუშავებლად გასატარებელი ღონისძიებები უნდა
ჩამოყალიბდეს და იყოს დოკუმენტირებული, მათ შორის:
ა) შეფასების ფარგლების დადგენა (იხ. 7.2);
ბ) საჭირო ინფორმაციის განსაზღვრა (იხ. 7.3);
გ) შესაფასებელი ობიექტის და მისი ატრიბუტების შერჩევა (იხ. 7.4);
დ) შეფასების კონსტრუქციების შექმნა (იხ. 7.5);
ე) შეფასების კონსტრუქციების გამოყენება (იხ. 7.6);
ვ) მონაცემთა შეგროვების, ანალიზის პროცესის და ხელსაწყოების ჩამოყალიბება (იხ. 7.7);
ზ) შეფასების მიდგომის დანერგვა და დოკუმენტირება (იხ. 7.8).
ღონისძიებების გატარებისას ორგანიზაციამ უნდა გაითვალისწინოს ფინანსური, ადამიანური და

ინფრასტრუქტურული (ფიზიკური და ხელსაწყოები) რესურსები.
7.2 შეფასების ფარგლების დადგენა
ორგანიზაციის შესაძლებლობებიდან და რესურსებიდან გამომდინარე, ორგანიზაციაში

შეფასების ღონისძიებების საწყისი ფარგლები მოიცავს ისეთ ელემენტებს, როგორიც არის
კონკრეტული კონტროლი, კონკრეტული კონტროლის მიერ დაცული ინფორმაციული აქტივები,
მენეჯმენტის მიერ მინიჭებული უმაღლესი პრიორიტეტის მქონე ინფორმაციული
უსაფრთხოების სპეციფიური ღონისძიებები. დროთა განმავლობაში შეფასების ფარგლები
გაფართოვდება დანერგილი იუმს-ის და კონტროლების ან კონტროლთა ჯგუფის დამატებითი
ელემენტებისა და დაინტერესებულ მხარეთა პრიორიტეტების გათვალისწინებით. შეფასების
ფარგლების დადგენისას უნდა დადგინდეს ყველა დაინტერესებული მხარე და მიიღონ
მონაწილეობა. დაინტერესებული მხარეები შეიძლება იყვნენ შიდა ან გარე ორგანიზაციული
ერთეულები, მაგალითად, პროექტის მენეჯერები, საინფორმაციო სისტემის მენეჯერები ან
ინფორმაციული უსაფრთხოების გადაწყვეტილების მიმღები პირები. ინდივიდუალური
კონტროლების ან კონტროლთა ჯგუფის ეფექტიანობის კონკრეტული შეფასების შედეგები უნდა
განისაზღვროს და ეცნობოს შესაბამის დაინტერესებულ მხარეებს.
ორგანიზაციას შეუძლია გადაწყვეტილების მიმღებ პირების მიაწოდოს მათთვის საჭირო

შეფასების შედეგები, რათა უზრუნველყოს უიმს-ს გაუმჯობესების ეფექტი მათი მხრიდან.
გადამეტებული რაოდენობის შეფასების შედეგებმა შესაძლოა უარყოფითი გავლენა იქონიოს
გადაწყვეტილების მიმღებზე. შეფასების შედეგებს უნდა მიენიჭოს პრიორიტეტი ინფორმაციის
და მასთან დაკავშირებული იუმს-ის მიზნების მნიშვნელობიდან გამომდინარე.
7.3ინფორმაციული საჭიროების განსაზღვრა
ყოველი შეფასების კონსტრუქცია უნდა შეესაბამებოდეს სულ ცოტა ერთ ინფორმაციულ

საჭიროებას. დანართ ა-ში წარმოდგენილია ინფორმაციული საჭიროებების მაგალითი, სადაც
აღწერილია შეფასების მიზანი როგორც საწყისი წერტილი და შესაბამისი გადაწყვეტილების
კრიტერიუმი როგორც დასასრული.
ინფორმაციული საჭიროებების განსაზღვრისათვის უნდა შესრულდეს შემდეგი ქმედებები:

ა) შეისწავლის იუმს და მის პროცესებს, როგორიცაა:
1) იუმს-ის პოლიტიკა და ამოცანები, კონტროლის მიზნები და კონტროლები;
2) იურიდიული, მარეგულირებელი, სახელშეკრულებო და ორგანიზაციული
მოთხოვნები ინფორმაციული უსაფრთხოების უზრუნველყოფის კუთხით;
3) ინფორმაციული უსაფრთხოების რისკების მართვის პროცესის შედეგები, როგორც
აღწერილია მგს 27001-ში.
ბ) აღმოჩენილი ინფორმაციული საჭიროებებისადმი პრიორიტეტის მინიჭება კრიტერიუმებზე
დაყრდნობით, როგორიცაა:
1) რისკის დამუშავების პრიორიტეტები;
2) ორგანიზაციის შესაძლებლობები და რესურსები;
3) დაინტერესებული მხარეების ინტერესები;
4) ინფორმაციული უსაფრთხოების პოლიტიკა;
5) სამართლებრივი, მარეგულირებელი და სახელშეკრულებო მოთხოვნების
დასაკმაყოფილებლად საჭირო ინფორმაცია;
6) ინფორმაციის ღირებულება და შეფასების ხარჯები;
გ) პრიორიტეტულ სიაში შეფასების ღონისძიებებიდან ინფორმაციის ქვესიმრავლის არჩევა;
დ) დაინტერესებულ მხარეებთან შერჩეული ინფორმაციის აღწერა და შეტყობინება. იუმს-ში,
კონტროლებში ან კონტროლთა ჯგუფებში ყველა საზომის გამოყენება უნდა განხორციელდეს
შერჩეული ინფორმაციული საჭიროებების საფუძველზე.
7.4 ობიექტის და ატრიბუტის შერჩევა
შესაფასებელი ობიექტი და მისი ატრიბუტები უნდა იყოს განსაზღვრული იუმს-ის საერთო

კონტექსტში და ფარგლებში. უნდა აღინიშნოს, რომ შესაფასებელ ობიექტს შესაძლოა რამდენიმე
ატრიბუტი გააჩნდეს. შეფასებაში გამოყენებული ობიექტი და მისი ატრიბუტები უნდა შეირჩეს
შესაბამისი ინფორმაციული საჭიროებების პრიორიტეტულობის მიხედვით. შერჩეული
ატრიბუტების შეფასების მეთოდის გამოყენებით მიიღება ის მნიშვნელობები, რაც ძირითად
საზომებს უნდა მიენიჭოს. ამ შერჩევამ უნდა უზრუნველყოს, რომ:
- ძირითადი საზომი და შესაბამისი შეფასების მეთოდი იდენტიფიცირებადია;
- მიღებული მნიშვნელობების და შექმნილი საზომების საფუძველზე, შესაძლებელია შემუშავდეს
გონივრული, გამოყენებადი შეფასების შედეგები. შერჩეული ატრიბუტების მახასიათებლები
განსაზღვრავს, თუ რა ტიპის შეფასების მეთოდები უნდა იქნას გამოყენებული, რათა ძირითად
საზომებს მიენიჭოს მნიშვნელობები (მაგ. ხარისხობრივი თუ რაოდენობრივი). არჩეული ობიექტი
და ატრიბუტები უნდა იყოს აღწერილი, ისევე როგორც შერჩევის ლოგიკა. შესაფასებელი
ობიექტის და შესაბამისი ატრიბუტების აღმწერი მონაცემები გამოყენებული უნდა იქნას
ძირითად საზომებში. შესაფასებელი ობიექტების მაგალითები მოიცავს :
- პროდუქტები და მომსახურება;
- პროცესები;
- აქტივები, როგორიცაა მოწყობილობები, პროგრამები და საინფორმაციო სისტემები, რაც
განსაზღვრულია მგს 27001:2005 (აქტივების ინვენტარიზაცია A.7.1.1);
- ორგანიზაციული ერთეული;
- გეოგრაფიული მდებარეობა;
- მესამე მხარის მიერ გაწეული მომსახურება.
ატრიბუტები უნდა იყოს განხილული, რათა:
ა) შეფასებისათვის შესაბამისი ატრიბუტი იყოს შერჩეული;
ბ) ეფექტური გაზომვის მიზნით, განისაზღვროს მონაცემთა შესაბამისი რაოდენობა.,
უნდა შეირჩეს მხოლოდ ძირითადი საზომის შესაბამისი ატრიბუტები. მიუხედავად იმისა, რომ
ატრიბუტების შერჩევა უნდა ითვალისწინებდეს ატრიბუტების შეფასების სირთულის ხარისხს,
ეს არ უნდა ხორციელდებოდეს მხოლოდ ადვილად მოპოვებად მონაცემებზე ან ატრიბუტებზე.
7.5 შეფასების კონსტრუქციის შემუშავება
7.5.1 მიმოხილვა
ქვეპუნქტი (7.5) ეხება 7.5.2-დან შეფასების კონსტრუქციების შემუშავებას (7.5.8)
7.5.2 საზომების შერჩევა
უნდა განისაზღვროს საზომები, რომლებმაც შესაძლოა დააკმაყოფილოს შერჩეული

ინფორმაციული საჭიროება. გამოვლენილი საზომები უნდა შემუშავდეს საკმარისი
დეტალურობის დონით, რათა შესაძლებელი გახდეს დასანერგი საზომების შერჩევა. ახლად
გამოვლენილი საზომები შეიძლება მოიცავდეს არსებულ საზომებსაც.
შენიშვნა: ძირითადი საზომების გამოვლენა მჭიდროდ არის დაკავშირებული შესაფასებელი

ობიექტების და მათ ატრიბუტების გამოვლენასთან.
გამოვლენილმა, შერჩეულმა საზომებმა უნდა დააკმაყოფილოს შერჩეული ინფორმაციული

საჭიროება. ასევე უნდა მოხდეს საჭირო კონტექსტური ინფორმაციის განხილვა.

შენიშვნა: საზომების მრავალი სხვადასხვა კომბინაცია (მაგ. ძირითადი საზომები, წარმოებული
საზომები და ინდიკატორები) შეიძლება შერჩეულ იქნას კონკრეტული ინფორმაციული
საჭიროებიდან გამომდინარე.
შერჩეული საზომები უნდა ასახავდეს ინფორმაციული საჭიროების პრიორიტეტს. კრიტერიუმის

კიდევ ერთი მაგალითი, რომელიც შეიძლება იქნას გამოყენებული საზომების შერჩევისას,
მოიცავს შემდეგს:
- მონაცემების შეგროვების სიმარტივე;
- ადამიანური რესურსების ხელმისაწვდომობა მონაცემთა შესაგროვებლად და სამართავად;
- სათანადო ხელსაწყოების ხელმისაწვდომობა;
- ძირითადი საზომის მიერ უზრუნველყოფილი პოტენციურად შესაბამისი ინდიკატორების
რაოდენობა;
- ინტერპრეტაციის სიმარტივე;
- შეფასების შედეგების მომხმარებელთა რაოდენობა;
- საზომის ვარგისიანობის მტკიცებულება მიზნების ან ინფორმაციული საჭიროების
დასაკმაყოფილებლად;
- შეგროვების, მართვის და მონაცემთა ანალიზის ხარჯები.
7.5.3 შეფასების მეთოდი
ყოველი ძირითადი საზომისათვის უნდა განისაზღვროს შეფასების მეთოდი. ეს შეფასების

მეთოდი ახდენს ობიექტის რაოდენობრივ შეფასებას; ამ დროს ხდება ატრიბუტების გარდაქმნა
მნიშვნელობებად, რომლებიც ენიჭება ძირითად საზომებს. შეფასების მეთოდები შეიძლება იყოს
სუბიექტური ან ობიექტური.
შეფასების მეთოდი ატრიბუტებს გადააქცევს მნიშვნელობებად შესაბამისი შკალის გამოყენებით.

ყოველი შკალა იყენებს შეფასების ერთეულს. შეიძლება მხოლოდ ერთსა და იმავე საზომ
ერთეულში გამოსახული რაოდენობების შედარება. ყოველი შეფასების მეთოდისათვის უნდა
დადგინდეს შემოწმების პროცესი და მოხდეს მისი დოკუმენტირება. უზრუნველყოფილი უნდა
იყოს იმ მნიშვნელობის სანდოობის ხარისხი, რომელიც მიიღება შეფასების მეთოდის მიყენებით
შესაფასებელი ობიექტის ატრიბუტზე და მისთვის ძირითადი საზომის მინიჭებით. საჭიროების
შემთხვევაში, მნიშვნელობის სიზუსტის დასამოწმებლად, სტანდარტიზებული უნდა იყოს
ატრიბუტების მოძიების ხელსაწყოები და უნდა შემოწმდეს დროის გარკვეულ ინტერვალებში.
მხედველობაში უნდა იქნას მიღებული შეფასების მეთოდის სიზუსტე და გაკეთდეს ჩანაწერი
შესაბამისი გადახვევის ან ცდომილების შესახებ. შეფასების მეთოდი უნდა იყოს უცვლელი.
სხვადასხვა დროს მიღებული ძირითადი საზომის მნიშვნელობები არის შედარებადი, ისევე
როგორც წარმოებული საზომის და ინდიკატორის მნიშვნელობები.
7.5.4 შეფასების ფუნქცია
უნდა განისაზღვროს თითოეული წარმოებული საზომისთვის შეფასების ფუნქცია. შეფასების

ფუნქცია გამოიყენება იმისათვის, რომ ძირითადი საზომისთვის მინიჭებული მნიშვნელობები
გარდაქმნას წარმოებული საზომის მნიშვნელობებად. ზოგიერთ შემთხვევაში, ძირითადი
საზომი შეიძლება პირდაპირ ხელს უწყობდეს ანალიტიკურ მოდელს. შეფასების ფუნქცია (მაგ:
დაანგარიშების) შეიძლება მოიცავდეს სხვადასხვა ტექნიკას, როგორიცაა ძირითადი საზომის
ყველა მნიშვნელობის გასაშუალოება, წონების გამოყენება, ან ხარისხობრივი კოეფიციენტების
მიყენება. შეფასების ფუნქციას შეუძლია გააერთიანოს ძირითადი საზომების მნიშვნელობები
სხვადასხვა შკალების გამოყენებით, როგორებიცაა, მაგალითად პროცენტული ან ხარისხობრივი
შეფასების შედეგი.
7.5.5 ანალიტიკური მოდელი
ყოველი ინდიკატორისთვის უდნა განისაზღვროს ანალიტიკური მოდელი, რათა მოხდეს

ძირითადი ან წარმოებული საზომის მნიშვნელობის გარდაქმნა ინდიკატორის მნიშვნელობად.
ანალიტიკური მოდელი მოიცავს სათანადო საზომებს, რათა შედეგს მიეცეს დაინტერესებული
მხარეებისათვის მისაღები ფორმა. ინდოკატორზე გამოყენებული გადაწყვეტილების მიღების
კრიტერიუმები აგრეთვე უნდა განიხილებოდეს ანალიტიკური მოდელის შექმნაში. ზოგიერთ
შემთხვევაში ანალიტიკური მოდელი შესაძლოა იყოს ისეთივე მარტივი, როგორც წარმოებული
საზომის მნიშვნელობის გარდაქმნა ინდიკატორის მნიშვნელობად.
7.5.6 ინდიკატორები
ინდიკატორების მნიშვნელობები შეიქმნება წარმოებული საზომების აგრეგირებული

მნიშვნელობებიდან და ამ ნმიშვნელობების გაანალიზებით გადაწყვეტილების მიღების
საფუძველზე. ყოველი ინდიკატორისათვის უნდა განისაზღვროს მომხმარებლისთვის
ინდიკატორის შესახებ ანგარიშის წარდგენის ფორმატი (იხ. 7.7). ინდიკატორების ჩვენების
ფორმატი ასახავს საზომებს და ინდიკატორების ახსნას ვიზუალურად. ინდიკატორის ჩვენების
ფორმატი უნდა შეესაბამებოდეს კლიენტის ინფორმაციულ საჭიროებებს.
7.5.7 გადაწყვეტილების მიღების კრიტერიუმები
ინფორმაციული უსაფრთხოების მიზნებიდან გამომდინარე, ყოველი ინდიკატორისთვის უნდა

განისაზღვროს და დოკუმენტირებული იქნას გადაწყვეტილების მიღების კრიტერიუმები, რათა
დაინტერესებულ მხარეებს ჰქონდეთ სახელმძღვანელო მითითებები. ეს სახელმძღვანელო
მითითებები უნდა პასუხობდეს გაუმჯობესების მოლოდინს ინდიკატორიდან გამომდინარე.
გადაწყვეტილების მიღების კრიტერიუმები აყალიბებს მიზანს, რომლითაც იზომება წარმატება
(იხ. 5.3) და უზრუნველყოფს ინდიკატორის აღქმის სახელმძღვანელოს მისი მიზანთან
სიახლოვის კუთხით. სამიზნეები უნდა ჩამოყალიბდეს იუმს-ის პროცესების და კონტროლების,
მიზნების მიღწევის და იუმს-ის ეფექტიანობის კუთხით. მენეჯმენტს შეუძლია არ მიუთითოს
ინდიკატორის სამიზნე მანამ, სანამ ხდება პირველადი მონაცემების შეგროვება. როგორც კი
საწყის მონაცემებზე დაყრდნობილი მაკორექტირებელი ქმედებები გამოვლინდება,
შესაძლებელი ხდება განისაზღვროს იუმს-დმი რეალისტური გადაწყვეტილების კრიტერიუმები
და დადგინდეს დანერგვის ეტაპები. თუ გადაწყვეტილების მიღების კრიტერიუმები ვერ
ჩამოყალიბდა გარკვეულ ეტაპზე, მენეჯმენტმა უნდა შეაფასოს, რამდენად ღირებულია
შესაფასებელი ობიექტი და შესაბამისი საზომები ორგანიზაციისათვის. თუ ისტორიული
მონაცემები ხელმისაწვდომია შერჩეული საზომებისთვის, მაშინ შეიძლება მათი გამოყენება
გადაწყვეტილების მიღების კრიტერიუმების შემუშავებაში. წარსული ტენდენციების გადახედვა
უზრუნველყოფს ცოდნას წარმადობის საზღვრების შესახებ, რომელიც არსებობდა ადრე და

უხელმძღვანელებს რეალისტური გადაწყვეტილების მიღების კრიტერიუმების შემუშავებას.
გადაწყვეტილების მიღების კრიტერიუმები შეიძლება დაეფუძნოს მოსალოდნელი ქცევის
კონცეპტუალურ ხედვას. გადაწყვეტილების მიღების კრიტერიუმები შესაძლოა
გამომდინარეობდეს ისტორიული მონაცემებიდან, გეგმებიდან და გამოცდილებიდან, ან
გამოითვლებოდეს როგორც სტატისტიკური კონტროლის ან სტატისტიკური დარწმუნებულობის
ზღვარი.
7.5.8 დაინტერესებული მხარეები
ყოველი ძირითადი ან წარმოებული საზომისთვის უნდა განისაზღვროს შესაბამისი

დაინტერესებული მხარე და მოხდეს მის შესახებ ინფორმაციის დოკუმენტირება.
დაინტერესებული მხარე შესაძლოა იყოს:
ა) შესაფასებელი კლიენტი: მენეჯმენტი ან სხვა დაინტერესებული მხარეები, რომლებიც ითხოვენ
იუმს-ის, კონტროლების ან კონტროლთა ჯგუფის ეფექტიანობის შესახებ ინფორმაციას;
ბ) შეფასების მიმომხილველი: ადამიანი ან ორგანიზაციული ერთეული, რომელიც ადასტურებს
შემუშავებული შეფასების კონსტრუქციების შესაბამისობას იუმს-ის, კონტროლების ან
კონტროლტა ჯგუფის ეფექტიანობასთან ;
გ) ინფორმაციის მფლობელი: ადამიანი ან ორგანიზაციული ერთეული, რომელიც ფლობს
ინფორმაციას შესაფასებელი ობიექტის და ატრიბუტების შესახებ და არის შეფასებაზე
პასუხისმგებელი;
დ) ინფორმაციის შემგროვებელი: ადამიანი ან ორგანიზაციული ერთეული, რომელიც
პასუხისმგებელია მონაცემთა შეგროვებაზე, ჩაწერაზე და შენახვაზე;
ე) ინფორმაციის კომუნიკატორი (მომწოდებელი): ადამიანი ან ორგანიზაციული ერთეული,
რომელიც მონაცემთა ანალიზზე და შეფასების შედეგების მიწოდებაზეა პასუხისმგებელი.
7.6 შეფასების კონსტრუქცია
შეფასების კონსტრუქცია სულ ცოტა უნდა შეიცავდეს შემდეგ ინფორმაციას:

 შეფასების მიზანი;
 კონტროლების, კონტროლთა ჯგუფების და იუმს-ის შესაფასებელი პროცესის მისაღწევი
მიზნები;
 შეფასების ობიექტი;
 შესაგროვებელი და გამოსაყენებელი მონაცემები;
 მონაცემთა შეგროვების და ანალიზის პროცესები;
 შეფასების შედეგების ანგარიშის პროცესი, მათ შორის ანგარიშგების ფორმატები;
 შესაბამისი დაინტერესებული პირების როლები და პასუხისმგებლობები;
 შეფასების მიმოხილვის ციკლი, რომელიც უზრუნველყოფს შეფასების კონსტრუქციების
გონივრულობას ინფორმაციულ საჭიროებებთან მიმართებაში.
დანართში ა წარმოდგენილია შეფასების კონსტრუქციის ზოგადი მაგალითი, რომელიც მოიცავს
ზემოთ ჩამოთვლილ პუნქტებს.
დანართი ბ წარმოადგენს შეფასების კონსტრუქციების მაგალითებს, იუმს-ის პროცესებისა და
კონტროლების შესაფასებლად.

7.7 მონაცემთ შეგროვება, ანალიზი და ანგარიშგება
უნდა ჩამოყალიბდეს მონაცემთა შეგროვების და ანალიზის პროცედურები, აგრეთვე შეფასების

შედეგების ანგარიშგების პროცესები . საჭიროების შემთხვევაში აგრეთვე უნდა ჩამოყალიბდეს
დამხმარე ხელსაწყოები, შეფასების მოწყობილობები და ტექნოლოგიები. ეს პროცედურები,
ხელსაწყოები, შეფასების მოწყობილობები და ტექნოლოგიები ხელს უწყობს შემდეგ ქმედებებს:
ა) მონაცემთა შეგროვება, მათ შორის მონაცემთა შენახვის და შემოწმების საშუალებები (იხ. 8.3).
პროცედურებმა უნდა განსაზღვრონ თუ როგორ უნდა ხდებოდეს მონაცემთა შეგროვება
შეფასების მეთოდის, შეფასების ფუნქციის და ანალიტიკური მოდელის მეშვეობით, ისევე
როგორც, როგორ და სად უნდა ხდებოდეს მათი შენახვა სხვა შესაბამის ინფორმაციასთან ერთად,
რომელიც აუცილებელია მონაცემთა გასაგებად და შესამოწმებლად. მონაცემთა შემოწმება
შესაძლოა შესრულდეს სიის მიხედვით მონაცემთა გადამოწმებით, რომელიც შექმილია
მონაცემთა დაკარგვის შემცირების მიზნით და ყოველი საზომისადმი მინიჭებული
ნმიშვნელობის შესამოწმებლად.
შენიშვნა: საზომისადმი მინიჭებული მნიშვნელობების შემოწმება მჭიდრო კავშირშია შეფასების

მეთოდების დადასტურებასთან (იხ 7.5.3).
ბ) შეფასების შედეგების ანალიზი და ანგარიშგება. პროცედურემბა უნდა განსაზღვროს

მონაცემთა ანალიზის ტექნიკები (იხ 9.2), სიხშირე, ფორმატი და მეთოდები შეფასების შედეგების
აგნარიშგებისათვის. უნდა განისაზღვროს ის საჭირო ხელსაწყოები, რომელიც ახდენს მონაცემთა
ანალიზს.
ანგარიშგების ფორმატების მაგალითებია:
- შედეგების ცხრილი, რომელიც გვაძლევს სტრატეგიულ ინფორმაციას მაღალი დონის
ინდიკატორების გამოყენებით;
- მენეჯერულ და საოპერაციო ხცრილებს, რომელიც ნაკლებადაა ორიენტირებული
სტრატეგიულ მიზნებზე და უფრო დაკავშირებულია გარკვეული კონტროლების და
პროცესების ეფექტიანობასთან;
- მარტივი და სტატიკური ანგარიშები, მაგალითად: მოცემული დროის მონაკვეთისთვის
საზომთა სია, უფრო თანამედროვე ჯვარედინი ანგარიშები ჩაშენებული დაჯგუფებით,
ნამატი ჯამი და დინამიური კავშირები. საუკეთესო ანაგრიშები მარტივად უნდა
აღიქმებოდეს მომხმარებლის მხრიდან;
- მონაცემთა მაჩვენებელი, რომელიც ასახავს დინამიურ მონაცემებს, მათ შორის
შეტყობინებებს, დამატებით გრაფიკულ ელემენტებს და საბოლოო წერტილებს .
7.8 შეფასების დანერგვა და დოკუმენტირება
ზოგადი მიდგომა შეფასებისადმი უნდა იყოს დოკუმენტირებული დანერგვის გეგმაში.

დანერგვის გეგმა უნდა მოიცავდეს მინიმუმ შემდეგს:
ა) ორგანიზაციაში ინფორმაციული უსაფრთხოების შეფასების პროგრამის დანერგვას;
ბ) შეფასების მახასიათებლებს:
1) ორგანიზაციის შეფასების ზოგადი კონსტრუქცია;
2) ორგანიზაციის შეფასების კონკრეტული კონსტრუქციები;
3) მონაცემთა შეგროვების და მონაცემთა ანალიზის დიაპაზონისა და პროცედურების
განსაზღვრა;
გ) შეფასების ქმედებების შესრულების გეგმა-გრაფიკი;

დ) ჩანაწერები, რომელიც შეიქმნება შეფასების შედეგად, მათ შორის დაგროვილი მონაცემები და
ანალიზის შესახებ ჩანაწერები;
ე) მენეჯმენტისათვის და დაინტერესებული მხარეებისათვის შეფასების შედეგების საანგარიშო
ფორმატები (იხ მგს 27001:2005 ოუნქტი 7 “მენეჯერული მიმოხილვა”).
8 შეფასება
ინფორმაციული უსაფრთხოების შეფასება მოიცავს ქმედებებს, რომლებიც აუცილებელია

შეფასების შედეგების სანდოობის უზრუნველსაყოფად, რაც იძლევა ზუსტ ინფრომაციას
დანერგილი იუმს-ის კონტროლების ან კონტროლთა ჯგუფების და შესაბამისი
გაუმჯობესებისთვის საჭირო ქმედებების ეფექტიანობის გათვალისწინებით.
ეს ღონისძიებები მოიცავს შემდეგს;
ა) იუმს-ში შეფასების პროცედურების ჩართვა;
ბ) მონაცემთა შეგროვება, შენახვა და შემოწმება.
8.2 პროცედურის ჩართვა
ინფორმაციული უსაფრთხოების შეფასების პროგრამა სრულად უნდა იყოს ჩართული და

გამოიყენებოდეს არსებული იუმს-ის მიერ. შეფასების პროცედურები უნდა შეესაბამებოდეს
იუმს-ის ფუნქციონირებას, მათ შორის:
ა) როლების, უფლებამოსილების და პასუხისმგებლობის განსაზღვრა და დოკუმენტირება
ინფორმაციული უსაფრთხოების შეფასების დამუშავების, დანერგვის და შენარჩუნების
გათვალისწინებით;
ბ) მონაცემთა შეგროვება და, საჭიროების შემთხვევაში, მიმდინარე იუმს-ის ფუნქციონირების
ცვლილება მონაცემთა გენერირების და შეგროვებისათვის;
გ) მონაცემთა შეგროვების ღონისძიებებში ცვლილებების შესახებ დაინტერესებულ მხარეების
ინფორმირება;
დ) მონაცემთა შემგროვებლების კომპეტენციის შენარჩუნება და საჭირო მონაცემების ტიპების,
მონაცემთა შეგროვების ხელსაწყოების და მონაცემთა შეგროვების პროცედურების ცოდნა;
ე) პოლიტიკების და პროცედურების შექმნა, რომელიც განსაზღვრავს ინფორმაციული
უსაფრთხოების შეფასების პროგრამის გამოყენებას ორგანიზაციაში, შეფასების ინფორმაციის
გავრცელებას, აუდიტს და მიმოხილვას.
ვ) მონაცემთა ანალიზის და ანგარიშგების ჩართვა შესაბამის პროცესებში მათი ჩვეული
წარმადობის უზრუნველსაყოფად.
ზ) შეფასების შედეგების ზედამხედველობა, მიმოხილვა და შეფასება;
თ) გარკვეული საზომების გაუქმების და ახალი საზომების დამატების პროცესის ჩამოყალიბება;
ი) ტენდენციების ანალიზისათვის ისტორიული მონაცემების გამოყენებადობის პროცესის
ჩამოყალიბება .

8.3 მონაცემთა შეგროვება, შენახვა და შემოწმება
მონაცემთა შეგროვება, შენახვა და შემოწმება მოიცავს შემდეგს:

ა) დროის თანაბარ მონაკვეთებში მონაცემთა შეგროვება განსაზღვრული შეფასების მეთოდის
გამოყენებით;
ბ) მონაცემთა შეგროვების დოკუმენტირება, მათ შორის:
1) მონაცემთა შეგროვების თარიღი, დრო და ადგილმდებარეობა;
2) ინფორმაციის შემგროვებელი;
3) ინფრომაციის მფლობელი;
4) მონაცემთა შეგროვების პროცესში მომხდარი ინციდენტები, რომელიც სასარგებლო
შეიძლება იყოს;
5) მონაცემთა შემოწმებისა და შეფასებისათვის საჭირო ინფორმაცია;
გ) მონაცემთა შერჩევის კრიტერიუმების და შეფასების კონსტრუქციების შემოწმების
კრიტერიუმების მიმართ შეგროვებული მონაცემების გადამოწმება. დაგროვილი მონაცემები და
ნებისმიერი კონტექსტური ინფორმაცია უნდა გაერთიანდეს და შენახული იქნას მონაცემთა
ანალიზისათვის გამოყენებადი სახით.
9 მონაცემთა ანალიზი და შეფასების შედეგების ანგარიშგება
დაგროვილი მონაცემები უნდა გაანალიზდეს შფასების შედეგების შესაქმნელად და მოხდეს მათ

შესახებ ინფორმირება;
ეს ღონისძიება მოიცავს შემდეგს:
ა) მონაცემთა ანალიზი და შეფასების შედეგების მიღება;
ბ) შეფასების შედეგების შესახებ დაინტერესებული პირების ინფორმირება.
9.2 მონაცემთა ანალიზი და შეფასების შედეგების მიღება
მონაცემები უნდა გაანალიზდეს და მოხდეს მათი გამოყენება გადაწყვეტილების მიღების

კრიტერიუმების შესამუშავებლად. შესაძლებელია მონაცემთა აგრეგირება, გარდაქმნა და
კოდირების შეცვლა ანალიზის დაწყებამდე. ამ ეტაპზე ხდება მონაცემთა დამუშავება
ინდიკატორების მისაღებად. შესაძლოა სხვადასხვა ანალიზის ტექნიკის გამოყენება. ანალიზის
სიღრმე უნდა განისაზღვრებოდეს მონაცემების მახასიათებლებით და ინფორმაციული
საჭიროებით.
შედეგების ანალიტიკოსი (კომუნიკატორი) უნდა აყალიბებდეს გარკვეულ საწყის დასკვნებს

შედეგებიდან გამომდინარე. მაგრამ, რადგან კომუნიკატორი შესაძლოა არ იყოს ტექნიკურ და
მენეჯერულ პროცესებში ჩართული, ეს დასკვნები უნდა გადაიხედოს დაინტერესებული პირების
მიერ. ყველა ინტერპრეტაცია უნდა ითვალისწინებდეს შეფასების კონტექსტს. მონაცემთა
ანალიზმა უნდა აღმოაჩინოს დანერგილი იუმს-ის, კონტროლების ან კონტროლთა ჯგუფის
ხარვეზები მოსალოდნელ და რეალურ შეფასების შედეგებს შორის. აღმოჩენილი ხარვეზები

მიგვითითებს დანერგილი იუმს-ის გაუმჯობესების საჭიროებას, მასშტაბის, პოლიტიკების,
მიზნების, კონტროლების, პროცესების და პროცედურების ჩათვლით.
უნდა ჩამოყალიბდეს და მოხდეს იმ ინდიკატორების კლასიფიცირება, რომლებიც შეუსაბამობას

ან არაეფექტიან წარმადობას წარმოაჩენს; ეს უნდა მოხდეს შემდეგნაირად:
ა) დანერგვა, ფუნქციონირება და კონტროლების ან იუმს-ის პროცესების მართვის რისკების
დამუშავების გეგმის ჩავარდნა (მაგ: საფრთხეების მიერ კონტროლების და იუმს-ის პროცესების
გვერდის აქცევა)
ბ) რისკების შეფასების წარუმატებლობა:
1) კონტროლები ან იუმს-ის პროცესები არის არაეფექტური, იმიტომ რომ არასაკმარისია
მოსალოდნელი საფრთხეებისათვის (მაგ: საფრთხეების მოლოდინის არაჯეროვნად
შეფასება) ან ახალი საფრთხეებისათვის წინააღმდეგობის გასაწევად;
2) კონტროლები ან იუმს-ის პროცესები არ დაინერგა აღმოუჩენელი საფრთხეების გამო.
შეფასების შედეგების ანგარიშები დაინტერესებულ მხარეებისთვის უნდა მომზადდეს
შესაბამისი ანგარიშგების ფორმატის გამოყენებით (იხ 7.7) ინფორმაციული უსაფრთხოების
შეფასების პროგრამის დანერგვის შესაბამისად. ანალიზის შედეგები მიმოხილული უდნა იქნას
შესაბამისი დაინტერესებული მხარეების მიერ მონაცემთა სათანადოდ გაგების მიზნით.
მონაცემთა ანალიზის შედეგები უნდა იყოს დოკუმენტირებული დაინტერესებული მხარეების
ინფრომირებისათვის.
9.3 შეფასების შედეგების შესახებ ინფორმირება
ინფრომაციის მიმწოდებელმა უნდა განსაზღვროს თუ როგორ მოხდეს ინფორმაციული

უსაფრთხოების შეფასების შედეგების მიწოდება, როგორიც არის:
- შეფასების რომელი შედეგების ანგარიში უნდა გავრცელდეს შიგნით ან გარეთ;
- ყოველი დაინტერესებული მხარის შესაბამისი საზომების სია;
- შეფასების სპეციფიური შედეგების მიწოდება ყოველი ჯგუფისთვის სპეციფიკურ ფორმატში;
- დაინტერესებული მხარეებისგან უკუკავშირის მიღების საშუალება, რომელიც გამოიყენება
შეფასების შედეგების სარგებლიანობის ხარისხის და ინფორმაციული უსაფრთხოების
შეფასების პროგრამის ეფექტიანობის დასადგენად;
შეფასების შედეგები უნდა მიეწოდოს შიდა დაინტერესებულ მხარეებს, მათ შორის:
- შესაფასებელ კლიენტებს (იხ 7.5.8);
- ინფრომაციის მფლობელებს (იხ 7.5.8);
- ინფორმაციული უსაფრთხოების რისკების მართვაზე პასუხისმგებელ პერსონალს,
განსაკუთრებით სადაც რისკების შეფასების ხარვეზებია აღმოჩენილი;
- გაუმჯობესების საჭიროების მქონე არეებზე პასუხისმგებელ პერსონალს.
ორგანიზაციას, ზოგიერთ შემთხვევაში, შეიძლება მოეთხოვებოდეს გარე დაინტერესებული

მხარეებისათვისაც ინფორმაციის მიწოდება, მათ შორის მარეგულირებელი ორგანოების,
აქციონერების, კლიენტების და მომწოდებლებისთვის. სასურველია, რომ გარეთ გამავალი
შეფასების ანგარიში შეიცავდეს მხოლოდ გარე მოხმარებისათვის განკუთვნილ მონაცემებს და
გამოქვეყნებამდე დასტურდებოდეს მენეჯმენტის და შესაბამისი დაინტერესებული მხარეების
მიერ.

10 იფნორმაციული უსაფრთხოების შეფასების პროგრამის შეფასება და
გაუმჯობესება
დროის დადგენილ ინტერვალებში ორგანიზაციამ უნდა შეაფასოს შემდეგი:

ა) დანერგილი ინფორმაციული უსაფრთხოების შეფასების პროგრამის ეფექტიანობა, რათა
დარწმუნდეს:
1) შეფასების შედეგების ეფექტურად მიღებაში;
2) გეგმის პუნქტების შესრულებაში;
3) დანერგილ იუმს-ში და კონტროლებში ცვილებების განხილვაში;
4) გარემოს ცვლილებების (მაგ. მოთხოვნები, კანონმდებლობა, ან ტექნოლოგია)
გათვალისწინების უზრუნველყოფაში;
ბ) მიღებული შეფასების შედეგების გამოყენებადობა შესაბამისი ინფორმაციული საჭიროებების
უზრუნველსაყოფად.
მენეჯმენტმა უნდა დაადგინოს ასეთი შეფასების სიხშირე, უნდა დაგეგმოს პერიოდული

გადამოწმება და ასეთი გადამოწმებები შესაძლებელი გახადოს გარკვეული მექანიზმების
ჩამოყალიბებით (იხ 27001:2005-ის 7.2)
შესაბამისი ღონისძიებები უნდა მოიცავდეს:

1) შეფასების კრიტერიუმების დადგენას ინფორმაციული უსაფრთხოების შეფასების
პროგრამაში (იხ 10.2);
2) შეფასების ზედამხედველობას, მიმოხილვასა და გადამოწმებას (იხ 10.3);
3) გაუმჯობესებების დანერგვას (იხ. 10.4)
10.2 ინფორმაციული უსაფრთხოების შეფასების პროგრამის შეფასების

კრიტერიუმების დადგენა
ორგანიზაციამ უნდა განსაზღვროს ინფორმაციული უსაფრთხოების შეფასების პროგრამის

ეფექტიანობის შეფასების კრიტერიუმები, ისევე როგორც მიღებული შეფასების შედეგების
სარგებლიანობა. კრიტერიუმები უნდა განისაზღვროს ინფორმაციული უსაფრთხოების
შეფასების პროგრამის დანერგვის დასაწყისში, ორგანიზაციის ტექნიკური და ბიზნეს მიზნების
გათვალისწინებით. სავარაუდო კრიტერუიმები, როდესაც ორგანიზაციამ უნდა შეაფასოს და
დანერგოს ინფორმაციული უსაფრთხოების შეფასების პროგრამა, არის:
- ორგანიზაციაში ბიზნეს მიზნების ცვილება;
- იურიდიული, მარეგულირებელი ან სახელშეკრულებო მოთხოვნების ცვლილება
ინფორმაციული უსაფრთხოების მიმართ;
- ორგანიზაციაში ინფორმაციული უსაფრთხოების მოთხოვნების ცვლილება;
- ორგანიზაციაში ინფორმაციული უსაფრთხოების რისკების ცვლილება;
- შესაბამისი მონაცემების ხელმისაწვდომობის ან/და შესაფასებელი მონაცემის შეგროვების
გაზრდილი შესაძლებლობები;

- შესაფასებელი ობიექტის ან/და მისი ატრიბუტების შეცვლა;
შემდეგი კრიტერიუმები შეიძლება გამოიყენებოდეს შეფასების შედეგების შესამოწმებლად:

ა) შეფასების შედეგები უნდა იყოს:
1) ადვილად გასაგები;
2) დროულად მიწოდებული;
3) ობიექტური, შედარებადი და განმეორებადი.
ბ) შეფასების შედეგების განვითარების დადგენილი პროცესები უნდა იყოს:
1) მკაფიოდ განსაზღვრული;
2) ადვილად გამოყენებადი;
3) ზუსტი თანმიმდევრობით შესრულებადი.
გ) შეფასების შედეგები სასარგებლო უნდა იყოს ინფორმაციული უსაფრთხოების
გაუმჯობესებისთვის;
დ) შეფასების შედეგები უნდა აკმაყოფილებდეს შესაბამის ინფრომაციულ საჭიროებას.
10.3 ინფრომციული უსაფრთხოების შეფასების პროგრამის

ზედამხედველობა, მიმოხილვა და შემოწმება
დადგენილი კრიტერიუმების მიხედვით, ორგანიზაციამ უნდა აწარმოოს თავისი

ინფორმაციული უსაფრთხოების შეფასების პროგრამის ზედამხედველობა, მიმოხილვა და
შემოწმება (იხ 10.2). ორგანიზაციამ უნდა გამოავლინოს ინფომაციული უსაფრთხოების
შეფასების პროგრამის გაუმჯობესების პოტენციური საჭიროებები, როგორიცაა:
ა) გამოუსადეგარი შეფასების კონსტრუქციების გადახედვა და ამოღება;
ბ) ინფორმაციული უსაფრთხოების შეფასების პროგრამისათვის რესურსების გადანაწილება.
ორგანიზაციამ აგრეთვე უნდა გამოავლინოს დანერგილი იუმს-ის გაუმჯობესებების

პოტენციური საჭიროებები, მათ შორის გავრცელების სფერო, პოლიტიკები, მიზნები,
კონტროლები, პროცესები და პროცედურები; აგრეთვე მენეჯმენტის გადაწყვეტილებების
დოკუმენტირება, რათა მოახდინოს მომდევნო მიმოხილვების შედარება და ტენდენციების
ანალიზი.
ასეთი შეფასების შედეგები და გაუმჯობესების გამოვლენილი პოტენციური საჭიროებები უნდა

მიეწოდოს შესაბამის დაინტერესებულ მხარეებს საჭირო გაუმჯობესებების შესახებ
გადაწყვეტილებების მისაღებად. ორგანიზაციამ უნდა უზრუნველყოს დაინტერესებული
მხარეებისგან მოსალოდნელი უკუკავშირი და გამოვლენილი პოტენციური გაუმჯობესებების
საჭიროებები. ორგანიზაციას უნდა ესმოდეს, რომ უკუკავშირი არის ინფორმაციული
უსაფრთხოების შეფასების პროგრამის ერთერთი შემავალი რესურსი ეფექტიანობის
თვალსაზრისით.
10.4 გაუმჯობესებების დანერგვა

ორგანიზაციამ უნდა უზრუნველყოს შესაბამისი დაინტერესებული მხარეების მიერ საჭირო
გაუმჯობესებების გამოვლენა ინფორმაციული უსაფრთხოების შეფასების პროგრამის
ფარგლებში (იხ 27001:2005-ის 7.3 ე). გამოვლენილი გაუმჯობესებები უნდა დადასტურდეს
მემეჯმენტის მიერ. დამტკიცებული გეგმა უნდა იყოს დოკუმენტირებული და მიეწოდოს
შესაბამის დაინტერესებულ მხარეებს. ორგანიზაციამ უნდა უზრუნველყოს ინფორმაციული
უსაფრთხოების შეფასების პროგრამის დამტკიცებული გაუმჯობესებების გეგმიური დანერგვა.
დანართები
დანართი ა წარმოადგენს ინფორმაციული უსაფრთხოების შესაფასების სტრუქტურული
მოდელის მაგალითს, რაც მოიცავს ყველა იმ კომპონენტს, რაც აღწერილია პუნქტში 5.4.
ორგნიზაციას შეუძლია შეცვალოს მოცემული ნიმუში საჭიროებისამებრ.
დანართი ბ
(ინფორმაციისათვის)
შეფასების კონსტრუქციების ნიმუშები

ქვემოთ მოცემული პუნტქები წარმოადგენენ შეფასების კონსტრუქციების ნიმუშებს. ამ
ნიმუშების მეშვეობით ნათელი ხდება, თუ როგორ უნდა იქნას გამოყენებული მოცემული
სტანდარტი დანართ ა-ში წარმოდგენილი შაბლონის დახმარებით.
სარჩევი
B.1 იუმს ტრენინგი

B.1.1 იუმს-ში დატრენინგებული პერსონალი
B.1.2 ინფორმაციულ უსაფრთხოებაში ტრენინგი
B.1.3 ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის შესაბამისობა
(Information Security Awareness Compliance)
B.2 პაროლების პოლიტიკები
B.2.1 პაროლის ხარისხი - მექანიკურად/ხელით
B.2.2 პაროლის ხარისხი - ავტომატურად
B.3 იუმს-ის მიმოხილვის პროცესი
B.4 იუმს-ის მუდმივი გაუმჯობესება, ინფორმაციული უსაფრთხოების ინციდენტების
მართვა
B.4.1 ეფექტიანობა
B.4.2 კორექტირება
B.5 მენეჯმენტის ვალდებულება
B.6 მავნე კოდის საწინააღმდეგო დაცვა (Protection Against Malicious Code)
B.7 ფიზიკური წვდომის კონტროლები (Physical Entry Controls)
B.8 ლოგ-ფაილების მიმოხილვა
B.9 პერიოდული ტექნიკური მომსახურების მართვა
B.10 მესამე მხარესთან შეთანხმებების უსაფრთხოება
დაკავშირებული პროცესები და დაკავშირებული შეფასების კონსტრუქციების ნიმუშის

კონტროლები შეფასების დასახელებები
კონსტრუქციების
ნიმუშები
პუნქტი 4.2.2 h) B.4.1 ინფორმაციული უსაფრთხოების

ინციდენტის მართვის ეფექტიანობა
პუნქტი 5.2.2 d) B.1.1 იუმს-ში დატრენინგებული პერსონალი
პუნქტი 8.2 B.4.2 კორექტირება

კონტროლი A.6.1.8 B.3 იუმს-ის მიმოხილვის პროცესი
კონტროლი A.6.1.1 და A.6.1.2 B.5 მენეჯმენტის თანხმობა, მზადყოფნა
კონტროლი A.6.2.3 B.10 მესამე მხარესთან დადებული
შეთანხმებების უსაფრთხოება
კონტროლი A.8.2 და A.8.2.2 B.1.2 ტრენინგი ინფორმაციულ
უსაფრთხოებაში
კონტროლი A.8.2 და A.8.2.2 B.1.3 ინფორმაციული უსაფრთხოების შესახებ
ინფორმირებულობის შესაბამისობა
კონტროლი A.9.1.2 B.7 ფიზიკური წვდომის კონტროლები
კონტროლი A.9.2.4 B.9 პერიოდული ტექნიკური მომსახურების

მართვა
კონტროლი A.10.4.1 B.6 მავნე კოდისგან საწინააღმდეგო დაცვა
კონტროლი A.10.10.1. და 10.10.2 B.8 ლოგ-ფაილების მიმოხილვა

კონტროლი A.11.3.1 B.2.1 პაროლის ხარისხი - მექანიკურად/ხელით
კონტროლი A.11.3.1 B.2.2 პაროლის ხარისხი - ავტომატურად
ბ. 1. იუმს ტრენინგი
ბ. 1.1 იუმს-ში დატრენინგებული პერსონალი
შეფასების კონსტრუქციის დადგენა
შეფასების კონსტრუქციის სახელწოდება იუმს-ში დატრენინგებული თანამშრომლები
უნიკალური იდენტიფიცირება ორგანიზაციისთვის სპეციფიკური
შეფასების სტრუქტურული მოდელის დადგინდეს კონტროლის შესაბამისობა
დანიშნულება ორგანიზაციის ინფორმაციული უსაფრთხოების
პოლიტიკასთან
კონტროლის/პროცესის მიზანი/ობიექტი [27001:2005] პუნქტი 5.2.2. ტრენინგი,

ინფორმირებულობა და კომპეტენცია
კონტროლი (1)/პროცესი (1) [27001:2005] პუნქტი 5.2.2.დ ტრენინგი,
ინფორმირებულობა და კომპეტენცია.
ორგანიზაციამ უნდა უზრუნველყოს, რომ ყევლა
თანამშრომელი, რომლებსაც იუმს-ის
საფუძველზე დაეკისრათ პასუხისმგებლობები,
არიან კომპეტენტურები საჭირო დავალებების
შესრულებაში: განათლების, ტრენინგის, უნარ-
ჩვევების, გამოცდილებისა და კვალიფიკაციის
დამადასტურებელი დოკუმენტაციით
კონტროლი (2)/პროცესი (2) არჩევითი:იგივე საზომში გაერთიანებული
დაჯგუფებული კონტროლები
შეფასების ობიექტი და ატრიბუტები
შეფასების ობიექტი თანამშრომელთა მონაცემთა ბაზა
ატრიბუტი ტრენინგის დოკუმენტაცია
ძირითადი შეფასების მახასიათებლები (1)
ძირითადი შეფასება/საზომი იუმს-ის წლიური ტრენინგის გეგმის თანახმად,
იმ თანამშრომელთა რაოდენობა, ვისაც ჩაუტარდა
იუმს ტრენინგი
იმ თანამშრომლების რაოდენობა, ვისაც უნდა
ჩაუტარდეს იუმს ტრენინგი
შეფასების მეთოდი იუმს-ის ტრენინგის ჩამტარებლის მიერ
ლოგების/რეგისტრაციის შევსება „ჩაუტარდა“
აღნიშნვნით
შეფასების მეთოდის ტიპი ობიექტური
შკალა ციფრული
შკალის ტიპი პროპორციული
შეფასების ერთეული თანამშრომელი
წარმოებული შეფასების მაჩვენებლის მახასიათებლები
წარმოებული შეფასების მაჩვენებელი იუმს დატრენინგებული თანამშრომლების
პროცენტი
შეფასების ფუნქცია იმ თანამშრომლების რაოდენობა, რომლებსაც
უკვე ჩაუტარდათ იუმს ტრენინგი/იმ
თანამშრომლების რაოდენობა, რომლებსაც უნდა
ჩაუტარდეთ იუმს ტრენინგი * 100
ინდიკატორის მახასიათებლები
ინდიკატორი ფერებით გამოყოფილი კოდები და
იდენტიფიკატორები. დიაგრამა, რომელიც
აჩვენებს შესაბამისობას სხვადასხვა
საანგარიიშგებო პერიოდებში ანალიტიკური
მოდელით განსაზღვრული ერთეულებით
(წითელი, ყვითელი, მწვანე). ორგანიზაციამ უნდა
განსაზღვროს დიაგრამაზე დასატანი საანგარიშო
პერიოდების რაოდენობა
ანალიტიკური მოდელი 0-60%- წითელი; 60-90%- ყვითელი; 90-100%-

მწვანე. ყვითელის შემთხვევაში, თუ პროგრესი
სულ მცირე 10%-ით არ იქნა მიღწეული
კვარტალურად, მაშინ მაჩვენებელის რეიტინგი
ავტომარურად ხდება წითელი.
გადაწყვეტილების მიღების კრიტერიუმების მახასიათებლები
გადაწყვეტილების მიღების კრიტერიუმები წითელი-ჩარევა აუცილებელია, უნდა ჩატარდეს
გამომწვევი მიზეზების ანალიზი, რათა
დადგინდეს შეუსაბამობისა და არაჯეროვნად
შესრულების მიზეზები.
ყვითელი-ინდიკატორზე უნდა განხორციელდეს
დაკვირვება, რათა არ გადაიზარდოს წითელში.
მწვანე-არანაირი ქმედება არაა საჭირო.
ინდიკატორის ინტერპრეტაცია სპეციფიკურია ორგანიზაციიდან გამომდინარე
ანგარიშგებისფორმატები დიაგრამები ფერადი სვეტებით, რაც
გამომდინარეობს გადაწყვეტილების
კრიტერიუმებიდან. მოკლე შეჯამება იმისა, თუ
რას ნიშნავს შეფასებები და შესაძლო
მენეჯერული ქმედებები, რაც თან უნდა
ერთოდეს დიაგრამას.
დაინტერესებული პირები
კლიენტი) იუმს-ზე პასუხისმგებელი მენეჯერები
შეფასების მიმომხილველი იუმს-ზე პასუხისმგებელი მენეჯერები
ინფორმაციის მფლობელი ტრენინგის მენეჯერი - ადამიანური რესურსები
ინფორმაციის შეგროვების ცენტრი ტრენინგის მართვა - ადამიანური რესურსების
დეპარტამენტი
ინფორმაციის კომუნიკატორი იუმს-ზე პასუხისმგებელი მენეჯერები
სიხშირე/პერიოდი
მონაცემთა შეგროვების სიხშირე ყოველთვიური, თვის პირველი სამუშაო დღე
მონაცმეთა ანალიზის სიხშირე კვარტალური
შეფასების შედეგების შესახებ ანგარიშის კვარტალური
წარდგენის სიხშირე
შეფასების რევიზია წლიური მიმოხილვა
შეფასების პერიოდი წლიური
ბ 1.2. ინფორმაციულ უსაფრთხოებაში ტრენინგი
შეფასების კონსტრუქციის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის ტრენინგი ინფორმაციულ უსაფრთხოებაში

სახელწოდება
ნომრით იდენტიფიცირება ორგანიზაციის სპეციფიკიდან გამომდინარე

შეფასების სტრუქტურული მოდელის მიზანი ინფორმაციული უსაფრთხოების შესახებ
ინფორმირებულობის წლიური ტრენინგის
მოთხოვნის შეფასება
კონტროლის/პროცესის მიზანი A.8.2 სამუშაოს შესრულების დროს:
მიზანი: უზრუნველყოფილი იყოს, რომ ყველა
თანამშრომელი, კონტრაქტორი და მესამე მხარის
მომხმარებლები ინფორმირებულები არიან
ინფორმაციული უსაფრთხოების საფრთხეების
და პრობლემების შესახებ, იციან საკუთარი
პასუხისმგებლობები და ვალდებულებები, და
აღჭურვილები არიან შესაბამსიად, რათა მხარი
დაუჭირონ ორგანიზაციულ უსაფრთხოების
პოლიტიკას სათანადო სამუშაო პირობების
უზრუნველსაყოფად, და ამდენად შეამცირონ
ადამიანური ფაქტორით გამოწვეული რისკები.
კონტროლი (1)/პროცესი (1) A.8.2.2 [27001:2005]. ტრენინგი,
ინფორმირებულობა და სწავლება
ინფორმაციული უსაფრთხოების შესახებ
ორგანიზაციის ყველა თანამშრომელმა,
საჭიროების შემთხვევაში, კონტრაქტორებმა და
მესამე მხარის მომხმარებლებმა უნდა მიიღონ
შესაბამისი ტრენინგი და რეგულარული
განახლებები ორგანიზაციის პოლიტიკებისა და
პროცედურების შესახებ, რაც ეს მნიშვნელოვანია
მათი სამუშაოსთვის.
შეფასების ობიექტი თანამშრომლების შესახებ მონაცემთა ბაზა
ატრიბუტი ტრენინგის დოკუმენტაცია
ძირითადი შეფასების/საზომის მახასიათებლები (1)
ძირითადი შეფასება/საზომი იმ თანამშრომელთა რაოდენობა, რომლებმაც

მიიღეს ინფორმაციული უსაფრთხოების შესახებ
წლიური ტრენინგი.
იმ თანამშრომელთა რაოდენობა, რომლებმაც
უნდა მიიღონ ინფორმაციული უსაფრთხოების
შესახებ წლიური ტრენინგი.
შეფასების მეთოდი იუმს-ის ტრენინგის ჩამტარებლის მიერ
ლოგების/რეგისტრაციის შევსება „ჩაუტარდა“
აღნიშნვნით
შკალა ციფრული

შკალის ტიპი პროპორციული
შეფასების ერთეული თანამშრომელი
გამოყვანილი შეფასების მაჩვენებლის სპეციფიკაცია
გამოყვანილი შეფასების მაჩვენებელი იმ თანამშრომლების პროცენტული რაოდენობა,

რომლებმაც მიიღეს ინფორმაციული
უსაფრთხოების შესახებ წლიური ტრენინგი.
შეფასების ფუნქცია იმ თანამშრომელთა რაოდენობა, რომლებმაც

მიიღეს ინფორმაციული უსაფრთხოების შესახებ
წლიური ტრენინგი/იმ თანამშრომელთა
რაოდენობა, რომლებმაც უნდა მიიღონ
ინფორმაციული უსაფრთხოების შესახებ
წლიური ტრენინგი * 100
ინდიკატორის სპეციფიკაცია
ინდიკატორი ფერებით გამოყოფილი კოდები და

იდენტიფიკატორები. დიაგრამა, რომელიც
აჩვენებს შესაბამისობას სხვადასხვა
საანგაშიშგებო პერიოდებში ანალიტიკური
მოდელით განსაზღვრული ერთეულებით
(წითელი, ყვითელი, მწვანე). ორგანიზაციამ უნდა
განსაზღვროს დიაგრამაზე დასატანი საანგარიშო
პერიოდების რაოდენობა
ანალიტიკური მოდელი 0-60%- წითელი; 60-90%- ყვითელი; 990-100%-
მწვანე. ყვითელის შემთხვევაში, თუ პროგრესი
სულ მცირე 10%-ით არ იქნა მიღწეული
კვარტალურად, მაშინ მაჩვენებელის რეიტინგი
ავტომარურად ხდება წითელი.
გადაწყვეტილების მიღების კრიტერიუმების სპეციფიკაცია
გადაწყვეტილების მიღების კრიტერიუმები წითელი-ჩარევა/ინტერვენცია აუცილებელია,

უნდა ჩატარდეს გამომწვევი მიზეზების ანალიზი,
რათა დადგინდეს შეუსაბამობისა და
არაჯეროვნად შესრულების მიზეზები.
ყვითელი-ინდიკატორზე უნდა განხორციელდეს
დაკვირვება, რათა არ გადაიზარდოს წითელში.
მწვანე-არანაირი აქტივობა არაა საჭირო.
ინდიკატორის ინტერპრეტაცია სპეციფიკურია ორგანიზაციიდან გამომდინარე
ანგარიშგების/რეპორტინგის ფორმატები დიაგრამები ფერადი სვეტებით, რაც

გამომდინარეობს გადაწყვეტილების
კრიტერიუმებიდან. მოკლე რეზიუმე იმისა, თუ
რას ნიშნავს შეფასებები და შესაძლო
მენეჯერული აქტივობები, რაც თან უნდა
ერთოდეს დიაგრამას.
კლიენტი იუმს-ზე პასუხისმგებელი მენეჯერები.

უსაფრთხოების მენეჯმენტი. ტრენინგის
მენეჯმენტი.
შეფასების მიმომხილველი უსაფრთხოების მენეჯერი
ინფორმაციის მფლობელი ინფორმაციული უსაფრთხოების ოფიცერი და

ტრენინგის მენეჯერი
ინფორმაციის შეგროვების ცენტრი ტრენინგის მენეჯმენტი - ადამიანური
რესურსების დეპარტამენტი

ბ. 1.3 ინფორმაციული უსაფრთხოების შესახებ ინფორმირებულობის შესაბამისობა

შეფასების კონსტრუქციის დადგენა
შეფასების სტრუქტურული მოდელის ინფორმაციული უსაფრთხოების შესახებ
სახელწოდება ინფორმირებულობის პოლიტიკის შესაბამისობა
ნომრით იდენტიფიცირება ორგანიზაციის სპეციფიკიდან გამომდინარე
შეფასების სტრუქტურული მოდელის მიზანი შესაბამის პერსონალს შორის ინფორმაციული
უსაფრთხოების შესახებ ინფორმირებულობის
პოლიტიკის შესაბამისობის სტატუსის შეფასება
კონტროლის/პროცესის მიზანი A.8.2 სამუშაოს შესრულების დროს:
უზრუნველყოფილი იყოს, რომ ყველა
თანამშრომელი, კონტრაქტორი და მესამე მხარის
მომხმარებლები ინფორმირებულები არიან
ინფორმაციული უსაფრთხოების საფრთხეების
და პრობლემების შესახებ, იციან საკუთარი
პასუხისმგებლობები და ვალდებულებები, და
აღჭურვილები არიან შესაბამისად, რათა მხარი
დაუჭირონ ორგანიზაციულ უსაფრთხოების
პოლიტიკას სათანადო სამუშაო პირობების
უზრუნველსაყოფად, და ამდენად შეამცირონ
ადამიანური ფაქტორით გამოწვეული რისკები.
კონტროლი (1)/პროცესი (1) A.8.2.2 ორგანიზაციის ყველა თანამშრომელმა,
საჭიროების შემთხვევაში, კონტრაქტორებმა და
მესამე მხარის მომხმარებლებმა უნდა მიიღონ
შესაბამისი ტრენინგი და რეგულარული
განახლებები ორგანიზაციის პოლიტიკებისა და
პროცედურების შესახებ, რადგანაც ეს
მნიშვნელოვანია მათი სამუშაოსთვის.
(დანერგვა) იუმს-თვის საჭირო ყველა
თანამშრომელმა უნდა მიიღოს ინფორმაციული
უსაფრთხოების შესახებ ტრენინგი მანამ, სანამ
მიეცემათ ინფორმაციულ სისტემაზე წვდომის
უფლება.
კონტროლი (2)/პროცესი (2) A.8.2.1 მენეჯმენტმა უნდა მოითხოვოს
თანამშრომლებისგან, კონტრაქტორებისგან და
მესამე მხარის მომხმარებლებისგან დაიცვან
უსაფრთხოება ორგანიზაციაში დადგენილი
პოლიტიკებისა და პროცედურების თანახმად
(დანერგვა) იუმს-თვის საჭირო ყველა
თანამშრომელმა უნდა მოაწეროს ხელი
მომხმარებლის შეთანხმებას მანამ, სანამ მიეცემათ
ინფორმაციულ სისტემაზე წვდომის უფლება.
შეფასების ობიექტი 1.1 ინფორმაციული უსაფრთხოების შესახებ
სწავლების ტრენინგის გეგმა/გრაფიკი
1.2 თანამშრომლები, რომლებმაც დაასრულეს
ტრენინგი ან ჯერ კიდევ გადიან ტრენინგის
2.1 ხელშეკრულებებზე /გრაფიკზე ხელმოწერის
გეგმა
2.2 თანამშრომლები, რომლებაც ხელი უკვე
მოაწერეს შეთანხმებებს
ატრიბუტი 1.1 გეგმით განსაზღვრული პერსონალი
1.2 ტრენინგის გათვალისწინებით პერსონალის
სტატუსი
2.1 ხელმოწერისათვის გეგმით განსაზღვრული
პერსონალი
2.2 პერსონალის სტატუსი ხელშეკრულებებზე
ხელმოწერების კუთხით
ძირითადი შეფასების/საზომის სპეციფიკაცია
ძირითადი საზომი 1.1 დღეისათვის დაგეგმილი პერსონალის
რაოდენობა
1.2 იმ პერსონალის რაოდენობა, ვინც ხელი
მოაწერა
2.1 დღეისათვის ხელმოსაწერად დაგეგმილი

პერსონალის რაოდენობა
2.2 დღეისათვის უკვე ხელმოწერილი
პერსონალის რაოდენობა
შეფასების მეთოდი 1.1 იმ დაგეგმილი პეროსნალის რაოდენობა,
რომლებმაც უკვე ხელი მოაწერეს და დაასრულეს
ტრენინგი (მოცემულ მომენტამდე)
1.2 პასუხისმგებელ პირთან იმის გარკვევა, თუ
პერსონალის რამდენმა პროცენტმა დაასრულა
ტრენინგი და მოაწერა ხელი
2.1 იმ დაგეგმიმლი პერსონალის რაოდენობა,
რომელსაც ხელი უნდა მოეწერეა დღევანდელ
დღემდე
2.2 დაგეგმილი პერსონალის როადენობა, ვინც
უკვე ხელი მოაწერა მომხმარებლის შეთანხმებაზე
შეფასების მეთოდის ტიპი 1.1 ობიექტური
1.2 სუბიექტური
2.1 ობიექტური
შკალა 1.1 მთელი რიცხვი ნულიდან უსასრულობამდე
1.2 მთელი რიცხვი ნულიდან ასამდე
2.1 მელი რიცხვი ნულიდან უსასრულობამდე
2.2 მთელი რიცხვი ნულიდან უსასრულობამდე
შკალის ტიპი 1.1 რიგთი
1.2 პროპორცია
2.1 რიგითი
შეფასების ერთეული 1.1 თანამშრომლები
1.2 პროცენტულობა
2.1 თანამშრომლები
2.2 თანამშრომლები
გამოყვანილი შეფასების მაჩვენებლის მახასიათებლები
წარმოებული შეფასების მაჩვენებელი 1. დღეისათვის არსებული პროგრესი
2. ხელმოწერილთა პროგრესი დღეისათვის
შეფასების ფუნქცია 1. დღეისათვის დაგეგმილი ჩატარებული

ტრენინგი, მასზე ხელმოწერა და შესაბამისი
სტატუსის მინიჭება
2. დღეისათვის უკვე ხელმოწერილი პერსონალის
გაყოფა დაგეგმილ პერსონალზე რომლებსაც
დღეისათვის უნდა მოეწერათ ხელი
ინდიკატორის მახასიათებლები
ინდიკატორი ა) სტატუსი, რომელიც გამოიხატება
პროპორციების კომბინაციით;
ბ) ტენდენცია
ანალიტიკური მოდელი ა) დღეისთვის დაგეგმილი პერსონალი
გამრავლებული 100-ზე გაყოფილი
ხელმოწერების დღეისათვის არსებულ
პროგრესზე

ბ) სტატუსი წინა სტატუსებთან შედარება
გადაწყვეტილების მიღების კრიტერიუმები ა) შედეგად მიღებული პროპორცია უნდა დაიყოს
0.9 და 1.1-ს შორის და 0.99 და 1.01-ს შორის, რათა
დაადასტუროს კონტროლის მიზნების მიღწევა;
და;
ბ) ტენდენცია უნდა იყოს მზარდი
მიმართულებით ან სტაბილური.
ინდიკატორის ინტერპრეტაცია ა) ინდიკატორის ინტერპრეტაცია უნდა იყოს
შემდეგნაირი:
 -ორგანიზაციული უსაფრთხოების
ინფორმირებულობის პოლიტიკის
ორგანიზაციული კრიტერიუმები
დამაკმაყოფილებლიათუ: პირველი
შეფარდება ხვდება [0.91.1] და მერე
[0.991.01]; არადამაკმაყოფილებელია თუ:
პირველი შეფარდება ნაკლებია 0.9-ზე ან
მეტია 1.1-ზე და მეორე შეფარდება ხვდება
0.99-სა და 1.01-ს შორის;
 კრიტერიუმი არ სრულდება, როდესაც
მეორე შეფარდება ნაკლებია 0.99-ზე ან
მეტია 1.01-ზე.
 ბ ინდიკატორის ინტერპრეტაცია უნდა
იყოს შემდეგნაირი:
-მზარდი მიმართულებით ტენდენცია
მიუთითებს გაუმჯობესებულ შესატყვისობას,
დაცემის ტენდენცია კი მიუთითებს
გაუარესებულ შესაბამისობაზე. ტენდენციის
ცვლილების ხარისხმა შესაძლოა მოგვცეს ხედვა
კონტროლის დანერგვის ეფექტიანობის შესახებ.
ორივე მიმართულებით არსებული სწრაფი
ცვლილებები მოითხოვს კონტროლის
განხორციელების შემოწმებას, რათა
გამოვლინდეს გამომწვევი მიზეზები. ნეგატიური
ტენდენციების შემთხვევაში შესაძლოა საჭირო
გახდეს მენეჯმენტის ჩარევა. დადებითი
ტენდენციები კი შესწავლილი უნდა იქნას
პოტენციული საუკეთესო გამოცდილების
დასადგენად.
ანგარიშგების/რეპორტინგის ფორმატები სტანდარტული ფონტი=კრიტერიუმების
დაკმაყოფილება
კურსივი ფონტი=კრიტერიუმების
დაუკმაყოფილება
მსხვილი (ბოლდი) ფონტი=კრიტერიუმებს
საერთოდ არ პასუხობს
კლიენტი იუმს-ზე პასუხისმგებელი მენეჯერები.

უსაფრთხოების მენეჯმენტი. ტრენინგის
მენეჯმენტი.
ინფორმაციის მფლობელი ინფორმაციული უსაფრთხოების ოფიცერი და
ტრენინგის მენეჯერი
ინფორმაციის შეგროვების ცენტრი ტრენინგის მენეჯმენტი - ადამიანური
რესურსების დეპარტამენტი
სიხშირე
ბ. 2. პაროლების პოლიტიკები
ბ 2.1 პაროლების ხარისხი - არაავტომატიზებული შეფასების მეთოდი

შეფასების სტრუქტურული მოდელის იდენტიფიკაცია
შეფასების სტრუქტურული მოდელის
პაროლის ხარისხი
ნომრით იდენტიფიკატორი ორგანიზაციაზე დამოკიდებული
ორგანიზაციის ინფორმაციული სისტემებზე
წვდომისათვის განკუთვნილი, მომხმარებლების მიერ
დანიშნულება
გამოყენებული პაროლების ხარისხის შემოწმება
კონტროლის/პროცესის მიზანი მომხმარებლის შეზღუდვა სუსტი პაროლის არჩევაში
ა 11.3.1 მომხმარებლები ვალდებულნი არიან მიყვნენ
არსებულ პრაქტიკებს პაროლის შერჩევის და
გამოყენების თვალსაზრისით.
დანერგვა
ყველა მომხმარებელი ვალდებულია აირჩიოს ამოცნობის
მიმართ მდგრადი პაროლი ყოველი სისტემისათვის,
რომლის:
1) სიგრძე 8 სიმბოლოზეზე მეტია;
2) არ ეფუძნება ისეთ ლოგიკას, რასაც სხვა პირი
კონტროლი (1)/პროცესი (1)
ადვილად გამოიცნობს, მაგ სახელები, ტელეფონის
ნომრები და დაბადების თარიღები, და ა.შ.
3) არ შეიცავს ლექსიკონში არსებულ არცერთ სიტყვას; 4)

არ შეიცავს თანმიმდევრულ სიმბოლოებს ან ციფრებს ან
მხოლოდ ციფრებს ან ხმოლოდ სიმბოლოებს
ყველა მომხმარებელის ანგარიშის და პაროლების მართვა

ორგანიზაციის ი.ტ. სისტემებესითვის უნდა ხდებ
სამომხმარებლო სისტემის მიერ.

შეფასების ობიექტი მომხმარებელთა პაროლების ბაზა
ატრიბუტი ინდივიდუალური პაროლები
ძირითადი საზომის სპეციფიკაცია (ყოველი ძირითადი საზომისთვია [1..n])
1. რეგისტრირებულ პაროლთა რაოდენობა
2. პაროლების რაოდენობა თითოეული
ძირითადი საზომი
მომხმარებლისთვის, რომლებიც აკმაყოფილებენ
პაროლების ხარისხის პოლიტიკას
1. მომხმარებელთა ბაზაში პაროლების დათვლა
შეფასების მეთოდი 2. ყოველ მომხმარებელთან გარკვევა, თუ რამდენი
პაროლი აკმაყოფილებს ორგანიზაციის პოლიტიკას.
1. ობიექტური
შეფასების მეთოდის ტიპი
2. სუბიექტური
1. 0-დან უსასრულობამდე მთელი რიცხვები
შკალა
2. 0-დან უსასრულობამდე მთელი რიცხვები
1. რიგითი
შკალის ტიპი
1. პაროლები
საზომი ერთეული
გამოყვანილი საზომის სპეციფიკაცია
ორგანიზაციულ პოლიტიკასთან შესაბამისობაში მყოფი
გამოყვანილი საზომი
პაროლების სრული რაოდენობა.
[ყოველი მომხმარებლის ორგანიზაციულ პოლიტიკასთან

შესაბამისობაში მყოფი პაროლები]-ის სიგმა
ა) ორგანიზაციულ პოლიტიკასთან შესაბამისობაში
მყოფი პაროლების შეფარდება
ინდიკატორი
ბ) პაროლების პოლიტიკასთან შესაბამისობის ტენდენცია
ა) [ორგანიზაციულ პოლიტიკასთან შესაბამისობაში

მყოფი პაროლების სრული რაოდენობა] გაყოფილი
[რეგისტრირებულ პაროლთა რაოდენობაზე]
ბ) შეფარდების შედარება წინა შეფარდებასთან.
თუ შესაბამისი შეფარდება არანაკლებია 0.9-ზე, მაშინ
კონტროლის მიზანი მიღწეულია. 0.8-0.9 ინტერვალში
კონტროლის მიზანი არ მიიღწევა, მაგრამ დადებითი
კრიტერიუმები
ტენდენცია გვიჩვენებს გაუმჯობესებას. 0.8-ზე ნაკლები -
სასწრაფო ზომების მიღებაა საჭირო.
ა) ინდიკატორის აღქმა ხდება შემდეგნაირად:
* ორგანიზაციული კრიტერიუმები შესაბამისობაშია
ინდიკატორის ინტერპრეტაცია ორგანიზაციულ პოლიტიკასთან >0.9 შეფარდებით;
* შესაბამისობაშია არადამაკმაყოფილებლად 0.8-0.9
ინტერვალში

* შეუსაბამოა <0.8 მნიშვნელობით
ბ) ინდიკატორი:
* აღმავალი ტენდენცია გვიჩვენებს გაუმჯობესებულ
შესაბამისობას, დაღმავალი - გაუარესებულს;
* ტენდენციის ცვლილების ხარისხმა შესაძლოა
გვიჩვენოს დანერგილი კონტროლის ეფექტიანობის
მახასიათებელი
* უარყოფითი ტენდენცია შესაძლოა მოითხოვდეს
დამატებით კონტროლებს, როგორიცაა ცნობიერების ან
ტექნიკური საშუალებების გამოყენება ძლიერი
პაროლების შერჩევაში ან პაროლების ცვლილებისას
პერიოდულად.
აუცილებელია დადებითი ტენდენციების შესწავლა
პაროლების ამრთვის პოლიტიკის დროულად
შესრულების მიზნით
კრიტერიუმების მიუღწევლობის შემთხვევა

წარმოადგენს კონფიდენციალურობის გარღვევის მაღალ
რისკს.
გადახრის პოტენციური მიზეზი მოიცავს

უსაფრთხოებაში ინფორმირებულობის ნაკლებობას,
ტექნიკური დანერგვის უზუსტობებს და ინფორმაციული
სისტემის დანერგვისას დროის დეფიციტს.
ტენდენციის გრაფიკი, რომელიც აღწერს პაროლების

რაოდენობას ორგანიზაციულ პოლიტიკასთან
ანგარიშგების ფორმატები
შესაბამისობაში, დამატებით ტენდენციის წინა
ანგარიშგების გრაფიკებთან ერთად.
იუმს-ზე პასუხისმგებელი მენეჯერები, უსაფრთხოების
კლიენტი
მენეჯერი
შეფასების მიმომხილველი უსაფრთხოების მენეჯმენტი
ინფორმაციის მფლობელი სისტემების ადმინისტრატორი
ინფორმაციის შემგროვებელი უსაფრთხოების თანამშრომლები
ინფორმაციის მიმწოდებელი უსაფრთხოების თანამშრომლები
მონაცემთა შეგროვების სიხშირე წლიური
მონაცმეთა ანალიზის სიხშირე წლიური
შეფასების შედეგების შესახებ ანგარიშის
წლიური
შეფასების გადახედვა წინა წლების მიმოხილვა და განახლება
შეფასების პერიოდი წელიწადი
ბ. 2.2. პაროლის ხარისხი - ავტომატურად


პაროლების ხარისხი
ნომრით იდენტიფიკატორი ორგანიზაციაზე დამოკიდებული
მომხმარებლების მიერ ორგანიზაციის ინფორმაციულ
სისტემებზე წვდომისათვის გამოყენებული პაროლების
ხარისხის შეფასება
კონტროლის/პროცესის მიზანი მომხმარებლის შეზღუდვა სუსტი პაროლის არჩევაში
ა 11.3.1 მომხმარებლები ვალდებულნი არიან მიყვნენ
არსებულ პრაქტიკებს პაროლის შერჩევის და
გამოყენების თვალსაზრისით.
დანერგვა:
ყველა მომხმარებელი ვალდებულია აირჩიოს ამოცნობის
მიმართ მდგრადი პაროლი ყოველი სისტემისათვის,
რომლის:
1) სიგრძე 8 სიმბოლოზეზე მეტია;
2) არ ეფუძნება ისეთ ლოგიკას, რასაც სხვა პირი
ადვილად გამოიცნობს, მაგ სახელები, ტელეფონის
ნომრები და დაბადების თარიღები, და ა.შ.
3) არ შეიცავს ლექსიკონში არსებულ არცერთ სიტყვას; 4)

არ შეიცავს თანმიმდევრულ სიმბოლოებს ან ციფრებს ან
მხოლოდ ციფრებს ან ხმოლოდ სიმბოლოებს
ყველა მომხმარებელის ანგარიშის და პაროლების მართვა

ორგანიზაციის ი.ტ. სისტემებესითვის უნდა ხდებოდეს
სამომხმარებლო სისტემის მიერ.
პაროლების სიმტკიცე უნდა შემოწმდეს პაროლების
გატეხვის პროგრამის მიერ.
შეფასების ობიექტი მომხმარებელთა ანგარიშების მონაცემთა ბაზა
ატრიბუტი ყოველი პაროლი, რომელიც არის შენახული ამ ბაზაში
1. პაროლების სრული რაოდენობა
2. გაუტეხავი პაროლების რაოდენობა
1. მომხმარებელთა ანგარიშებზე პროგრამული ბრძანების
გაშვება
შეფასების მეთოდი 2. პაროლების ამომცნობი პროგრამის გაშვება
სამომხმარებლო ჩანაწერების ბაზაზე ჰიბრიდული
თავდასხმის მეშვეობით.
1 მთელი რიცხვები 0-დან უსასრულობამდე
შკალა
2 მთელი რიცხვები 0-დან უსასრულობამდე

გამოყვანილი საზომი არა
შეფასების ფუნქცია არა
1. 4 საათის ფარგლებში გატეხილი პაროლების
ინდიკატორი შეფარდება
2. 1-ის ტენდენციური ანალიზი
ა) [გაუტეხავი პაროლების რაოდენობა] გაყოფილი
ანალიტიკური მოდელი [პაროლების სრულ რაოდენობაზე]
ბ) შეფარდების შედარება წინა შეფარდებებთან.
კონტროლის მიზნები მიღწეულია და არანაირი
დამატებითი მოქმედება არაა საჭირო, თუ შედეგი 0.9-ზე
გადაწყვეტილების მიღების მეტია. 0.8-0.9 შემთხვევაში კონტროლის მიზნები არ
კრიტერიუმები მიიღწევა, მაგრამ დადებითი ტენდენცია გვიჩვენებს
გაუმჯობესებას. თუ შედეგი 0.8-ზე ნაკლებია, მაშინ
აუცილებილი ქმედებაა ჩასატარებელი.
1 ინდიკატორის ინტერპრეტაცია უდნა ხდებოდეს
შემდეგნაირად:
* ორგანიზაციული პაროლების პოლიტიკის
შესაბამისობის კრიტერიუმები >0.9-ზე
* ორგანიზაციული პაროლების პოლიტიკასთან
შესაბამისობის ორგანიზაციული კრიტერიუმები
არადამაკმაყოფილებლად მიიღწევა ინტერვალში 0.8-0.9
* ორგანიზაციული პაროლების პოლიტიკასთან
შესაბამისობა ვერ მიიღწევა თუ კრიტერიუმი <0.8-ზე.
ინტერპრეტაცია:
* აღმავალი ტენდენცია გვიჩვენებს შესაბამისობის
გაუმჯობესებას, დაღმავალი - გაუარესებას
ინდიკატორის ინტერპრეტაცია
ტენდენციის ცვლილების ხარისხმა შესაძლოა
დანერგილი კონტროლების შესახებ მოგვცეს
დამატებითი ინფორმაცია .
* უარყოფითი ტენდენცია შეიძლება მოითხოვდეს
დამატებით კონტროლებს, ისეთი როგორც ცნობადობა,
ან ტექნიკური საშუალებები, რომელიც ხელს შეუწყობს
მტკიცე პაროლების შერჩევას და პაროლების
პერიოდულად გამოცვლას.
* დადებითმა ტენდენციამ შეიძლება მოგვცეს
ინფორმაცია მოსალოდნელი მიზნის მიღწევის ვადების
შესახებ პაროლების მიერ პოლიტიკის
დაკმაყოფილებაზე.

კრიტერიუმის დაუკმაყოფილებლობის შედეგი/გავლენა
აისახება პაროლის გატეხვადობის გაზრდილ რისკზე,
რამაც შესაძლოა გამოიწვიოს არასანქცირებული წვდომა.
ცვალებადობის პოტენციური მიზეზები არის
უსაფრთხოების შესახებ ინფორმირებულობის
უკმარისობა, ტექნიკური დანერგვის ნაკლოვანებები და
ინფორმაციული სისტემის დანერგვისას დროის
უკმარისობა.
ტენდენციის გრაფიკი, რომელიც აღწერს პაროლების
გატეხვადობას ყველა ტესტირებულ ჩანაწერში,
დამატებით ტენდენციის წინა ანგარიშგების
გრაფიკებთან ერთად.
კლიენტი
შეფასების მიმომხილველი უსაფრთხოების მენეჯმენტი
ინფორმაციის მფლობელი სისტემების ადმინისტრატორი
ინფორმაციის შემგროვებელი უსაფრთხოების თანამშრომლები
ინფორმაციის მიმწოდებელი უსაფრთხოების თანამშრომლები
მონაცემთა შეგროვების სიხშირე კვირეული
მონაცმეთა ანალიზის სიხშირე კვირეული
კვირეული
შეფასების გადახედვა ყოველწლიური მიმოხილვა და განახლება
შეფასების პერიოდი 3 წელი
ბ. 3. იუმს-ის მიმოხილვის პროცესი

იუმს-ის მიმოხილვის პროცესი
ნომრით იდენტიფიკატორი ორგანიზაციიდან გამომდინარე
შემოწმება იმისა, თუ რამდენად არის დასრულებული
ინფორმაციული უსაფრთხოების დამოუკიდებელი
განხილვა
კონტროლის/პროცესის მიზანი ინფორმაციული უსაფრთხოების მართვა ორგანიზაციაში
ა 6.1.8 ორგანიზაციის მიდგომა ინფორმაციული

უსაფრთხოების მართვისა და დანერგვისადმი (მაგ.
კონტროლის მიზნები, კონტროლები, პოლიტიკები,
პროცესები, და ინფრომაციული უსაფრთხოების
პროცედურები) უნდა გადაიხედოს გარკვეული დროის
დროის ინტერვალებში, ან როდესაც ხდება
მნიშვნელოვანი ცვლილება უსაფრთხოებაში.
(დანერგვა)

კვარტალურად, დამოუკიდებელი უსაფრთხოების
კონსულტანტის მიერ ტარდება ინფორმაციული
უსაფრთხოების მართვის და მისი დანერგვისადმი
ორგანიზაციის მიდგომის განხილვა.
1. მესამე მხარეების განხილვის/მიმოხილვის ანგარიშები

შეფასების ობიექტი
2. მესამე მხარეების განხილვის გეგმები
1. მესამე მხარეების მიერ მოწოდებული განხილვები
2. მესამე მხარეების დაგეგმილი განხილვები
1. მესამე მხარის მიერ ჩატარებული მიმოხილვების
2. მესამე მხარეების მიერ დაგეგმილი მიმოხილვების
სრული რაოდენობა
1. მესამე მხარეების მიერ ჩატარებული პერიოდული
მიმოხილვების შესახებ ანგრიშების რაოდენობა
შეფასების მეთოდი
2. მესამე მხარეების მიერ დაგეგმილი მიმოხილვების
სრული რაოდენობა
1.მთელი რიცხვები 0-დან უსასრულობამდე
შკალა
2. მთელი რიცხვები 0-დან უსასრულობამდე
1. მიმოხილვა
2. მიმოხილვა
დასრულებული დამოუკიდებელი მიმოხილვების
პროგრესის მაჩვენებელი
[მესამე მხარეების მიერ ჩატარებული მიმოხილვები]
ანალიტიკური მოდელი გაყოფილი [ მესამე მხარეების მიერ დაგეგმილი
მიმოხილვების სრული რაოდენობაზე]
ინდიკატორის შედეგი უნდა ხვდებოდეს ინტერვალში
0.8-1.1 კონტროლის მიზნების მისაღწევად. უნდა იყოს
0.6-ზე მეტი თუ ვერ აკმაყოფილებს პირველად მიზანს.
ინდიკატორის ინტერპრეტაცია ინდიკატორის ინტერპრეტაცია უნდა იყოს შემდეგნაირი:

მესამე მხარეების მიერ ჩატარებული მიმოხილვა
დამაკმაყოფილებლად ჩაითვლება, როდესაც
ინფორმაციული უსაფრთხოების მართვის
ორგანიზაციული კრიტერიუმები ხვდება ინტერვალში
0.8-1.1
ორგანიზაციული კრიტერიუმები მიღწეულ იქნა
არადამაკმაყოფილებლად როდესაც 0.6<=
შეფარდება<=0.8 ან შეფარდება>1.1. უნდა
განხორციელდეს ზედამხედველობა, რათა
უზრუნველყოფილი იყოს შესაბამისი პროგრესი.
ორგანიზაციული კრიტერიუმები არ მიიღწევა, როდესაც

შეფარდება <0.6-ზე. საჭიროა დაუყოვნებლივი ჩარევა,
რათა შესაბამისი პროგრესი უზრუნველყოფილი იყოს.
თუ მეორე კვარტლის ბოლოს ა)-ინდიკატორი
არადამაკმაყოფილებელია, მაკორექტირებელი
ღონისძიებაა საჭირო და ამის თაობაზე უნდა ეცნობოს
იუმს-ზე პასუხისმგებელ მენეჯმენტს.
გადახრის პოტენციური მიზეზი შეიძლება იყოს

არასაკმარისი ბიუჯეტი, არასწორი დაგეგმვა და
კრიტიკული პერსონალის/მენეჯმენტის მზადყოფნის
ნაკლებობა.
დიაგრამა, რომელიც ასახავს რამოდენიმე საანგარიშო
პერიოდის მანძილზე გადაწყვეტილების მიღების
კრიტერიუმების მეშვეობით დადგენილ საზღვრებთან
შესაბამისობას.
იუმს-ზე პასუხისმგებელი მენეჯერები, სისტემის
შეფასების კლიენტი
ხარისხის მენეჯერი.
ინფორმაციის მფლობელი იუმს-ზე პასუხისმგებელი მენეჯერები
ინფორმაციის შემგროვებელი შიდა აუდიტი. ხარისხის მენეჯერი
შიდა აუდიტი. ხარისხის მენეჯერი. იუმს-ზე
ინფორმაციის მიმწოდებელი
პასუხისმგებელი მენეჯერები.
მონაცემთა შეგროვების სიხშირე ყოველკვარტალურად
მონაცმეთა ანალიზის სიხშირე ყოველკვარტალურად
ყოველკვარტალურად
ყოველი 2 წელიწადში ერთხელ მიმოხილვა და
შეფასების გადახედვა
განახლება
შეფასების პერიოდი 2 წლის ვადით

ბ.4 იუმს-ის მუდმივი გაუმჯობესება, ინფორმაციული უსაფრთხოების ინციდენტების
მართვა
ბ.4.1. ეფექტიანობა
შეფასების სტრუქტურული მოდელის ინფრომაციული უსაფრთხოების ინციდენტების
სახელწოდება მართვის ეფექტიანობა
შეფასების სტრუქტურული მოდელის იფნრომაციული უსაფრთხოების ინციდენტების
დანიშნულება მართვის ეფექტიანობის შეფასება
უსაფრთხოების მოვლენების დროული აღმოჩენა და
კონტროლის/პროცესის მიზანი
უსაფრთხოების ინციდენტების მოგვარება.
კონტროლი (1)/პროცესი (1) პუნქტი 4.2.2 თ)
შეფასების ობიექტი იუმს
ატრიბუტი ყოველი ინციდენტი
ძირითადი საზომი წინასწარ განსაზღვრული ზღვრული რაოდენობა
დღეისთვის აღმოჩენილი ინფორმაციული
უსაფრთხოების ინციდენტების რაოდენობა
შკალა რაოდენობრივი
შკალის ტიპი რიგითი
საზომი ერთეული ინციდენტი
გამოყვანილი საზომი ზღვრების გარეთ მყოფი ინციდენტები
ინციდენტების სრული რაოდენობის შედარება
ზღვრულთან
გრაფიკი , რომელზეც არის მუდმივი ზღვრის
მაჩვენებელი ჰორიზონტალური ხაზი შედარებული
რამოდენიმე პერიოდის მანძილზე ინციდენტების
რაოდენობასთან.
წითელი: როდესაც ინციდენტების რაოდენობა აჭარბებს

ზღვარს (ხაზის ზევით ადის), ყვითელი, როდესაც არის
10%-ან დიაპაზონში, მწვანე, როდესაც ინციდენტების
რაოდენობა ზღვრული ხაზიდან 10%-ზე ნაკლებია.

წითელი: ინციდენტების გაზრდილი რაოდენობის
დაუყოვნებლივი გამოძიებაა საჭირო, ყვითელი: საჭიროა
მჭირდო ზედამხედველობა და თუ რიცხვები არ
გაუმჯობესდება, გამოძიების დაწყება, მწვანე: არავითარი
მოქმედება არაა საჭირო.

თუ წითელი აღმოჩნდა 2 საანგარიშო პერიოდში,
საჭიროა ინციდენტების მართვის პროცედურის
გადახედვა, რათა მოხდეს არსებული პროცედურის
ინდიკატორის ინტერპრეტაცია შესწორება ან ახლის დამატება. თუ ტენდენცია არ
გამოსწორდა შემდეგ 2 საანგარიშო პერიოდში, საჭიროა
მაკორექტირებელი ღონისძიება, მაგალითად იუმს-ის
ფარგლების გაფართოების შეთავაზება.
ანგარიშგების ფორმატები გრაფიკი
იუმს-ის მართვის კომიტეტი, იუმს-ზე პასუხისმგებელი
შეფასების კლიენტი მენეჯერები, უსაფრთხოების მენეჯმენტი, ინციდენტების
მენეჯმენტი
ინფორმაციის შემგროვებელი ინციდენტების მართვის მენეჯერი
ინფორმაციის მიმწოდებელი იუმს-ის მართვის კომიტეტი
მონაცემთა შეგროვების სიხშირე ყოველთვიურად
მონაცმეთა ანალიზის სიხშირე ყოველთვიურად
ყოველთვიურად
შეფასების გადახედვა ექვსი თვე
შეფასების პერიოდი ყოველთვიურად
ბ. 4.2. კორექტირება
მაკორექტირებელი ქმედების განხორციელება
შეფასების სტრუქტურული მოდელის მაკორექტირებელი ქმედების განხორციელების
დანიშნულება წარმადობის შეფასება
პუნქტი 8.2 (27001:2005) მაკორექტირებელი ქმედება
იუმს-თან შეუსაბამობის შემთხვევაში ორგანიზაცია
ვალდებულია განახორციელოს გარკვეული ქმედება,
რათა თავიდან აიცილოს შეუსაბამობის განმეორება.
მაკოერქტირებელი ქმედების დოკუმენტირებული
პროცედურა უნდა აღწერდეს მოთხოვნებს შემდეგი
საკითხებისთვის:
ა) შეუსაბამობების აღმოჩენა;
ბ) შეუსაბამობების მიზეზების განსაზღვრა;
კონტროლი (1)/პროცესი (1) გ) ქმედების საჭიროების განსაზღვრა განმეორების
თავიდან აცილების მიზნით;
დ) საჭირო მაკორექტირებელი ქმედების
განხორციელება;
ე) განხორციელებული ქმედების შედეგების
დაფიქსირება;

ვ/) განხორციელებული მაკორექტირებელი ქმედების
გადახედვა.
შეფასების ობიექტი იუმს
ატრიბუტი ყოველი ინციდენტი
ძირითადი საზომი წინასწარ განსაზღვრული ზღვრული რაოდენობა
დღეისთვის აღმოჩენილი ინფორმაციული
უსაფრთხოების ინციდენტების რაოდენობა
შკალა რაოდენობრივი
საზომი ერთეული ინციდენტი
გამოყვანილი საზომი ზღვრების გარეთ მყოფი ინციდენტები
ინციდენტების სრული რაოდენობის შედარება
ზღვრულთან
გრაფიკი , რომელზეც არის მუდმივი ზღვრის
მაჩვენებელი ჰორიზონტალური ხაზი შედარებული
რამოდენიმე პერიოდის მანძილზე ინციდენტების
რაოდენობასთან.
წითელი: როდესაც ინციდენტების რაოდენობა აჭარბებს

ზღვარს (ხაზის ზევით ადის), ყვითელი, როდესაც არის
10%-ან დიაპაზონში, მწვანე, როდესაც ინციდენტების
რაოდენობა ზღვრული ხაზიდან 10%-ზე ნაკლებია.

წითელი: ინციდენტების გაზრდილი რაოდენობის
დაუყოვნებლივი გამოძიებაა საჭირო, ყვითელი: საჭიროა
მჭირდო ზედამხედველობა და თუ რიცხვები არ
გაუმჯობესდება, გამოძიების დაწყება, მწვანე: არავითარი
მოქმედება არაა საჭირო.
თუ წითელი აღმოჩნდა 2 საანგარიშო პერიოდში საჭიროა

ინციდენტების მართვის პროცედურის გადახედვა, რათა
მოხდეს არსებული პროცედურის შესწორება ან ახლის
დამატება. თუ ტენდენცია არ გამოსწორდა შემდეგ 2
საანგარიშო პერიოდში, საჭიროა მენეჯმენტის ჩარევა,
მაგალითად იუმს-ის არეალის გაფართოების შეთავაზება.
ანგარიშგების ფორმატები გრაფიკი

იუმს-ის მართვის კომიტეტი, იუმს-ზე პასუხისმგებელი
შეფასების კლიენტი მენეჯერები, უსაფრთხოების მენეჯმენტი, ინციდენტების
მენეჯმენტი

ინფორმაციის შემგროვებელი ინციდენტების მართვის მენეჯერი
ინფორმაციის მიმწოდებელი იუმს-ის მართვის კომიტეტი
შეფასების გადახედვა ექვსი თვე
შეფასების პერიოდი ყოველთვიურად
ბ. 5. მენეჯმენტის ვალდებულება
მენეჯმენტის განხილვის სიხშირე
მენეჯერული მიმოხილვების გათვალისწინებით,
მენეჯმენტის მზადყოფნის და ინფორმაციული
უსაფრთხოების განხილვის შეფასება
ა 6.1 ორგანიზაციაში ინფორმაციული უსაფრთხოების
მართვა (დაგეგმილი).
ორგანიზაციაში ინფორმაციული უსაფრთხოების მართვა
მენეჯერული განხილვების წარმოების დახმარებით.
ა. 6.1.1. მენეჯმენტი ვალდებულია ორგანიზაციაში

აქტიურად მოახდინოს ინფორმაციული უსაფრთხოების
მართვის მხარდაჭერა ცალსახა მითითებების,
მზადყოფნის, დავალებათა გადანაწილების და
ინფორმაციული უსაფრთხოების გათვალისწინებით
(დანერგილი).
კონტროლი (1)/პროცესი (1) ორგანიზაციაში ყოველთვიურად უნდა იკრიბებოდეს
მენეჯმენტი უსაფრთხოების მხარდაჭერის მიზნით
ცალსახა მითითებების, მზადყოფნის, დავალებათა
გადანაწილების და ინფორმაციული უსაფრთხოების
გათვალისწინებით.
იუმს-ის მენეჯერული განხილვა ასევე უნდა მოიცავდეს
სისტემის ხარისხის მართვის განხილვას.
ა 6.1.2 ინფორმაციული უსაფრთხოების კოორდინირება
ინფორმაციული უსაფრთხოების ღონისძიებები უნდა
კონტროლი (2)/პროცესი (2) იყოს შეთანხმებული ორგანიზაციის სხვადასხვა რგოლის
შესაბამისი როლების და ფუნქციების მქონე პირების
მიერ.
1. ინფორმაციული უსაფრთხოების მართვის განხილვის
გეგმა/განრიგი.

2. მენეჯერული განხილვის შეხვედრების ჩანაწერები.
1.1. დაგეგმილი მენეჯერული განხილვის თარიღები.
1.2. მენეჯერთა ჩამონათვალი, რომელიც უნდა
ესწრებოდეს განხილვას.
ატრიბუტი 2.1 შეხვედრების ჩანაწერებში დაფიქსირებული
განხილვის თარიღები.
2.2 მენეჯერები, რომლებიც დაესწრნენ მენეჯერული
განხილვას.
1.1 დღეისათვის დაგეგმილი მენეჯერული განხილვების
რაოდენობა.
1.2 მენეჯერულ განხილვებზე დასასწრები მენეჯერების
2.1.1 დღემდე ჩატარებული დაგეგმილი მენეჯერული
განხილვების რაოდენობა.
2.1.2 დღემდე ჩატარებული დაუგეგმავი მენეჯერული
2.1.3 დღემდე ჩატარებული გადადებული მენეჯერული
2.3 დღემდე ჩატარებულ მენეჯერულ განხილვებზე
დამსწრე მენეჯერების რაოდენობა.
1.1 დღემდე ჩატარებული მენეჯერული განხილვების
რაოდენობის დათვლა
1.2 ყოველი მენეჯერული განხილვის ჭრილში,
შეხვედრაზე დაგეგმილი მენეჯერების რაოდენობის
დათვლა და ახალი ჩანაწერის ჩამატება სპონტანურად
ჩატარებული დაუგეგმავი შეხვედრების რაოდენობა
2.1.1 დღემდე ჩატარებული დაგეგმილი მენეჯერული
განხილვების რაოდენობის დათვლა
2.1.2 დღემდე ჩატარებული დაუგეგმავი მენეჯერული
2.1.3 დღემდე ჩატარებული გადადებული მენეჯერული
2.2 ყველა ჩატარებული მენეჯერული განხილვის
ჭრილში დამსწრე მენეჯერების რაოდენობა.
1.2 ობიექტური და სუბიექტური
2.1.1 ობიექტური
1.1 მთელები ნულიდან უსასრულობამდე
შკალა 2.1.1 მთელები ნულიდან უსასრულობამდე
2.1.2 მთელები ნულიდან უსასრულობამდე
2.1.3 მთელები ნულიდან უსასრულობამდე

2.1.1 რიგითი
1.1 შეხვედრები
1.2 პერსონალი
2.1.1 შეხვედრა
2.1.2 შეხვერდა
2.1.3 შეხვედრა
2.2 პერსონალი
ა) დღემდე ჩატარებული მენეჯერული განხილვების
ბ) მენეჯერულ განხილვებში მონაწილეობის
პროცენტული მაჩვენებელი.
ა) [დღემდე დაგეგმილი მენეჯერული განხილვების
რაოდენობა] + [დღემდე დაუგეგმავი მენეჯერული
განხილვების რაოდენობა] + [დღემდე გადადებული
შეფასების ფუნქცია მენეჯერული განხილვების რაოდენობა]
ბ) ყოველი მენეჯერული განხილვისთვის [მენეჯერულ
განხილვაზე დამსწრე მენეჯერების რაოდენობა]
გაყოფილი [დაგეგმილი მენეჯერების რაოდენობაზე]
ა) დღეისათვის დასრულებული მენეჯერული
ბ) დღეისთვის მენეჯერულ განხილვებზე დასწრების
პროცენტული მაჩვენებელი
ა) [ჩატარებული მენეჯერული განხილვები] გაყოფილი
[დაგეგმილი მენეჯერულ განხილვებზე]
ანალიტიკური მოდელი ბ) მენეჯერულ განხილვებზე დასწრების პროცენტული
მაჩვენებლის საშუალო და სტანდარტული გადახრის
დათვლა.
ინდიკატორის შედეგი ა) უნდა ხვდებოდეს 0.7-1.1

ინტერვალში კონტროლის მიზნების მისაღწევად და
დამატებით ქმედებას არ მოთხოვს. სულ მცირე 0.5-ზე
ზემოთ მაინც უნდა იყოს, რათა მიზანი იყოს მიღწეული.
კრიტერიუმები ბ) როდესაც გადახრა არის დასაშვებ ფარგლებში,
მოსალოდნელია დასწრების საშუალო დონე. ხოლო
დასაშვებზე დიდი დონის გადახრის შემთხვევაში,
საჭიროა დაუგეგმავი შეხვედრების ორგანიზება
სასურველი შედეგის მისაღწევად.

ა) ინდიკატორის ინტერპრეტაცია უნდა იყოს
შემდეგნაირი:
მენეჯერული განხილვის ჭრილში ორგანიზაციაში
ინფორმაციული უსაფრთხოების მართვა არის
მიღწეული თუ 0.7<= შეფარდება<=1.1;
ორგანიზაციული კრიტერიუმი მიღწეულ იქნა
დაუკმაყოფილებლად როდესაც 0.5<=შეფარდება<0.7 ან
როდესაც შეფარდება >1.1. შედეგი შესაძლოა
გვიჩვენებდეს მენეჯმენტის მონდომების სავარაუდო
უკმარისობას და შესაძლოა საჭიროებდეს
მაკორექიტირებელ ქმედებას. შემდგომში საჭიროა
შეფასების შედეგების განხილვა და ზედამხედველობა.
ორგანიზაციის კრიტერიუმები არ მიიღწევა როდესაც
0<=შეფარდება<0.5 . ასეთი შედეგი გვიჩვენებს
მენეჯმენტის მონდომების ნაკლებობას, და მოითხოვს
აუცილებელ ჩარევას მაკორექტირებელი ქმედების
განსახორციელებლად. ზედა დონის მენეჯმენტი
ინფორმირებული უნდა იყოს შედეგის შესახებ. თუ
შედეგი 0-თან ახლოსაა, ეს შესაძლოა ნიშნავდეს ზედა
მენეჯმენტის მონდომების ნაკლებობას. თუ იუმს
მენეჯერები არ მიცნევენ იუმს განხილვებს
პრიორიტეტულად, მაშინ ზედა დონის მენეჯმენტის
ახორციელებდეს ზეწოლას.
თუ კრიტერიუმი არ მიიღწევა, ესე იგი არ არსებობს
მუდმივი და ეფექტური მენეჯერული განხილვის
პროცესი.
ბ) ინდიკატორის ცდომილება შესაძლოა გამოწვეული

იყოს არასწორი დაგეგმარებით, იუმს-ზე
პასუხისმგებელი მენეჯერების არასაკმარისი
მონდომებით, ინეტრესთა კონფლიქტებით,
მენეჯერების გადატვირთულობით.
რამოდენიმე კრიტერიუმის და თარიღის მომცველი
გრაფიკი შეფასების შედეგების აღწერით. მონაცემთა
შეგროვების და ანგარიშგების პერიოდებს განსაზღვრავს
ორგანიზაცია.
იუმს-ზე პასუხისმგებელი მენეჯერები. სისტემის
ხარისხის მენეჯერი.
შიდა იუმს-ის აუდიტის პროგრამაზე პასუხისმგებელი
შეფასების მიმომხილველი
პირი
ინფორმაციის მფლობელი იუმს-ის და ხარისხის გაერთიანებული მენეჯმენტი
ხარისხის მენეჯერი. ინფორმაციული უსაფრთხოების
ინფორმაციის შემგროვებელი
მენეჯერი.
ინფორმაციული უსაფრთხოების მენეჯერი. ხარისხის
ინფორმაციის მიმწოდებელი
მონაცმეთა ანალიზის სიხშირე კვარტალურად
კვარტალურად
შეფასების გადახედვა ყოველ 2 წელიწადში ერთხელ განხილვა და განახლება
შეფასების პერიოდი ყოველი 2 წელიწადში.
ბ.6. მავნე კოდის საწინააღმდეგო დაცვა

მავნე პროგრამებისგან დაცვა.
მავნე პროგრამებისაგან დაცვის ეფექტიანობის შემოწმება
კონტროლის მიზანი ა.10.4 [27001:2005] ინფრომაციის და
პროგრამების მთლიანობის დაცვა. (დაგეგმილი)
კონტროლი ა.10.4.1 მავნე კოდისაგან დაცვის კონტროლი.
კონტროლი (1)/პროცესი (1) მავნე კოდისგან დაცვის აღმოჩენის, ხელშეშლის და

აღდგენის კონტროლები და შესაბამისი მომხმარებლების
ინფორმირებულობის პროცედურების დაინერგვა.

1. ანგარიშები ინციდენტების შესახებ
შეფასების ობიექტი 2. მავნე პროგრამების საწინააღმდეგო პროგრამების
ლოგები.
ატრიბუტი მავნე პროგრამებით გამოწვეული ინციდენტები.
1. მავნე პროგრამებით გამოწვეული ინციდენტების
2. მავნე პროგრამებით გამოწვეული მოგერიებული
თავდასხმების სრული რაოდენობა.
1. ინციდენტების შესახებ ანგარიშებში მავნე
პროგრამებით გამოწვეული უსაფრთხოების
შეფასების მეთოდი ინციდენტების რაოდენობა
2. მოგერიებული თავდასხმების შესახებ ინციდენტების
ჩანაწერების რაოდენობა.
1 ობიექტური
1 მთელები ნულიდან უსასრულობამდე
შკალა
1 რიგითი
1. უსაფრთხოების ინციდენტი
2. ჩანაწერები

გამოყვანილი საზომი მავნე პროგრამისგან დაცვის სიმტკიცე
მავნე პროგრამით გამოწვეული უსაფრთხოების
ინციდენტების რაოდენობა/მავნე პროგრამებით
გამოწვეული აღმოჩენილი და მოგერიებული
თავდასხმების რაოდენობა
სხავდასხვა საანგარიშო პერიოდის განმავლობაში

აღმოჩენილი მოუგერიებელი თავდასხმების ტენდენცია
შეფარდების შედარება წინა პროცენტულ

მაჩნენებლებთან.
გადაწყვეტილების მიღების ანალიტიკურ გრაფიკზე ნაჩვენები ტენდენციის მრუდი
კრიტერიუმები არ უნდა აჭარბებდეს დადგენილ რაოდენობას.
აღმავალი ტენდენცია გვიჩვენებს გაუარესებულ
შესაბამისობას, დაღმავალი ტენდენცია - შესაბამისობის
გაუმჯობესებას.
როდესაც ტენდენცია მკვეთრად იზრდება,
აუცილებელია მიზეზის გამოძიება და შესაბამისი ზომის
მისაღება.
ტენდენციების გრაფიკი მავნე პროგრამების აღმოჩენის
ანგარიშგების ფორმატები და პრევენციის შეფარდების წინა პერიოდების
შეფასების კლიენტი უსაფრთხოების მენეჯემენტი
შეფასების მიმომხილველი უსაფრთხოების მენეჯემენტი
ინფორმაციის მფლობელი უსაფრთხოების ადმინისტრატორი
უსაფრთხოების მენეჯემენტი, უსაფრთხოების
ადმინისტრატორი, ქსელის მენეჯერი
ინფორმაციის მიმწოდებელი მომსახურების კოორდინატორი
მონაცემთა შეგროვების სიხშირე ყოველდღიურად
შეფასების გადახედვა ყოველწლიური მიმოხილვა
შეფასების პერიოდი ყოველ წელიწადში.
მავნე პროგრამებისგან დაცვა.
მავნე პროგრამებისაგან დაცვის ეფექტიანობის შემოწმება

კონტროლის მიზანი ა.10.4 [27001:2005] ინფრომაციის და
პროგრამების მთლიანობის დაცვა. (დაგეგმილი)
კონტროლი ა.10.4.1 მავნე კოდისაგან დაცვის კონტროლი.
კონტროლი (1)/პროცესი (1) მავნე კოდისგან დაცვის აღმოჩენის, ხელშეშლის და

აღდგენის კონტროლები და შესაბამისი მომხმარებლების
ინფორმირებულობის პროცედურების დაინერგვა.

1. ანგარიშები ინციდენტების შესახებ
შეფასების ობიექტი 2. მავნე პროგრამების საწინააღმდეგო პროგრამების
ლოგები.
ატრიბუტი მავნე პროგრამებით გამოწვეული ინციდენტები.
1. მავნე პროგრამებით გამოწვეული ინციდენტების
2. მავნე პროგრამებით გამოწვეული მოგერიებული
თავდასხმების სრული რაოდენობა.
1. ინციდენტების შესახებ ანგარიშებში მავნე
პროგრამებით გამოწვეული უსაფრთხოების
შეფასების მეთოდი ინციდენტების რაოდენობა
2. მოგერიებული თავდასხმების შესახებ ინციდენტების
ჩანაწერების რაოდენობა.
შკალა
1. უსაფრთხოების ინციდენტი
2. ჩანაწერები
გამოყვანილი საზომი მავნე პროგრამისგან დაცვის სიმტკიცე
მავნე პროგრამით გამოწვეული უსაფრთხოების
ინციდენტების რაოდენობა/მავნე პროგრამებით
გამოწვეული აღმოჩენილი და მოგერიებული
თავდასხმების რაოდენობა
სხავდასხვა საანგარიშო პერიოდის განმავლობაში

აღმოჩენილი მოუგერიებელი თავდასხმების ტენდენცია
შეფარდების შედარება წინა პროცენტულ

მაჩნენებლებთან.
გადაწყვეტილების მიღების ანალიტიკურ გრაფიკზე ნაჩვენები ტენდენციის მრუდი
კრიტერიუმები არ უნდა აჭარბებდეს დადგენილ რაოდენობას.

აღმავალი ტენდენცია გვიჩვენებს გაუარესებულ
შესაბამისობას, დაღმავალი ტენდენცია - შესაბამისობის
გაუმჯობესებას.
როდესაც ტენდენცია მკვეთრად იზრდება,
აუცილებელია მიზეზის გამოძიება და შესაბამისი ზომის
მისაღება.
ტენდენციების გრაფიკი მავნე პროგრამების აღმოჩენის
ანგარიშგების ფორმატები და პრევენციის შეფარდების წინა პერიოდების
შეფასების კლიენტი უსაფრთხოების მენეჯემენტი
შეფასების მიმომხილველი უსაფრთხოების მენეჯემენტი
ინფორმაციის მფლობელი უსაფრთხოების ადმინისტრატორი
უსაფრთხოების მენეჯემენტი, უსაფრთხოების
ადმინისტრატორი, ქსელის მენეჯერი
ინფორმაციის მიმწოდებელი მომსახურების კოორდინატორი
მონაცემთა შეგროვების სიხშირე ყოველდღიურად
შეფასების გადახედვა ყოველწლიური მიმოხილვა
შეფასების პერიოდი ყოველ წელიწადში.
ბ. 7. ფიზიკური წვდომის კონტროლები

შეფასების სტრუქტურული მოდელის ფიზიკური წვდომის კონტროლები წვდომის ბარათების
სახელწოდება მეშვეობით
შეფასების სტრუქტურული მოდელის წვდომის კონტროლის სისტემის არსებობის, საზღვრების
დანიშნულება და ხარისხის ჩვენება
კონტროლის მიზანი ა.9.1 [27001:2005]. ორგანიზაციის
საკუთრებასა და ინფორმაციაზე არანებადართული
ფიზიკური წვდომის, დაზიანების და გავლენის თავიდან
აცილება.
კონტროილ ა.9.1.2 [27001:2005] ფიზიკური
უსაფრთხოების კონტროლები. დაცული არეები
კონტროლი (1)/პროცესი (1) უზრუნველყოფილი უნდა იყოს შესაბამისი წვდომის
კონტროლებით, რათა უზრუნველყოფილი წვდომა იყოს
მხოლოდ ნებადართული პერსონალისთვის.
შეფასების ობიექტი დაცული არეები
ატრიბუტი მაიდენტიფიცირებელი ინფორმაციის ჩანაწერები.

წვდომის ბარათების საშუალებით ფიზიკური წვდომის
კონტროლები.
წვდომის კონტროლის სისტემის მეშვეობით კონტროლი
და შემდეგი ასპექტების შემოწმება:
- საბარათე წვდომის სისტემის არსებობა;
- პინ-კოდების გამოყენება;
- ლოგირების ფუნქციონირება;
- ბიომეტრიული აუტენტიფიკაცია.
შეფასების მეთოდის ტიპი 1 სუბიექტური
0-5
0 - წვდომის სისტემა არ არსებობს
1 - არსებობს წვდომის სისტემა, რომელშიც გამოიყენება
პინ-კოდი.
2 - არსებობს საბარათე წვდომის სისტემა, რომელშიც
გამოიყენება ბარათი.
შკალა
3 - არსებობს საბარათე სისტემა, რომელშიც გამოიყენება
ბარათი და პინ-კოდი,
4 - პუნქტი 3+ ლოგირების სისტემა.
5 -პუნქტი 4 + პინ-კოდი შეცვლილია ბიომეტრიული
აუტენტიფიკაციის საშუალებებით ( თითის ანაბეჭდი,
ხმის ამოცნობა, თვალის გუგის სკანირება, და ა.შ.)
საზომი ერთეული არა
პროგრესის გრაფიკები. წითელი - 0.8-ზე ნაკლები, მწვანე
0.8 და 1-ს შორის
ანალიტიკური მოდელი საზომების ანალიზი.
მისაღებია თუ მნიშვნელობა უდრის 3-ს
3-ზე ნაკლები არადამაკმაყოფილებელი, სადაც (3 -
კონკრეტული კლასი=უსაფრთხოების სისუსტე),
ინდიკატორის ინტერპრეტაცია საჭიროებს დამატებით ღონისძიებებს.
3-ზე მეტი - ფრიად დამაკმაყოფილებელი, სადაც კლასი
გვიჩვენებს სავარაუდო ჭარბ ინვესტიციას.
ანგარიშგების ფორმატები გრაფიკები
შეფასების კლიენტი მენეჯერული კომიტეტი
შეფასების მიმომხილველი შიდა/გარე აუდიტორი
ინფორმაციის მფლობელი ინფრასტრუქტურის მენეჯერი
ინფორმაციის შემგროვებელი შიდა/გარე აუდიტორი

ინფორმაციის მიმწოდებელი შიდა აუდიტი და უსაფრთხოების მენეჯმენტი
მონაცემთა შეგროვების სიხშირე ყოველწლიურად
მონაცმეთა ანალიზის სიხშირე ყოველწლიურად
ყოველწლიურად
შეფასების გადახედვა 12 თვე
შეფასების პერიოდი 12 თვის განმავლობაში
ბ. 8. ლოგ-ფაილების მიმოხილვა
ლოგირების ფაილების განხილვა
ორგანიზაციიდან გამომდინარე უნიკალური
ნომრით იდენტიფიკატორი
იდენტიფიკატორი
კრიტიკული სისტემის ლოგირების ფაილების
რეგულარული განხილვის შესაბამისობის სტატუსის
შემოწმება
კონტროლის მიზანი ა.10.10 [27001:2005] ინფორმაციის
არანებადართული დამუშავების მცდელობების
აღმოჩენა.
კონტროლი ა 10.10.2 [27001:2005] უნდა ჩამოყალიბდეს

ინფორმაციის დამუშავების საშუალებების
კონტროლი (1)
ზედამხედველობის პროცედურები და განხორციელდეს
ზედამხედველობის შედეგების პერიოდული განხილვა.

შეფასების ობიექტი სისტემა
ატრიბუტი კონკრეტული ლოგირების ფაილები
ძირითადი საზომის სპეციფიკაცია (1)
ძირითადი საზომი ლოგირების ფაილების რაოდენობა
განხილვაში მოხვედრილი ლოგირების ფაილების
რაოდენობის შეჯამება
შკალა მთელები 0-დან უსასრულობამდე
საზომი ერთეული ლოგირების ფაილი
ძირითადი საზომი განხილული ლოგირების ფაილების რაოდენობა
იუმს-ის ფარგლებში მოხვედრილი სისტემების
ლოგირების ფაილების შეჯამება
შკალა რიცხვითი
შკალის ტიპი შეფარდება

ძირითადი საზომი იუმს-ის ფარგლებში მყოფი სისტემების რაოდენობა
განხილული ლოგირების ფაილების რაოდენობის
დადგენა
შკალა რუცხვითი
შკალის ტიპი შეფარდება
განხილული ლოგირების ფაილების პროცენტული
მაჩვენებელი დადგენილ დროის მონაკვეთში
(გარკვეული დროის მონაკვეთში განხილული
შეფასების ფუნქცია ლოგირების ფაილების რაოდენობა)/(ლოგირების
ფაილების სრული რაოდენობა)*100
აუდიტის ლოგირების ფაილების ტენდენციის
განხილვის გრაფიკი გარკვეული პერიოდულობით
ანალიტიკური მოდელი სასურველია 100%-კენ აღმავალი გრაფიკი
გადაწყვეტილების მიღების 20%-ზე ნაკლები შედეგის შემთხვევაში უნდა მოხდეს
კრიტერიუმები არასაკმარისი წარმადობის გამოკვლევა.
ორგანიზაციის მიერ დადგენილ მაჩვენებელზე დაბალი
მაჩვენებელი არის არადამაკმაყოფილებელი (სადაც
ორგანიზაციის მიერ დადგენილი - ფაქტობრივი
მნიშვნელობა = უსაფრთხოების სისუსტეს).
უსაფრთხოების სისუსტე მოითხოვს მენეჯმენტის
ოპერატიული ჩარევას. ორგანიზაციის მიერ დადგენილ
მნიშვენელობაზე მაღალი მაჩვენებლები შესაძლოა
გვიჩვენებდეს ჭარბ ინვესტიციას, გარდა იმ
შემთხვევებისა, როდესაც წვდომის მექანიზმები
განპირობებულია რისკების შეფასების შედეგებით.
აღმოჩენილი სისუსტეების ტენდენციების აღმწერი
გრაფიკი მენეჯმენტის მოქმედებების აღწერით.
ინფორმაციის მფლობელი უსაფრთხოების მენეჯერი
ინფორმაციის შემგროვებელი უსაფრთხოების პერსონალი
ინფორმაციის მიმწოდებელი უსაფრთხოების პერსონალი
ყოველკვარტალურად
შეფასების გადახედვა ყოველი 2 წელიწადში განხილვა და განახლება

შეფასების პერიოდი 2 წლის განმავლობაში
ბ. 9. პერიოდული ტექნიკური მომსახურების მართვა

პერიოდული მხარდაჭერის მართვა
შეფასების სტრუქტურული მოდელის განრიგის შესაბამისად მხარდაჭერის ღონისძიებების
დანიშნულება შეფასება
კონტროლის მიზანი ა.9.2 [27001:2005] აქტივების
დაკარგვის, დაზიანების, ქურდობის ან
კომპრომეტირების და ორგანიზაციის საქმიანობის
წყვეტის თავიდან აცილება
კონტროლი ა.9.2.4 [27001:2005] მოწყობილობები უნდა

კონტროლი (1) იყოს სათანადოდ მხარდაჭერილი მათი ხანგრძლივი
ხელმისაწვდომობის და მთლიანობის შესანარჩუნებლად.

1. სისტემის მხარდაჭერის გეგმა/გრაფიკი
2. სისტემის მხარდაჭერის შესახებ ჩანაწერები
1 სისტემის მხარდაჭერის დაგეგმილი თარიღები
2. სისტემის მხარდაჭერის შესრულების თარიღები
1. დაგეგმილი მხარდაჭერის ღონისძიებების თარიღები
2. დასრულებული მხარდაჭერის ღონისძიებების
თარიღები
ძირითადი საზომი 3. დაგეგმილი მხარდაჭერის ღონისძიებების სრული
4. დასრულებული მხარდაჭერის ღონისძიებების სრული
1. სისტემის მხარდაჭერის გეგმიდან დაგეგმილი
თარიღების ამოღება
2. სისტემის მხარდაჭერის გეგმიდან დასრულებული
შეფასების მეთოდი თარიღების ამოღება
3. სისტემის მხარდაჭერის გეგმიდან დაგეგმილი
ღონისძიებების დათვლა
4. მხარდაჭერის ღონისძიებების დათვლა
1. დრო
2. დრო
შკალა
3. მთელები 0-დან უსასრულობამდე
4. მთელები 0-დან უსასრულობამდე
1. სია
2. სია
4. როგითი

1. ინტერვალი
2. ინტერვალი
3. მხარდაჭერის ღონისძიებები
4 მხარდაჭერის ღონისძიებები
თითოეულ დასრულებუი მხარდაჭერის ღონისძიებაზე

მხარდაჭერის შეფერხებების რაოდენობა
ყოველი დასრულებული ღონისძიებისთვის [რეალური

შეფასების ფუნქცია მხარდაჭერის ღონისძიების თარიღს]-[დაგეგმილი
ღონისძიების თარიღი]
1. მხარდაჭერის საშუალო დაყოვნება
2. დასრულებული ღონისძიებების შეფარდება
ინდიკატორი 3. მხარდაჭერის საშუალო შეფერხების ტენდენცია
4. დასრულებული მხარდაჭერის ღონისძიებების
შეფარდების ტენდენცია
1. (ჯამი [დასრულებული მხარდაჭერის ღონისძიების
შეფერხება])/[დასრულებული მხარდაჭერის
ღონისძიებების რაოდენობა]
2. [დასრულებული ღონისძიებების
ანალიტიკური მოდელი რაოდენობა]/[დაგეგმილი ღონისძიებების რაოდენობა]
3. პირველი ინდიკატორის მრავალი პერიოდის

განმავლობაში შედარება
4. მეორე ინდიკატორის მრავალი პერიოდის
განმავლობაში შედარება
1. ორგანიზაციაში არსებული შეთანხმებებიდან
გამომდინარე, მაგალითად, თუ საშუალო დაყოვნება
მყარად გვიჩვენებს 3 დღეზე მეტს, საჭიროა მიზეზების
გამოკვლევა.
გადაწყვეტილების მიღების 2. დასრულებული მხარდაჭერის ღონისძიებების
კრიტერიუმები შეფარდება უნდა აღემატებოდეს 0.9-ს
3. ტენდენცია უნდა იყოს სტაბილურად უცვლელი ან 0-
თან ახლოს
4. ტენდენცია უნდა იყოს სტაბილუად უცვლელი ან
აღმავალი.
ინდიკატორი გვეხმარება მოწყობილობათა მხარდაჭერის
პროცესის ხარისხის აღწერაში.
გრაფიკი, რომელიც გვიჩვენებს მხარდაჭერის
დაყოვნების საშუალო გადახრას, აქვე დატანილი უნდა
იყოს წინა საანაგრიშო გრაფიკები და არსებული
სისტემები.

ინფორმაციის მფლობელი სისტემის ადმინისტრატორი
მონაცემთა შეგროვების სიხშირე წლიური
მონაცმეთა ანალიზის სიხშირე წლიური
წლიური
შეფასების გადახედვა წლიური
ბ. 10. მესამე მხარესთან შეთანხმებების უსაფრთხოება

შეფასების სტრუქტურული მოდელის მესამე მხარეებთან დადებული შეთანხმებების

სახელწოდება უსაფრთხოება
მესამე მხარეებთან გაფორმებულ შეთანხმებებში
რამდენად არის განხილული პერსონალური
ინფორმაციის დამუშავების უსაფრთხოების საკითხები
კონტროლის მიზანი: ა.6.2 [27001:2005] ორგანიზაციის
ინფორმაციის და ინფორმაციული დამუშავების
კონტროლის/პროცესის მიზანი საშუალებების უსაფრთხოების შენარჩუნება, რომლის
წვდომა, დამუშავება, წვდომა ან მართვა ხდება მესამე
მხარის მიერ.
კონტროლი ა.6.2.3. [27001:2005] მესამე მხარესთან
დადებული ყველა შეთანხმება, რომელიც მოიცავს
ინფორმაციის დამუშავების საშუალებების წვდომას,
კონტროლი (1)/მიზანი (1)
დამუშავებას, მართვას ან გარკვეული მომსახურებების ან
პროდუქტების დამატებას, - უნდა აღწერდეს
უსაფრთხოების ყველა მოთხოვნას.
შეფასების ობიექტი მესამე მხარეებთან დადებული შეთანხმებები
ყოველი შეთანხმებაში ჩადებული უსაფრთხოების
პუნქტები ან მოთხოვნები.
ძირითადი საზომი მესამე მხარეებთან დადებული შეთანხმებები
მესამე მხარეებთან დადებული შეთანხმებების
მიმოხილვა, შეთანხმებათა რაოდენობის დათვლა.
შკალა მთელები 0-დან უსასრულობამდე.
საზომი ერთეული მესამე მხარესთან დადებული შათანხმება

მესამე მხარეებთან დადებულ შეთანხმებებში
ძირითადი საზომი აუცილებლად გასათვალისწინებელი უსაფრთხოების
მოთხოვნების რაოდენობა
აუცილებელი უსაფრთხოების მოთხოვნების აღმოჩენა
საზომი ერთეული მოთხოვნა
ძირითადი საზომი გათვალისწინებული უსაფრთხოების მოთხოვნების
მესამე მხარეებთან დადებული შეთანხმებების აგნხილვა,
შეფასების მეთოდი ყოველ შეთანხმებაში გათვალისწინებული
უსაფრთხოების მოთხოვნების რაოდენობა.
საზომი ერთეული მოთხოვნა
მესამე მხარეებთან დადებული შეთანხმებებში
გამოყვანილი საზომი გათვალისწინებული უსაფრთხოების მოთხოვნების
საშუალო პროცენტული მაჩვენებელი.
ჯამი (ყოველი შეთანხმებისათვის (აუცილებელი

შეფასების ფუნქცია მოთხოვნების რაოდენობა -გათვალისწინებული
მოთხოვნების რაოდენობა))/შთანხმებების რაოდენობაზე
1. სტანდარტული მოთხოვნების და გათვალისწინებულ

ინდიკატორი მოთხოვნების სხვაობის შეფარდების საშუალო.
2. შეფარდების ტენდენცია.
1. ჯამი (ყოველი შეთანხმების([გათვალისწინებული
მოთხოვნების საერთო რაოდენობა]-[მოთხოვნების
სტანდარტული რაოდენობა]))/[მესამე მხარეებთან
დადებული შეთანხმებები].
2. პირველი ინდიკატორის წინა ინდიოკატორთან
შედარება
1. ინდიკატორი 1 უნდა იყოს 0.9-ზე მეტი
2. ინდიკატორი 2 უნდა იყოს სტაბილურად უცვლელი ან
აღმავალი.

უსაფრთხოების მოთხოვნების დაკმაყოფილების
შესაძლებლობა მესამე მხარის მიერ.
გრაფიკი, რომელიც მოიცავს ანგარიშგების
მრავალპერიოდულ ტენდენციას. აღმოჩენილი
სისუსტეების და მენეჯემნტის სავარაუდო
ღონისძიებების მოკლე აღწერა
ინფორმაციის მფლობელი კონტრაქტორის ოფისი.
მონაცემთა შეგროვების სიხშირე ყოველთვიური
მონაცმეთა ანალიზის სიხშირე ყოველკვარტალური
ყოველკვარტალური
შეფასების გადახედვა 2 წელიწადში
შეფასების პერიოდი 2 წლის განმავლობაში.


6. ინფორმაციული უსაფრთხოების მართვა-შეფასება

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

6. ინფორმაციული უსაფრთხოების მართვა-შეფასება

Uploaded by

Copyright:

Available Formats

მგს 27004:2011

20 დეკემბერი 2011 წელი

ინფორმაციული უსაფრთხოების მართვა - შეფასება

საქართველოს იუსტიციის სამინისტრო

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 1

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 2

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 3

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 4

შემდეგი საცნობარი ნორმატიული დოკუმენტები აუცილებელია მოცემული დოკუმენტის

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 5

4. მოცემული სტანდარტის სტრუქტურა

მოცემული სტანდარტი წარმოადგენს ხელმძღვანელობისთვის იუმს-ის მოთხოვნების შეფასების

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 6

5 ინფორმაციული უსაფრთხოების შეფასების საზომები

5.1 ინფორმაციული უსაფრთხოების შეფასების მიზნები

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 7

4.2.2 გ) კონტროლის მიზნების

ნახ. 1 - იუმს-ის “PDCA” ინფორმაციული უსაფრთხოების ციკლის შემავალი რესურსების და

ორგანიზაციამ უნდა ჩამოაყალიბოს შეფასების მიზნები შემდეგი დაშვებების საფუძველზე:

5.2 ინფორმაციული უსაფრთხოების შეფასების პროგრამა

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 8

ინფორმაციული უსაფრთხოების შეფასების პროგრამა მოიცავს შემდეგ პროცესებს:

5.3 წარმატების ფაქტორები

აქ ჩამოთვლილია ინფორმაციული უსაფრთხოების შეფასების პროგრამის წარმატების

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 9

ინფორმაციული უსაფრთხოების შეფასების მოდელი არის სტრუქტურა, რომელიც აკავშირებს

ინფორმაციული უსაფრთხოების შეფასების მოდელი აღწერს თუ როგორ ხდება ატრიბუტების

გადაწყვეტილების მიღების კრიტერიუმები

შესაფასებელი ობიექტი ინდიკატორი

შეფასების მეთოდი ძირითადი საზომი

ნახატი 2 ინფორმაციული უსაფრთხოების შეფასების მოდელი.

შენიშვნა: პუნქტი 7 წარმოადგენს ინფორმაციული უსაფრთხოების შეფასების მოდელის ყოველი

შემდეგი ქვე-პუნქტები გაგვაცნობს მოდელის ინდივიდუალურ ელემენტებს. ის აგრეთვე

ძირითადი საზომი არის უმარტივესი საზომი. ძირითადი საზომი არის შესაფასებელი

შეფასების მეთოდი გამოიყენება შესაფასებელი ობიექტის ატრიბუტების მიმართ. ობიექტის

შეფასების მეთოდი შესაძლოა გამოიყენებდეს შეფასების ობიექტებს ან ატრიბუტებს სხვადასხვა

ცხრილი 1-4 წარმოადგეს ინფორმაციული უსაფრთხოების მოდელის გამოყენებას შემდეგი

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 11

შენიშვნა: ცხრილი 1-4 შედგება სხვადასხვა სვეტისაგან, რომლებიც აღნიშნულია ასოებით.

ცხრილი 1 შეიცავს ზემოთ აღნიშნული საზომი ობიექტის, ატრიბუტის, შეფასების მეთოდის და

ცხრილი 1 - ძირითადი საზომის და შეფასების მეთოდის მაგალითი

მ.2 ყოველი ხელმოწერილი ძ.2 ხელმოწერილი

მ.3 დღემდე დაგეგმილი

ცხრილი 1 - ძირითადი საზომის და შეფასების მეთოდის მაგალითი

5.4.3 შეფასების ფუნქცია და წარმოებული საზომი

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 12

ცხრილი 2. წარმოებული საზომის და შეფასების ფუნქციის მაგალითი

შეფასების ფუნქცია წარმოებული

ძ.2 პერსონალი, ფ.1 სტატუსის

ძ.4 პერსონალი, ვინც

ცხრილი 2 - შეფასების ფუნქციის და წარმოებული საზომის მაგალითი.

5.4.4 მაჩვენებლები და ანალიტიკური მოდელი

მაჩვენებელი არის საზომი, რომელიც, ინფორმაციული საჭიროებიდან გამომდინარე, შეაფასებს

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 13

ამ.1 [დღემდე პროგრესის (გ.1) ი.1 თანაფარდობათა

ცხრილი 3 - მაჩვენებლის და ანალიტიკური მოდელის მაგალითი

5.4.5 შეფასების შედეგები და გადაწყვეტილების კრიტერიუმები

შეფასების შედეგებს განაპირობებს შესაბამისი მაჩვენებლებით განსაზღვრული

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 14

ი.2-ის ინტერპრეტაცია: აღმავალი

ცხრილში 4 მოყვანილია ინფორმაციული უსაფრთხოების მოდელის გამოყენების ელემენტების

მენეჯმენტი პასუხისმგებელია ინფორმაციული უსაფრთხოების შეფასების პროგრამის

ამისათვის, მენეჯმენტი ვალდებულია:

ინფორმაციული უსაფრთხოების და პოლიტიკის სამმართველო 15