“Юбикаб Холдинг” ХХК-н Гүйцэтгэх захирлын
2025 оны 09 сарын 22-ны өдрийн А/09 тоот тушаалын Хавсралт

“ЮБИКАБ ХОЛДИНГ” ХХК БОЛОН ОХИН КОМПАНИУДЫН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫН МЕНЕЖМЕНТИЙН ТОГТОЛЦООНЫ БОДЛОГО

/Баримтын дугаар: ISMS-DOC-02-1 Хувилбар 2.0/

2025 оны 09 дүгээр сарын 22-ны өдөр

  1. УДИРТГАЛ

    1. “ЮБИКАБ ХОЛДИНГ” ХХК (цаашид “Компани” гэх) нь Монгол Улсын тэргүүлэгч финтек болон технологийн холдинг компани бөгөөд өөрийн охин компаниудаар дамжуулан ride-hailing, хүргэлт, харилцагчдад үйлчлэх 24/7 үйлчилгээ, логистик, финтек төлбөрийн шийдэл, автомашины лизинг, программ хангамжийн хөгжүүлэлт зэрэг олон чиглэлийн охин компаниудыг өөртөө нэгтгэсэн байгууллага юм. Компанийн өдөр тутмын үйл ажиллагаанд санхүүгийн систем, хэрэглэгч болон жолооч/курьерийн хувийн мэдээлэл, байршлын дата, финтек платформын өгөгдөл, харилцагчийн харилцааны бичлэг зэрэг өндөр мэдрэмтгий мэдээлэл боловсруулагддаг тул мэдээллийн аюулгүй байдлыг хангах нь бизнесийн тасралтгүй байдал, үйлчилгээний чанар болон харилцагчдын итгэлийг хамгаалахад онцгой ач холбогдолтой.

      “ЮБИКАБ ХОЛДИНГ” ХХК нь олон улсын ISO/IEC 27001:2022 стандартыг нэвтрүүлснээр мэдээллийн хөрөнгийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг эрсдэлийн удирдлагад суурилан хамгаалах цогц тогтолцоог төлөвшүүлж, бизнесийн бүх салбарт аюулгүй байдлын нэгтгэсэн хандлагыг хэрэгжүүлнэ. Энэ нь ялангуяа ride-hailing, хэрэглэгчийн өгөгдлийн хамгаалалт болон хүргэлтийн үйлчилгээнд хэрэглэгчийн байршлын мэдээллийн хамгаалалт, финтек үйлчилгээнд төлбөрийн мэдээллийн PCI DSS нийцэл, програм хөгжүүлэлт болон cloud үйлчилгээний аюулгүй ажиллагаазэрэг чиглэлүүдэд онцгой ач холбогдолтой.

    2. Монгол Улсын хууль эрхзүйн орчинд мэдээллийн аюулгүй байдал, хувийн мэдээллийн хамгаалалтын чиглэлээр сүүлийн жилүүдэд шинэ шаардлагууд бий болсон. 2021 онд батлагдсан Кибер аюулгүй байдлын тухай хууль, 2022 оноос мөрдөгдөж эхэлсэн Хувийн мэдээлэл хамгаалах тухай хууль, түүнчлэн Санхүүгийн зохицуулах хороо, Монгол банкнаас гаргасан мэдээллийн технологи, санхүүгийн үйлчилгээний аюулгүй байдлын журмууд нь компаниудыг мэдээллийн аюулгүй байдлын өндөр түвшний зохицуулалт мөрдөхийг шаарддаг. Иймд “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний охин компаниуд нь зөвхөн олон улсын ISO/IEC 27001 стандартад нийцсэн МАБМТ-ийг хэрэгжүүлээд зогсохгүй, үйл ажиллагааны салбар бүрт хамаарах такси үйлчилгээний стандарт, санхүүгийн зохицуулалтын шаардлага, төлбөрийн системийн PCI DSS, AML/KYC зэрэг дотоодын болон олон улсын зохицуулалтуудыг мөрдөж ажиллахыг энэхүү бодлогоор тунхаглаж байна.

    3. Энэхүү мэдээллийн аюулгүй байдлын бодлогоор “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компаниудын үйл ажиллагааны онцлогт нийцсэн байдлаар мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хүрээнд баримтлах үндсэн зарчим, шаардлагыг тодорхойлно. Бодлого нь компанийн дээд удирдлагын мэдээллийн аюулгүй байдлыг хангах манлайлал, чиглэлийг баталгаажуулж, МАБМТ-ийн зорилт, зорилтуудыг тодорхойлох суурь баримт бичиг болно. Түүнчлэн энэхүү бодлогоор дамжуулан:

      • ride-hailing болон хүргэлтийн үйлчилгээнд хэрэглэгч, жолоочийн хувийн мэдээлэл, байршлын өгөгдлийн хамгаалалт, хэрэглэгчийн харилцааны өгөгдлийн нууцлал,
      • финтек үйлчилгээнд төлбөрийн системийн найдвартай ажиллагаа, картын мэдээллийн хамгаалалт, PCI DSS нийцэл,
      • программ хөгжүүлэлт, систем интеграцийн төслүүдэд secure development практик,автомашины лизинг болон B2B үйлчилгээний гэрээт өгөгдлийн хамгаалалт зэрэг мэдээллийн аюулгүй байдлын шаардлагыг хангах чиглэлүүдийг тодорхойлно.
  2. ХАМРАХ ХҮРЭЭ

    1. Энэхүү бодлого нь “ЮБИКАБ ХОЛДИНГ” ХХК болон бүх охин компаниудын хэмжээнд дагаж мөрдөнө. Компанийн бүх бүтэц, нэгж, харьяа байгууллагын мэдээллийн аюулгүй байдлын үйл ажиллагаанд энэхүү бодлогын заалтууд бүрэн хамаарна. Тухайлбал, дараах хамрах хүрээнд мөрдөж ажиллана:

      • Группийн төв компани болон охин компаниудын бүх алба, хэлтэс, салбар нэгжүүдийн эзэмшилд эсвэл хяналтад байдаг бүх мэдээллийн хөрөнгө хамрагдана. Үүнд: мэдээллийн сан, хэрэглэгчийн өгөгдөл, жолооч/курьерийн байршлын мэдээлэл, санхүүгийн системүүд, серверүүд, төхөөрөмжүүд, программ хангамж, үүлэн (cloud) орчин, бичиг баримт болон компанийн бизнесийн нууц зэрэг бүх төрлийн мэдээлэл орно.
      • Компанийн нийт ажилтнууд, гэрээт болон түр хугацааны ажиллах хүч, зөвлөх, аутсорсинг үйлчилгээ үзүүлэгч, нийлүүлэгч, финтек болон банкны түнш байгууллагууд, cloud үйлчилгээ үзүүлэгчид, мөн мэдээллийн систем, өгөгдөлд нэвтрэх эрх бүхий бусад этгээд энэ бодлогыг мөрдөх үүрэгтэй.
      • Мэдээллийн боловсруулалт явагдаж буй бүх орчин, байршилд энэ бодлогын шаардлага үйлчилнэ. Үүнд: компанийн төв оффис, салбар нэгж, дата төв, үүлэн үйлчилгээ, call center, BPO орчин, жолооч/курьерийн мобайл аппликейшн, гэрээс ажиллах орчин зэрэг багтана.
      • Компанийн бүх бүтээгдэхүүн, үйлчилгээний хүрээнд бий болсон, цуглуулсан, боловсруулсан, дамжуулсан мэдээлэл бодлогын хамгаалалтад хамаарна. Үүнд:
        • Харилцагчийн хувийн,санхүүгийн болон харилцааны бичлэг, дата, мэдээлэл
        • Жолооч, хүргэлтийн ажилтны байршлын болон орлогын мэдээлэл
        • Төлбөрийн гүйлгээний болон финтек үйлчилгээний өгөгдөл
        • Компанийн санхүүгийн тайлан, гэрээний мэдээлэл

    2. Программ хангамжийн хөгжүүлэлт болон системийн код, техник шийдэлБодлогын хэрэгжилтийг нийт Группийн хэмжээнд ханган ажиллах бөгөөд шаардлагатай тохиолдолд охин компани бүр өөрийн үйл ажиллагааны онцлогт нийцсэн дотоод журам, заавар боловсруулж мөрдөнө. Ийм тохиолдолд тухайн журам, заавар нь заавал энэхүү бодлоготой нийцсэн байх бөгөөд “ЮБИКАБ ХОЛДИНГ” ХХК -ийн мэдээллийн аюулгүй байдлын менежментийн тогтолцооны хүрээнд нэгдсэн удирдлагад хамаарна.

  3. ЗОРИЛГО

    1. Энэхүү бодлогын зорилго нь “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компаниудын мэдээллийн хөрөнгийг зохих түвшний хамгаалалтаар хангах замаар:

      • бизнесийн тасралтгүй байдлыг дэмжих,
      • харилцагч, жолооч, хүргэлтийн ажилтан болон түнш байгууллагуудын мэдээллийн аюулгүй байдлыг хадгалах,
      • финтек үйлчилгээний төлбөрийн системийн найдвартай ажиллагааг баталгаажуулах,
      • программ хангамжийн хөгжүүлэлт, интеграцийн төслүүдийн аюулгүй байдлыг хангах,
      • BPO үйлчилгээний харилцагчийн өгөгдлийг хамгаалах,
      • улмаар байгууллагын нэр хүнд, хууль эрхзүйн нийцлийг бүрдүүлэхэд оршино.

    2. Мэдээллийн аюулгүй байдлын бодлогоор дамжуулан компанийн дээд удирдлага мэдээллийн аюулгүй байдлын менежментэд манлайлал, дэмжлэг үзүүлж буйгаа баталгаажуулж, МАБМТ-ийн зорилтуудыг тодорхойлох суурь баримт бичиг болгон ашиглана.

    3. Энэхүү бодлого нь ISO/IEC 27001:2022 стандартад нийцсэн мэдээллийн аюулгүй байдлын зорилго, зарчмуудыг тогтоож, цаашид боловсруулах дэд бодлого, журам, зааврын үндэс болно. Бодлогын хүрээнд байгууллага дараах чиглэлээр тодорхой зорилтуудыг дэвшүүлнэ:

      • Нууцлал, бүрэн бүтэн байдал, хүртээмж (CIA): Ride-hailing, хүргэлт, финтек, програм хөгжүүлэлт, call center-ийн хүрээнд бий болсон мэдээллийн активыг хамгаалах.

      • Хууль эрх зүйн нийцэл: Хүний хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль, PCI DSS, AML/KYC зэрэг хууль, журам болон гэрээний шаардлагыг бүрэн биелүүлэх.

      • Эрсдэлийн удирдлага: Жил бүр болон шаардлагатай үед мэдээллийн аюулгүй байдлын эрсдэлийг үнэлж, өндөр болон ноцтой эрсдэлийг заавал бууруулах арга хэмжээг хэрэгжүүлэх.

      • Ажилтны мэдлэг ба соёл: Бүх ажилтанд мэдээллийн аюулгүй байдлын сургалтыг тогтмол явуулж, ажилтан бүр бодлогыг өдөр тутмын ажилдаа хэрэглэх соёл төлөвшүүлэх.Ажилтны мэдлэг ба соёл: Бүх ажилтанд мэдээллийн аюулгүй байдлын сургалтыг тогтмол явуулж, ажилтан бүр бодлогыг өдөр тутмын ажилдаа хэрэглэх соёл төлөвшүүлэх.

      • Тасралтгүй сайжруулалт: МАБМТ-ийг PDCA мөчлөгт тулгуурлан байнга сайжруулж, шинэ технологи (AI, EV fleet, e-wallet, cloud гэх мэт)-ийн эрсдэлийг тооцож, хяналтын арга хэмжээг нэвтрүүлэх.

    4. Дээрх зорилтуудыг хэрэгжүүлэхийн тулд бодлого нь мэдээллийн аюулгүй байдлын менежментийн тогтолцоог байгууллага даяар хэвшүүлэх хүрээ, арга хэмжээ-г тодорхойлно. Үүнд:

      • Бүх охин компанид нэгдсэн МАБМТ хэрэгжүүлэх,
      • Үйл ажиллагааны онцлог бүрт (ride-hailing, финтек, BPO гэх мэт) тохирсон дэд журам боловсруулах,
      • Эрсдэлийн үнэлгээ, дотоод аудит, удирдлагын хяналтын тогтолцоог тогтмол хэрэгжүүлэх,
      • Зөрчлийн удирдлагын протокол, бизнесийн тасралтгүй ажиллагааны төлөвлөгөө, гуравдагч талын аудит зэрэг хяналтын арга хэмжээг хэрэгжүүлэх,
  4. НЭР ТОМЬЁО БА ТОДОРХОЙЛОЛТ

    1. Энэхүү бодлогод хэрэглэсэн зарим нэр томьёог дор дурдсан утгаар ойлгоно:

      • Мэдээллийн аюулгүй байдал – Мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг хадгалах байдлыг хэлнэ. Нууцлал гэдэг нь мэдээлэл зөвшөөрөгдсөн этгээдэд хүртээмжтэй байхыг, бүрэн бүтэн байдал нь мэдээлэл зөвшөөрөлгүйгээр өөрчлөгдөөгүй үнэн зөв хэвээр хадгалагдахыг, хүртээмжтэй байдал нь мэдээлэл шаардлагатай үед тасралтгүй ашиглах боломжтой байхыг тус тус илэрхийлнэ.
      • Мэдээллийн аюулгүй байдлын менежментийн тогтолцоо (МАБМТ) – Байгууллагын мэдээллийн аюулгүй байдлыг удирдах, зохицуулах зорилгоор бодлого, журам, үйл ажиллагаа, нөөцийг нэгтгэсэн цогц систем. ISO/IEC 27001 стандартад заасан шаардлагуудыг хангахуйц, тасралтгүй сайжруулах хандлагатай менежментийн тогтолцоо юм.
      • Мэдээллийн хөрөнгө – Байгууллагын мэдлийн болон боловсруулалтын хүрээнд байгаа аливаа мэдээлэл болон түүнийг дэмжих дэд бүтэц, хэрэгслүүд. Үүнд цахим болон цаасан хэлбэрийн мэдээлэл, мэдээллийн сан, программ хангамж, техник хангамж, сүлжээний төхөөрөмж, хадгалах хэрэгсэл, бичиг баримт зэрэг мэдээлэл агуулж буй бүх төрлийн хөрөнгө хамаарна.
      • Нууцлалтай мэдээлэл – Хувь хүн, байгууллагын нууцын зэрэгтэй, зөвшөөрөлгүй задруулбал хохирол учруулахуйц мэдээлэл. Үүнд харилцагчийн хувийн мэдээлэл, санхүүгийн мэдээлэл, төлбөрийн картын мэдээлэл, компанийн дотоод нууц баримт зэрэг хуулиар болон гэрээгээр хамгаалагдсан мэдээлэл орно.
      • Хэрэглэгчийн хувийн мэдээлэл – Хувь хүнтэй холбоотой, шууд болон шууд бусаар тухайн хүнийг тодорхойлох боломжтой мэдээлэл (жишээ нь: нэр, регистрийн дугаар, холбоо барих мэдээлэл, санхүүгийн дэлгэрэнгүй мэдээлэл, гэрийн хаяг, аяллын мэдээлэл гэх мэт). Монгол Улсын Хувийн мэдээлэл хамгаалах тухай хуульд заасан “хувийн мэдээлэл” мөн энэ хүрээнд ойлгогдоно.
      • Эрсдэл – Мэдээллийн аюулгүй байдалд сөргөөр нөлөөлж болзошгүй үйл явдал, нөхцөл байдлын тохиолдох магадлал болон түүний учруулах үр дагаврын нийлбэр үнэлгээ. Эрсдэлийн түвшин нь илрэх магадлал ба нөлөөллийн хэмжээгээр тодорхойлогдоно.
      • Мэдээллийн аюулгүй байдлын зөрчил – Мэдээллийн аюулгүй байдал (нууцлал, бүрэн бүтэн байдал, хүртээмж)-д сөрөг нөлөө үзүүлж, хохирол учруулж болзошгүй эсвэл бодит хохирол учруулсан үйл явдал. Жишээ нь, мэдээлэл алдагдах, зөвшөөрөлгүй нэвтрэлт, хортой программын халдлага, системийн тасалдал зэргийг зөрчил гэнэ.
      • Хяналтын арга хэмжээ – Мэдээллийн аюулгүй байдлыг хангах зорилгоор хэрэгжүүлж буй бодлого, журам, техник, технологи, арга ажиллагаа, зохион байгуулалтын бүхий л шийдлүүдийг нэрлэнэ. Жишээлбэл, нууц үгийн бодлого, галт хана, мэдээлэл шифрлэх арга, хандалт хязгаарлалт зэрэг нь хяналтын арга хэмжээнд орно.
  5. БОДЛОГЫН ЗАРЧИМ

    1. “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний охин компаниуд мэдээллийн аюулгүй байдлыг хангах дараах үндсэн зарчмыг баримтална:

      • Хууль, журам мөрдөх зарчим: Байгууллага нь мэдээллийн аюулгүй байдлын талаарх бүх холбогдох хууль тогтоомж, зохицуулагч байгууллагаас баталсан дүрэм журмыг бүрэн мөрдөж ажиллана. Тухайлбал, Монгол Улсын Хүний хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль болон бусад холбогдох эрхзүйн актуудын шаардлагыг мэдээллийг хамгаалах үйл ажиллагаандаа тусган хэрэгжүүлнэ. Мөн гуравдагч талуудтай байгуулсан гэрээ, тохиролцооны хүрээнд хүлээсэн мэдээллийн аюулгүй байдлын үүрэг, шаардлагыг чандлан биелүүлнэ.
      • Хариуцлагын зарчим (мэдээллийн хөрөнгийн өмчлөл): Байгууллагын эзэмшдэг бүх мэдээллийн хөрөнгө нь тодорхой эзэн, өмчлөгчтэй байна. Хөрөнгийн эзэмшигч нь тухайн мэдээллийн активыг ашиглах зөвшөөрөгдөх хүрээг тогтоож, зохих хамгаалалтын арга хэмжээг хэрэгжүүлэх хариуцлагыг хүлээнэ. Мэдээллийн хөрөнгийг ангилж, тухайн ангилалд тохирсон хамгаалалтыг хангах журам хэрэгжинэ. (жишээ нь, нууцлалын зэрэглэл тогтоох).
      • “Шаардлага мэдэгч” зарчим (Need-to-know): Мэдээлэлд зөвхөн ажлын шаардлагаар, зохих эрх бүхий ажилтан, хандах эрхтэй этгээд байна. Хэрэглэгчдэд тэдний үүрэгт ажил гүйцэтгэхэд зайлшгүй хэрэгцээтэй хамгийн бага хүртээмжийг олгож, давуу эрх, хандах эрхийг үе шаттай хянаж зохицуулна. Зөвшөөрөлгүй этгээд мэдээлэлд нэвтрэхээс урьдчилан сэргийлэх техникийн болон зохион байгуулалтын арга хэмжээг байнга сайжруулж ажиллана.
      • Мэдээллийг ангилж, шошголох зарчим: Байгууллага бүх мэдээллийн активдаа мэдээллийн ангилал (нууцлалын зэрэг)-ыг тогтоож, ангиллын дагуу зохих хамгаалалт, ашиглалтын горимыг мөрдөнө. Мэдээллийг “нийтийн”, “дотоод хэрэглээний”, “нууцлалтай”, “маш нууц” гэх мэт ангиллын дагуу шошголох ба тус бүрд нь мэдээлэл хадгалах, дамжуулах, устгах журам, горимыг тодорхойлно. Ажилтнууд нь өөрт олгогдсон мэдээллийг түүний ангилалд нийцүүлэн зөв зохистой хэрэглэх, хадгалах үүрэг хүлээнэ.
      • Мэдээллийн бүрэн бүтэн байдлыг хадгалах зарчим: Байгууллага мэдээллийн үнэн зөв, бүрэн байдлыг хамгаалах бүх талын арга хэмжээг авна. Мэдээлэл ямар нэгэн өөрчлөлт, гэмтэлд ороогүй найдвартай эсэхийг хангахын тулд нөөцлөлт, шалгалт, хяналтын механизмуудыг үйл ажиллагаандаа нэвтрүүлнэ. Бүх өгөгдөл, систем дэх өөрчлөлтүүд зөвшөөрөгдсөн, бүртгэгдсэн байх ба алдаанаас сэргээх төлөвлөгөөг тодорхойлсон байна.
      • Нууцлалыг хангах зарчим: Мэдээллийг зөвшөөрөлгүй нэвтрэлт, задруулалт, алдагдалаас хамгаалахын тулд техникийн (жишээ нь, криптографи, нууц үг, танилт нэвтрэлтийн олон шатлал) болон зохион байгуулалтын (жишээ нь, физик хамгаалалт, хандалт хязгаарлалт) хяналтуудыг хэрэгжүүлнэ. Нууцлалтай мэдээлэлд хандах бүхий л үйлдэл бүртгэгдэж, хянагдана.
      • Эрсдэлийн удирдлагын зарчим: Байгууллага нь мэдээллийн аюулгүй байдлын эрсдэлийг тогтмол үнэлж, илрүүлсэн эрсдэл бүрд тохирсон бууруулах, хянах арга хэмжээг авч хэрэгжүүлнэ. Эрсдэлийн үнэлгээг байгууллагын хэмжээнд дор хаяж жил бүр эсвэл мэдээллийн системд томоохон өөрчлөлт ороход гүйцэтгэж, эрсдэлийн бүртгэл хөтөлнө. Эрсдэлийг бууруулах арга хэмжээ нь байгууллагын эрсдэлийн хүлцлийн түвшинд нийцсэн байхын зэрэгцээ үлдэгдэл эрсдэлийг дээд удирдлагад танилцуулж, зөвшөөрүүлнэ.
      • Тасралтгүй сайжруулалтын зарчим: Байгууллага нь МАБМТ-ийг хэрэгжүүлэхдээ “Төлөвлөх-Хийх-Шалгах-Сайжруулах” (PDCA) мөчлөгт тулгуурлан байнга үнэлж, сайжруулалт хийнэ. Мэдээллийн аюулгүй байдлын зорилтууд, хяналтын арга хэмжээнүүдийн хэрэгжилтийг тогтмол хянаж, шалган, дүнг удирдлагын тоймд хэлэлцэнэ. Илэрсэн зөрчил, сул талыг залруулах, сайжруулах үйл ажиллагааг даруй авч хэрэгжүүлэх замаар мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог байнга боловсронгуй болгож байх болно.
    2. Дээрх зарчмуудыг компанийн бүхий л түвшинд мөрдөж, мэдээллийн аюулгүй байдлын бүх шийдвэр, үйл ажиллагаанд баримтлан ажиллахыг энэ бодлогоор үүрэг болгож байна.
  6. ХЯНАЛТЫН ХҮРЭЭ
    1. Мэдээллийн аюулгүй байдлын бодлогыг хэрэгжүүлэхийн тулд дараах үндсэн чиглэлүүдээр хяналтын арга хэмжээнүүдийг төлөвлөн хэрэгжүүлнэ. Эдгээр хяналтын хүрээ нь ISO/IEC 27001:2022 стандартын Хавсралт А-ийн хяналтын зорилтууд болон санхүүгийн технологийн салбарын онцлогт нийцүүлэн сонгогдсон болно.
    2. Хандалтын хяналт (Access Control)

      1. Компанийн мэдээлэл, систем нөөцөд хандах эрхийг зөвхөн эрх бүхий ажилтан, хэрэглэгчдэдээ олгоно. Хандалтын эрхийг олгох, өөрчлөх, цуцлах үйл явцыг албан ёсны журмын дагуу хэрэгжүүлж, хэрэглэгч бүрд зөвхөн өөрийн ажил үүргийн хүрээнд шаардлагатай хамгийн бага эрхийг олгоно. Хэрэглэгчийн данс, нууц үгийн бодлого, нэвтрэх олон шатлал (2FA гэх мэт) болон сүлжээний нэвтрэлт хяналтын тохиргоог хэрэгжүүлж, зөвхөн зөвшөөрөгдсөн хүмүүс мэдээлэлд хандах боломжийг хангана. Хандалтын эрхийн бүртгэлийг хөтөлж, бүх хэрэглэгчийн эрхийг тодорхой хугацаанд тогтмол хянаж, давхар шалган, шаардлагагүй болсон эрхийг цуцална. Администраторын болон өндөр түвшний эрхүүдэд онцгой анхаарч, тэдгээрийн ашиглалтыг бүртгэн, хяналт тавина.

    3. Криптографи (Cryptography)

      1. Мэдээллийн нууцлалыг хадгалах болон бүрэн бүтэн байдлыг хамгаалахын тулд криптографийн арга техникүүдийг өргөн ашиглана. Мэдээллийн чухал, эмзэг хэсгүүд (жишээ нь, харилцагчийн хувийн мэдээлэл, төлбөрийн картын өгөгдөл г.м.) болон систем хоорондын өгөгдөл дамжуулалтад баталгаат криптографийн алгоритм (AES, RSA гэх мэт) хэрэглэн шифрлэлт хийнэ. Мэдээлэл дамжуулахдаа TLS/SSL зэрэг аюулгүй протокол ашиглаж, хадгалахдаа шифрлэн хамгаална.Криптографийн түлхүүрүүдийг амьдралын мөчлөгийнх (lifecycle) нь турш (үүсгэх, тараах, хадгалах, архивлах, устгах) найдвартай хамгаалалтын аргаар удирдана. Түлхүүрийн алдагдал, алдааг илрүүлэх, сэргээх журам тогтоож, түлхүүрүүдэд хяналт, аудит хийж байх болно.

    4. Мэдээллийн хөрөнгийн удирдлага (Asset Management)

      1. Байгууллагын бүх мэдээллийн хөрөнгийг (мэдээлэл, программ хангамж, техник төхөөрөмж, баримт бичиг зэрэг) бүртгэн, ангилж, хариуцсан эзэн томилсон байна. Хөрөнгийн бүртгэл (Asset Register) хөтөлж, хөрөнгийн эзэмшигчид нь тухайн мэдээллийн активын ашиглалт, хамгаалалтыг хангах үүрэг хүлээнэ. Мэдээллийн хөрөнгийг түүний үнэ цэнэ, эмзэг байдал, эрсдэлийн түвшингээр нь ангилан зохистой хамгаалалтын түвшнийг тодорхойлно. Бүх мэдээллийн хөрөнгийг ангиллын дагуу зохих хамгаалалт (жишээ нь, хамгаалалтын тэмдэглэгээ, нууцлалын шошго) хийнэ. Хөрөнгийн бүрэн бүтэн байдал, ашиглалт, байршлыг хянах механизм ажиллаж, мэдээллийн активын өөрчлөлт, хөдөлгөөнийг (шинээр бий болох, шилжүүлэх, устгах) журмын дагуу бүртгэн зохицуулна.

    5. Хүний нөөцийн аюулгүй байдал

      1. Ажилтнууд, гэрээт болон түр ажиллах хүчнийг ажилд авах, ажлаас чөлөөлөх үеийн үйл явцад мэдээллийн аюулгүй байдлын шаардлагыг тусгана. Ажилд орох шатанд ажил горилогчийн өмнөх туршлага, нэр хүндийг лавлах, шаардлагатай тохиолдолд хууль эрхзүйн шалгалт хийж (background check) тохиромжтой эсэхийг үнэлнэ. Албан тушаалын тодорхойлолтод мэдээллийн аюулгүй байдлын холбогдох үүрэг, хариуцлагыг тусгаж, ажилтан бүр байгууллагын мэдээллийн аюулгүй байдлын бодлого, журамтай танилцаж, дагаж мөрдөхөө хөдөлмөрийн гэрээгээр хүлээн зөвшөөрнө. Ажилтанд мэдээллийн аюулгүй байдлын талаар шаардагдах мэдлэгийг олгох сургалтыг ажилд орох үед нь болон тогтмол хугацаанд явуулна.

      2. Ажилтны ажлын байр, үүрэгт өөрчлөлт орох буюу компанид ажиллах харилцаа дуусгавар болоход мэдээллийн аюулгүй байдлыг хангах дараах арга хэмжээг авч хэрэгжүүлнэ:

      3. Ажилтны хандаж байсан бүх систем дэх нэвтрэх эрхийг нэн даруй цуцлах буюу шинэ үүрэгт тохируулан өөрчлөх (ажлаас гарах өдрөөс өмнө эрхийг түдгэлзүүлэх, ажлын шинэ шилжилтэд нь тохирсон эрх өгөх гэх мэт).

      4. Ажилтны хадгалж байсан компанийн бүх мэдээлэл, баримт бичиг, түүнчлэн түүнд олгогдсон тоног төхөөрөмж, нууцлалтай холбогдох цаасан мэдээлэл зэргийг бүрэн хүлээн авах, буцаалтыг баримтжуулах.
      5. Ажилтны ажлаас гарах, шилжих үйл явцыг удирдах явцад шифрлэгдсэн түлхүүр, нууц үг зэрэг хандалтын мэдээллийг шилжүүлэх, шаардлагатай бол дахин тохируулах.
      6. Шаардлагатай тохиолдолд ажилтантай холбоотой мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг хийж, нэмэлт хамгаалалт авах.
      7. Мөн компанийн дотоод аудит, мэдээллийн аюулгүй байдлын баг нь хэрэгцээ гарвал хуульд нийцсэн хүрээнд системийн хэрэглээ, имэйл зэрэгт хяналт шинжилгээ хийж, бодлогын хэрэгжилтэд хяналт тавьж болно.
    6. Физик ба орчны аюулгүй байдал

      1. Мэдээллийн систем, өгөгдөл хадгалах төхөөрөмжүүд байрлаж буй объект, байр талбайн физик хамгаалалтыг өндөр түвшинд хангасан байна. Зөвшөөрөлгүй хүн байгууллагын мэдээллийн дэд бүтцэд биечлэн нэвтрэхээс сэргийлэх хамгаалалт (жишээ нь, хамгаалалтын ажилтан, хяналтын камер г.м.) нэвтрүүлнэ. Серверийн өрөө, өгөгдөл төвлөрсөн агуулах зэрэг чухал бүсүүдэд зөвхөн эрх бүхий ажилтан нэвтрэх бөгөөд зочин, гадаад хүмүүсийг нэвтрүүлэхдээ бүртгэлжүүлж, харгалзаж явах горим баримтална. Мэдээллийн төхөөрөмжүүд байрлах өрөө тасалгаанд галын дохиолол, хяналтын систем зэргийг суурилуулж, байгалийн гамшиг, ослын үед мэдээлэл устаж гэмтэхээс хамгаалах арга хэмжээ авна. Байгууллагын өмчлөлийн зөөврийн компьютер, мобайл төхөөрөмжүүдийг гадуур авч явах, гэрээс ашиглах тохиолдолд алдагдахаас сэргийлэх (байршил тогтоох, алсаас устгах боломж гэх мэт) болон шифрлэлтийн арга хэрэгслийг ашиглана.

    7. Үйл ажиллагааны болон сүлжээний аюулгүй байдал

      1. Мэдээллийн технологийн өдөр тутмын үйл ажиллагаанд аюулгүй байдлын шилдэг туршлагыг мөрдөнө. Систем, серверүүдийн тохиргоог аюулгүй байдлын шаардлагад нийцүүлэн хатууруулсан байна (secure configuration). Бүх сервер, ажлын станцууд, сүлжээний төхөөрөмжүүдэд зориулалтын вирусийн эсрэг программ, хортой кодын халдлагаас хамгаалах хэрэгсэл ажиллуулж, халдлагыг илрүүлэх, таслан зогсоох хамгаалалтыг байнгын шинэчлэлтэй байлгана. Сүлжээний олон түвшний хамгаалалтын шийдэл (галт хана, халдлага илрүүлэх/сэргийлэх систем, VPN) ашиглаж, гаднын халдлага, зөвшөөрөлгүй нэвтрэлтийг таслан зогсооно. Мэдээллийн системүүдийн хэвийн ажиллагааг алдагдуулж болзошгүй аюул заналуудыг илрүүлэхийн тулд лог, үйл явдлын мэдээллийг тасралтгүй цуглуулж, дүн шинжилгээ хийнэ.

      2. Өөрчлөлтийн менежментийн (change management) журмыг чанд мөрдөж, мэдээллийн систем, программ хангамжид хийх аливаа өөрчлөлт, шинэчлэлтийг зохих зөвшөөрөл, туршилтын дараа гүйцэтгэнэ. Онцгой өөрчлөлт, шинэ систем нэвтрүүлэх үед мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг заавал хийж, шаардлагатай хамгаалалтын арга хэмжээг урьдчилан төлөвлөж хэрэгжүүлнэ. Мөн үйлдвэрлэлийн (Development) орчны өгөгдөл, системд нөлөөлж болзошгүй өөрчлөлт, шинэ хөгжүүлэлтийг тусгаарлагдсан тест орчинд туршиж баталгаажуулсны дараа нэвтрүүлэх бодлого баримтална.

      3. Лог, системийн үйл ажиллагааны бүртгэлийг төвлөрүүлэн хадгалж, тодорхой хугацаагаар архивлан, ямар нэг аюулгүй байдлын асуудал гарсан нөхцөлд мөрдөн шалгах боломжийг бүрдүүлнэ.

    8. Гуравдагч тал болон нийлүүлэгчийн аюулгүй байдал

      1. Компанийн мэдээллийн систем, үйлчилгээнд хамтран ажиллагч гуравдагч талуудтай (банкны түнш, төлбөрийн системийн интеграци, үүлэн үйлчилгээ үзүүлэгч, программ хангамжийн ханган нийлүүлэгч гэх мэт) харилцахдаа мэдээллийн аюулгүй байдлын шаардлагыг гэрээгээр тохиролцож, мөрдүүлнэ. Нийлүүлэгч сонгон авах, гэрээ байгуулах үе шатанд тухайн талын мэдээллийн аюулгүй байдлын практик, чадавхад үнэлгээ (due diligence) хийж, шаардлагатай тохиолдолд ISO27001 зэрэг баталгаажуулалтын гэрчилгээг шаардана. Гуравдагч талуудтай байгуулсан гэрээнд мэдээлэл хамгаалах үүрэг, нууцлалын нөхцөл, мэдээлэл алдалт гарвал мэдэгдэх журам зэргийг тусгана. Нийлүүлэгчийн гүйцэтгэл, аюулгүй байдлын үзүүлэлтийг тодорхой давтамжтай хянаж (жишээлбэл, жил бүрийн аудит, өөрийн үнэлгээний асуулгаар), шаардлагыг зөрчсөн тохиолдолд залруулах төлөвлөгөө авч хэрэгжүүлэхийг шаардана.

    9. Мэдээллийн аюулгүй байдлын зөрчлийн удирдлага

      1. Мэдээллийн аюулгүй байдалтай холбоотой аливаа сэжигтэй үйл явдал, зөрчлийг (инцидент) нэн даруй илрүүлэх, хариу арга хэмжээ авах, мэдэгдэх, сэргээн засварлах цогц чадварыг бий болгоно. Зөрчлийн удирдлагын журам боловсруулж, дараах үе шаттай ажиллагааг тогтооно:

        1. Илрүүлэлт ба ангилал – Ажилтнууд мэдээллийн аюулгүй байдлын аль ч сэжигтэй шинж тэмдгийг (жишээ нь, систем удаашрах, алдааны мэдэгдэл гарах, сэжигтэй имэйл ирэх, сүлжээнд хэвийн бус ачаалал мэдрэгдэх гэх мэт) илрүүлсэн даруй холбогдох алба (IT туслалцаа, мэдээллийн аюулгүй байдлын менежер)-д мэдэгдэх үүрэгтэй. Хүлээн авсан мэдээлэлд мэдээллийн аюулгүй байдлын баг анхан шатны шинжилгээ хийж, зөрчлийн ангилал (ноцтой байдлын түвшин, нөлөөллийн хүрээ)-ыг тогтооно.

        2. Шуурхай хариу үйлдэл – Зөрчлийн ноцтой байдлаас хамааран шаардлагатай багийг (IT, мэдээллийн аюулгүй байдал, хууль эрхзүй, олон нийттэй харилцах гэх мэт) шуурхай ажиллуулж, тархалтыг зогсоох, хор уршгийг хязгаарлах арга хэмжээг авна. Жишээ нь, халдлагад өртсөн серверийг сүлжээнээс тусгаарлах, халдлагын улмаас илэрсэн эмзэг цоорхойг даруй нөхөх, хортой программ илэрсэн тохиолдолд системийг унтраах зэрэг арга хэмжээг авч, цаашдын хохирлыг хязгаарлана.

        3. Мэдээлэл түгээх ба мэдэгдэл – Томоохон зөрчил гарсан тохиолдолд компанийн удирдлага болон шаардлагатай бол зохицуулагч байгууллагуудад (Монгол банк, СЗХ, Хэрэглэгчдийн мэдээллийн эрхийг хамгаалах байгууллага гэх мэт) хуулийн хугацаанд нь мэдэгдэнэ. Хэрэв харилцагчдын хувийн мэдээлэл алдагдсан бол Хувийн мэдээлэл хамгаалах тухай хуульд заасан хугацаанд (жишээ нь, 72 цагийн дотор) тухайн хувь хүн болон хяналтын байгууллагад мэдэгдэл хүргэнэ.

        4. Шинжилгээ ба залруулах үйлдэл – Зөрчлийн үндсэн шалтгааныг (root cause) олж тогтоон, дахин давтагдахаас сэргийлэх урт хугацааны залруулах арга хэмжээг тодорхойлж хэрэгжүүлнэ. Зөрчлийн үеэр эвдэрч тасалдаж болсон систем, өгөгдлийг боломжтой хамгийн богино хугацаанд нөөцөөс сэргээнэ. Давтан ийм төрлийн зөрчил гарахаас хамгаалахад шаардлагатай бол нэмэлт хяналтын арга хэмжээг (жишээ нь, системийн нэмэлт хамгаалалт, сэргийлэх сургалт) нэвтрүүлнэ.

        5. Баримтжуулалт ба сургамж – Зөрчил бүрийг тусгай бүртгэл, тайлангаар баримтжуулж, учирсан нөлөөлөл, авч хэрэгжүүлсэн арга хэмжээ, ирээдүйд анхаарах сургамжийг тэмдэглэнэ. Зөрчлийн тайланг дотоодод хянан хэлэлцэж, шаардлагатай тохиолдолд бодлого, журмаа дахин хянаж сайжруулна. Ажилтнуудад энэхүү сургамжаас хуваалцаж, цаашид ийм төрлийн зөрчлөөс урьдчилан сэргийлэх мэдлэг, чадавхыг дээшлүүлнэ.

      2. Ийнхүү Зөрчлийн менежментийн тогтолцоог хэрэгжүүлснээр мэдээллийн аюулгүй байдлын зөрчлийн үед шуурхай арга хэмжээ авч, бизнесийн тасралтгүй үйл ажиллагааг хангах боломжтой болно. Мөн энэ нь байгууллагын аюулгүй байдлын багийг үргэлж бэлэн байдалд байлгаж, эрсдэлийн орчны өөрчлөлтөд тасралтгүй зохицон ажиллах нөхцөлийг бүрдүүлнэ.

    10. Бизнесийн тасралтгүй байдал ба сэргээн босголт
      1. Мэдээллийн аюулгүй байдал нь байгууллагын бизнесийн тасралтгүй байдлыг хангахад салшгүй холбоотой. Байгууллага нь мэдээллийн системийн доголдол, кибер халдлага, байгалийн гамшиг зэргээс үүдэн бизнесийн тасалдал гарсан нөхцөлд ажил үйлчилгээг түргэн сэргээж, үргэлжлүүлэх төлөвлөгөөг урьдчилан боловсруулсан байна. Бизнесийн тасралтгүй ажиллагааны төлөвлөгөө (BCP) болон гамшгаас сэргээн босголтын төлөвлөгөө (DRP)-г гаргаж, тогтмол шалгалт, сургуулилт хийж туршина. Чухал мэдээллийн системүүдийн өгөгдлийг тодорхой давтамжтай нөөцлөн, тусгаар байршилд хадгална. Онцгой байдал үүссэн үед ямар системийг ямар хугацаанд сэргээх шаардлагатайг (Recovery Time Objective, Recovery Point Objective) тодорхойлж, тэр дагуу нөөц систем, тоног төхөөрөмжийг бэлэн байлгана. BCP, DR төлөвлөгөөнд ажилтнуудын үүрэг, харилцаа холбооны мэдээлэл, орлох ажлын байршил, шаардлагатай тоног төхөөрөмжийн жагсаалт, гол нийлүүлэгчдийн холбоо барих зэрэг мэдээллийг багтааж, жил бүр шинэчлэн сайжруулна.
    11. Мэдээллийн аюулгүй байдлын нийцэл

      1. Байгууллага нь мэдээллийн аюулгүй байдлын бүх үйл ажиллагаагаараа холбогдох хууль, дүрэм журам болон гэрээний шаардлагад нийцэж буй эсэхэд тогтмол хяналт тавина. Хууль эрхзүйн нийцлийн хүрээнд дараах шаардлагыг хангана:

        1. Монгол Улсын хууль тогтоомж (жишээ нь: Хувийн мэдээлэл хамгаалах тухай хууль, Кибер аюулгүй байдлын тухай хууль, Банкны тухай хууль, Компьютерын мэдээллийн аюулгүй байдлын тухай журам гэх мэт) болон олон улсын зохицуулалтын шаардлагуудыг (жишээ нь: төлбөрийн картын мэдээллийн аюулгүй байдлын стандарт PCI DSS, Европын холбооны Ерөнхий мэдээлэл хамгааллын журам GDPR зэрэг холбогдох тохиолдолд) үйл ажиллагаандаа тусгаж, биелүүлнэ.

        2. Зохицуулагч байгууллагууд (Монгол банк, Санхүүгийн зохицуулах хороо гэх мэт)-ын мэдээллийн технологи, аюулгүй байдлын хяналт, шалгалт, аудитад байнга бэлэн байдлыг хангаж, шаардлагын дагуу тайлан мэдээг цаг тухайд нь хүргүүлнэ.

        3. Мэдээллийн аюулгүй байдлын зөрчил гарсан тохиолдолд хууль, журмаар заасан мэдээлэх үүргээ биелүүлж (жишээлбэл, хувийн мэдээллийн зөрчлийг 72 цагийн дотор мэдэгдэх гэх мэт) ажиллана.

        4. Программ хангамжийн лиценз, оюуны өмчийн эрхийг хүндэтгэн, зөвшөөрөлгүй программ, контент ашиглахгүй байх зарчмыг мөрдөнө.

        5. Ажилтнууд мэдээллийн аюулгүй байдлын бодлого, холбогдох журмыг зөрчсөн үйлдэл гаргавал хөдөлмөрийн гэрээ, дотоод дүрмийн дагуу хариуцлага хүлээлгэх нөхцөлийг бүрдүүлнэ.

  7. ҮҮРЭГ, ХАРИУЦЛАГА

    1. Мэдээллийн аюулгүй байдлын бодлогыг амжилттай хэрэгжүүлэхийн тулд байгууллагын бүх түвшинд тодорхой үүрэг, хариуцлагыг хуваарилна. Гол оролцогчдын үүрэг, хариуцлагыг дараах байдлаар тодорхойлж байна:

      1. Менежментийн зөвлөл ба Гүйцэтгэх удирдлага: Байгууллагын гүйцэтгэх удирдлагын баг мэдээллийн аюулгүй байдлын бодлогыг баталж, хэрэгжилтийг дэмжиж ажиллана. Менежментийн зөвлөл байгууллагын хэмжээнд мэдээллийн аюулгүй байдлыг тэргүүлэх чиглэл болгож, шаардлагатай нөөц (хүний нөөц, хөрөнгө, технологи)-өөр ханган, бодлогын хэрэгжилтэд манлайлан оролцоно. Мөн МАБМТ-ийн хүрээнд тогтоосон зорилтуудын биелэлт, нийт эрсдэлийн төлөв байдлын талаар тогтмол мэдээлэл авч, дотоод аудитын үр дүнг хэлэлцэж, сайжруулалтын шийдвэрүүдийг гаргана.

      2. Мэдээллийн аюулгүй байдлын хороо: Байгууллага дотооддоо мэдээллийн аюулгүй байдлын зөвлөл буюу олон нэгжийн төлөөлөл бүхий хороог байгуулж, мэдээллийн аюулгүй байдлын бодлого, стратегийг хэрэгжүүлэхэд чиглүүлэг, хяналт тавина. Энэ зөвлөл (шаардлагатай бол эрсдэлийн удирдлагын хороотой уялдуулж ажиллаж болно) нь бүх гол хэлтэс, охин компаниудын төлөөллийг оролцуулан мэдээллийн аюулгүй байдлын шаардлага, эрсдэлийг хэлэлцэх, бодлогын хэрэгжилтийг зохицуулах үүрэгтэй.

      3. Мэдээллийн аюулгүй байдлын менежер (CISO): Группийн хэмжээнд мэдээллийн аюулгүй байдлын менежер буюу Chief Information Security Officer (CISO) нь МАБМТ-ийг өдөр тутмын түвшинд удирдаж, бодлогын хэрэгжилтийг зохион байгуулах гол хүн байна. Түүний үүрэгт мэдээллийн аюулгүй байдлын стратеги, төлөвлөгөөг боловсруулах, эрсдэлийн үнэлгээ зохион байгуулах, ажилтнуудад зөвлөгөө мэдээлэл өгөх, дотоод аудит, мониторингийг удирдах, удирдлагад тайлагнах зэрэг ажлууд хамаарна. CISO нь бодлогын хэрэгжилтийн явц, зөрчил, эрсдэлийн талаар тогтмол тайлагнаж, шаардлагатай сайжруулалтын саналыг удирдлагад танилцуулна.

      4. Мэдээллийн хөрөнгийн эзэд (бизнесийн нэгжийн удирдлага): Компанийн салбар нэгж, охин компаниудын удирдах ажилтнууд өөрсдийн хариуцсан бизнес процесс, мэдээллийн системийн хүрээнд энэхүү бодлогыг хэрэгжүүлэх, мөрдүүлэх гол үүрэгтэй. Тухайн нэгж, компанийн удирдлага нь өөрийн хариуцсан мэдээллийн актив бүрд эзэмшигч томилж, бодлогын шаардлагын хүрээнд хамгаалалтын арга хэмжээнүүдийг нэвтрүүлэхийг зохион байгуулна. Мөн шинэ төсөл, бүтээгдэхүүн эхлүүлэх, өөрчлөлт хийх үед мэдээллийн аюулгүй байдлын шалгалт, эрсдэлийн үнэлгээг хийлгэх санаачилга гаргаж ажиллах шаардлагатай.

      5. Мэдээллийн технологийн хэлтэс ба системийн администраторууд: Мэдээллийн технологи хариуцсан нэгжийн ажилтнууд, систем, сүлжээний администраторууд техник хэрэгслийн түвшинд бодлогын шаардлагыг хэрэгжүүлнэ. Тэд хэрэглэгчийн эрх олголт, системийн тохиргоо, сүлжээний хамгаалалт, нөөцлөлт зэрэг өдөр тутмын үйл ажиллагааг аюулгүй байдлын бодлого, журмын дагуу гүйцэтгэнэ. Системийн администраторууд нь өөрийн хариуцсан сервер, системд аюулгүй байдлын тохиргоог хийж, журмын хэрэгжилтийг хангах үүрэгтэй бөгөөд аливаа эмзэг байдал, зөрчлийг илрүүлбэл шуурхай мэдээлж засах арга хэмжээ авна.

      6. Ажилтан, систем ашиглагчид: Байгууллагын бүх ажилтан, түүнчлэн мэдээллийн систем ашиглах эрхтэй гэрээт гүйцэтгэгч, түнш байгууллагын ажилтнууд энэхүү бодлогыг мөрдөх үндсэн үүрэгтэй. Ажилтан бүр мэдээллийн аюулгүй байдлын журмыг ягштал дагаж мөрдөхөөс гадна өөрт олгогдсон мэдээллийг түүний ангилал, нууцлалын шаардлагад нийцүүлэн зохистой ашиглах, хамгаалах үүрэг хүлээнэ. Мөн мэдээллийн аюулгүй байдлын ямар нэг зөрчил, сэжигтэй тохиолдлыг анзаармагц даруй холбогдох алба (IT үйлчилгээ, мэдээллийн аюулгүй байдлын менежер)-д мэдээлнэ. Ажилтан нь өөрийн нууц үг, таних тэмдэг, тоног төхөөрөмж зэрэг хандалтын хэрэгслээ нууцлалтай хадгалж, бусдад дамжуулахгүй байхаас гадна байгууллагын мэдээллийг зөвшөөрөлгүй этгээдэд задруулахгүй байх үүрэгтэй.

      7. Дотоод аудит, нийцлийн хяналт: Байгууллагын дотоод аудитын нэгж болон хууль, нийцлийн асуудал хариуцсан ажилтнууд энэхүү бодлого болон холбогдох журам, арга хэмжээнүүд хууль дүрэм, стандартад нийцэж буй эсэхэд хяналт тавина. Тэд төлөвлөгөөт болон онцгой дотоод аудитыг явуулж, бодлогын хэрэгжилтийн байдлыг үнэлэн тайлагнана. Аудитаар илэрсэн зөрчил, сайжруулах шаардлагатай асуудлуудыг ангилж (ноцтой, жижиг зөрчил гэх мэт) тогтоосон хугацаанд засах арга хэмжээг авч хэрэгжүүлэхийг хариуцсан нэгжүүдэд үүрэг болгоно. Дотоод аудит нь МАБМТ-ийн үйл ажиллагаанд хараат бус үнэлгээ өгч, сайжруулалтыг тулгах чухал хэрэгсэл болно.

      8. Гадны байгууллагууд, түншүүд: Мэдээллийн аюулгүй байдалд нөлөө үзүүлж болзошгүй гуравдагч талын байгууллагууд (нийлүүлэгч, аутсорс үйлчилгээ үзүүлэгч, хамтран ажиллагч түншүүд гэх мэт) нь манай байгууллагатай байгуулсан гэрээний дагуу мэдээллийн аюулгүй байдлын шаардлагыг мөрдөх үүрэгтэй. Тухайн талуудтай байгуулсан гэрээнд заасан мэдээлэл хамгаалах нөхцөл, шаардлагын хэрэгжилтийг бизнес хариуцсан нэгжүүд болон мэдээллийн аюулгүй байдлын менежер хамтран хянаж, шаардлагатай тохиолдолд сайжруулах арга хэмжээ (жишээ нь, нэмэлт хамгаалалт нэвтрүүлэх, аудитын дүгнэлт гаргуулах гэх мэт)-г авч хэрэгжүүлнэ.

  8. БОДЛОГО ХЭРЭГЖҮҮЛЭХ ХЯНАЛТ, МОНИТОРИНГ, АУДИТ

    1. Энэхүү бодлогыг хэрэгжүүлэх явцад түүнтэй уялдсан дотоод журмууд, процедур, техник арга хэмжээнүүдийг тасралтгүй хянан сайжруулж, мөрдөлтийг хангах нь чухал ач холбогдолтой. Бодлогын хэрэгжилтэд мониторинг, аудит хийх болон түүнийг хэвшил болгох зарчим, арга барилыг дор дурдав:

      1. Бодлогын сурталчилгаа ба сургалт: Батлагдсан мэдээллийн аюулгүй байдлын бодлогыг бүх ажилтан, холбогдох гуравдагч талуудад хүргэж танилцуулна (дотоод сүлжээ, имэйл, танилцуулга уулзалт зэргээр). Ажилтан бүр энэхүү бодлогын агуулгыг ойлгож хэрэгжүүлэх мэдлэгтэй байх ёстой. Иймд шинээр ажилд орж буй хүмүүст мэдээллийн аюулгүй байдлын бодлого, журамтай танилцах сургалтыг явуулж, цаашид тогтмол хугацаанд (жил бүр буюу шаардлагатай үеүдэд) сэргээх сургалтад хамруулна. Сургалтаар дамжуулан ажилтнуудын аюулгүй байдлын мэдлэг, ухамсар дээшилж, бодлогыг өдөр тутмын ажилдаа хэвшүүлэх соёл төлөвшинө.

      2. Хяналт-шинжилгээ, хэмжилт: Мэдээллийн аюулгүй байдлын бодлогын хэрэгжилтийг тогтмол хянаж, үр дүнг хэмжиж үнэлнэ. Үүний тулд гол гүйцэтгэлийн үзүүлэлтүүд (KPI) болон гол эрсдэлийн үзүүлэлтүүд (KRI)- ийг тодорхойлж, тухайлбал: мэдээллийн аюулгүй байдлын сургалтад хамрагдсан хувь, илрүүлсэн эмзэг байдлын тоо, гарсан зөрчлийн тоо ба шийдвэрлэсэн хувиар, дотоод/гадны аудитын илрүүлсэн зөрчлүүдийн тоо зэрэг үзүүлэлтээр тасралтгүй мониторинг хийнэ. Мониторинг хийхдээ автоматжуулсан хэрэгсэл (логийн менежмент, эрсдэлийн удирдлагын программ зэрэг) ашиглан өгөгдөл цуглуулж, тогтмол тайлагнана. Хэрэв тогтоосон үзүүлэлтүүдийн утга хэвийн бус хандлагатай байвал даруй шалтгааныг шинжилж, тохирох залруулах арга хэмжээг авч хэрэгжүүлнэ.

      3. Дотоод аудит: Мэдээллийн аюулгүй байдлын бодлого болон бүх холбогдох хяналтын хэрэгжилтэд төлөвлөгөөт дотоод аудитыг жил бүр явуулна. Дотоод аудитыг хараат бус, мэргэшсэн ажилтнууд (дотоод аудитын алба эсвэл гадаад мэргэжилтэн) ISO/IEC 27001 стандартын шаардлагад нийцүүлэн гүйцэтгэж, бодлого журам мөрдөгдөж буй байдал, МАБМТ-ийн үр нөлөөг үнэлнэ. Аудитын тайлангаар илэрсэн зөрчил, дутагдлыг засах залруулах төлөвлөгөөг холбогдох нэгжүүд боловсруулан хэрэгжүүлж, гүйцэтгэлийг нь дахин шалган баталгаажуулна. Дотоод аудитын дүнг дээд удирдлагад танилцуулж, бодлого, журмыг шинэчлэх шаардлагатай эсэхийг хэлэлцэнэ.

      4. Хөндлөнгийн аудит ба гэрчилгээ: Байгууллага нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоондоо ISO/IEC 27001 стандартын гэрчилгээ авах зорилго тавьсан тохиолдолд гэрчилгээжүүлэх аудитад хамрагдана. Аккредитацитай хөндлөнгийн аудитын байгууллага манай МАБМТ-ийг үнэлж, стандартын шаардлагыг хангаж байвал ISO/IEC 27001 гэрчилгээг олгоно. Гэрчилгээ авсны дараа ч гэрчилгээг хүчинтэй хадгалахын тулд тогтоосон давтамжтай хяналтын (surveillance) аудитыг хөндлөнгийн аудитороор хийлгэж, тасралтгүй нийцлийг баталгаажуулна. Хөндлөнгийн аудитын зөвлөмж, дүгнэлтийг дотооддоо шуурхай хэрэгжүүлж залруулан, мэдээллийн аюулгүй байдлын тогтолцоог байнга боловсронгуй болгоно.

      5. Бодлогын шинэчлэл, хяналт: Энэхүү бодлогыг байгууллагын дотоод өөрчлөлт, хууль эрхзүйн шинэ шаардлага, технологийн орчны өөрчлөлт зэргийг харгалзан тогтмол (жил бүр) тухай бүрд хянан шинэчилж байна. Бодлогын шинэчилсэн хувилбарыг Мэдээллийн аюулгүй байдлын менежер боловсруулж, мэдээллийн аюулгүй байдлын зөвлөл, дээд удирдлагаар хэлэлцүүлэн батлуулна. Шинэчлэгдсэн бодлогыг бүх ажилтанд шуурхай хүргэж мөрдүүлнэ. Ингэснээр бодлого нь цаг үеийн нөхцөл байдал, бизнесийн хэрэгцээнд нийцсэн, хууль эрхзүйн шаардлагад бүрэн нийцсэн хэвээр байхаар хангана.

      6. Зөрчил, сахилгын арга хэмжээ: Мэдээллийн аюулгүй байдлын бодлогыг зөрчсөн тохиолдолд холбогдох ажилтан, нэгжид зохих арга хэмжээ авна. Хэрэг зөрчлийн шинж байдал, ноцтой байдлаас хамааран албан сануулга өгөх, давтан сургалтад хамруулах, ноцтой зөрчил гаргасан бол хөдөлмөрийн гэрээг цуцлах хүртэл сахилгын шийтгэл ногдуулж болно. Энэхүү зарчмыг тодруулан зааснаар бодлогыг зөрчихгүй мөрдөх өндөр соёл, сахилга баттай байдлыг бүх түвшинд хадгалахыг зорьж байна.

    2. Энэхүү бодлого нь батлагдсан өдрөөс эхлэн “ЮБИКАБ ХОЛДИНГ” ХХК болон түүний бүх охин компанийн хэмжээнд мөрдөж, мэдээллийн аюулгүй байдлыг ханган ажиллах үндсэн баримт бичиг болно.

  9. ХЭРЭГЛЭГЧИЙН МЭДЭЭЛЛИЙН НУУЦЛАЛ БА ДИЖИТАЛ ҮЙЛЧИЛГЭЭНИЙ АЮУЛГҮЙ БАЙДАЛ

    1. Хууль эрх зүйн нийцэл ба зохицуулалт

      Байгууллага нь Хэрэглэгчийн мэдээллийн нууцлал, дижитал үйлчилгээний аюулгүй байдлыг хангахдаа дараах Монгол Улсын холбогдох хууль тогтоомж, зохицуулалтын шаардлагыг заавал мөрдөнө. Үүнд:

      1. Монгол Улсын Хүний хувийн мэдээлэл хамгаалах тухай хууль – хувийн мэдээллийг хууль ёсны үндэслэлтэйгээр цуглуулах, боловсруулах, хадгалах, дамжуулах, устгах;

      2. Монгол Улсын Кибер аюулгүй байдлын тухай хууль – дижитал үйлчилгээ, мэдээллийн системийг кибер халдлагаас хамгаалах;

      3. Холбогдох бусад хууль, зохицуулалт (Байгууллагын нууцын тухай хууль, салбарын зохицуулагч байгууллагын шаардлага).

      Дээрх хуулиас үүдэх шаардлагуудыг байгууллагын эрсдэлийн үнэлгээ, хяналтын арга хэмжээ, журам, сургалт болон аудитын үйл ажиллагаанд тусган хэрэгжүүлнэ.

    2. Хэрэглэгчийн мэдээллийн нууцлал

      Байгууллага нь Хэрэглэгчийн хувийн болон санхүүгийн мэдээллийг дараах зарчмаар хамгаална:

      1. Мэдээлэлд зөвхөн ажлын шаардлагатай, эрх бүхий этгээд хандах (need-to-know зарчим);

      2. Зөвшөөрөлгүй хандалт, задруулалт, алдагдлаас хамгаалах техникийн болон зохион байгуулалтын хяналтыг хэрэгжүүлэх;

      3. Мэдээлэлд хандсан, өөрчилсөн, дамжуулсан үйлдлийг бүртгэх, хянах (лог, аудитын мөр);

      4. Гуравдагч этгээдэд мэдээлэл дамжуулах тохиолдолд гэрээ, NDA болон мэдээллийн аюулгүй байдлын шаардлагаар зохицуулах.

    3. Дижитал үйлчилгээний аюулгүй байдал

      Аппликейшн, вебсайт болон бусад дижитал сувгаар үзүүлж буй үйлчилгээ нь дараах шаардлагыг хангана:

      1. Кибер халдлага (DDoS, malware, фишинг, API халдлага гэх мэт)-аас хамгаалагдсан байх;

      2. Secure development, өөрчлөлтийн удирдлага, тест, мониторинг хэрэгжсэн байх;

      3. Мэдээллийн аюулгүй байдлын зөрчил, инцидент илрүүлэх, мэдээлэх, хариу арга хэмжээ авах тогтолцоотой байх.

    4. Оролцогч тал ба гуравдагч этгээдийн үүрэг

      Энэхүү бодлогод тусгасан мэдээллийн аюулгүй байдал, нууцлалын шаардлагыг дараах оролцогч талууд заавал мөрдөнө:

      1. Байгууллагын хөдөлмөрийн гэрээ байгуулсан бүх ажилтан;

      2. Гэрээт болон аутсорсинг үйлчилгээ үзүүлэгчид;

      3. Ханган нийлүүлэгч, гуравдагч этгээдүүд.

      Шаардлагатай тохиолдолд эдгээр талуудад бодлого, стандарт шаардлагыг сургалт, танилцуулга болон гэрээний нөхцлөөр дамжуулан хүргэнэ.

    5. Хэрэглэгчийн мэдээллийг цуглуулах, боловсруулах, ашиглах

      Байгууллага нь хэрэглэгчийн мэдээллийг дараах тохиолдолд цуглуулж, боловсруулж, ашиглана.

      1. мэдээллийн эзний зөвшөөрлөөр;

      2. хуульд заасан үндэслэлээр;

      3. хуульд заасны дагуу нийтэд ил болгосон;

      4. хүнийг тодорхойлох боломжгүй болгож нээлттэй өгөгдөл, статистикийн мэдээлэл бэлтгэх.

      Байгууллага нь мэдээллийг хуульд заасан үндэслэл, журмын дагуу цуглуулж, боловсруулж, ашиглаагүй бол мэдээллийн эзний хүсэлтээр мэдээллийг устгана.

    6. Олон нийтэд мэдээлэх ба ил тод байдал

      Байгууллага нь Хэрэглэгчийн мэдээллийн нууцлал, дижитал үйлчилгээний аюулгүй байдалтай холбоотой үндсэн бодлого, зарчмыг дараах сувгуудаар ил тод байршуулахыг зорин ажиллана:

      1. Байгууллагын албан ёсны вебсайт;

      2. Аппликейшн;

      3. Бусад албан ёсны дижитал сувгууд.

      Энэхүү ил тод байдал нь Хэрэглэгчийн итгэлийг нэмэгдүүлэх, хууль эрх зүйн нийцлийг хангахад чиглэнэ.


INFORMATION SECURITY MANAGEMENT SYSTEM POLICY OF UBCAB HOLDING LLC

/ Document No: ISMS-DOC-02-1 /

Date: September 22, 2025

  1. INTRODUCTION

    1. “UBCAB HOLDING” LLC (hereinafter referred to as the “Company”) is a leading fintech and technology holding company in Mongolia, comprising multiple subsidiaries operating in ride-hailing, delivery, 24/7 customer service, logistics, fintech payment solutions, vehicle leasing, and software development.

      In its daily operations, the Company processes highly sensitive information, including financial systems, personal data of users and drivers/couriers, location data, fintech platform data, and customer interaction records. Therefore, ensuring information security is of critical importance to maintaining business continuity, service quality, and customer trust.

      By implementing the international ISO/IEC 27001:2022 standard, “UBCAB HOLDING” LLC establishes a comprehensive system to protect the confidentiality, integrity, and availability of information assets based on risk management principles and adopts an integrated security approach across all business sectors. This is particularly important in areas such as ride-hailing, protection of user data and location data in delivery services, PCI DSS compliance for payment data in fintech services, and secure operations in software development and cloud services.

    2. In recent years, new requirements have emerged in Mongolia’s legal and regulatory environment regarding information security and personal data protection. The Cybersecurity Law adopted in 2021, the Personal Data Protection Law effective from 2022, as well as regulations issued by the Financial Regulatory Commission and the Bank of Mongolia on information technology and financial service security, require companies to adhere to a high level of information security standards.

      Accordingly, “UBCAB HOLDING” LLC and its subsidiaries declare through this policy that they will not only implement an ISMS compliant with ISO/IEC 27001, but also comply with industry-specific standards and regulations, including taxi service standards, financial regulatory requirements, PCI DSS for payment systems, and AML/KYC requirements at both domestic and international levels.

    3. This Information Security Policy defines the key principles and requirements to be followed within the Information Security Management System (ISMS), tailored to the operational characteristics of “UBCAB HOLDING” LLC and all its subsidiaries.

      The policy serves as a foundational document that ensures leadership commitment and direction in information security and defines ISMS objectives and goals. Furthermore, through this policy, the Company establishes requirements for:

      • Protection of personal data and location data of users and drivers in ride-hailing and delivery services, as well as confidentiality of customer interaction data;
      • Reliability of payment systems and protection of card data in fintech services;
      • Implementation of secure development practices in software development and system integration projects, as well as protection of contractual data in vehicle leasing and B2B services.

  2. SCOPE

    1. This policy shall apply to “UBCAB HOLDING” LLC and all its subsidiaries. The provisions of this policy shall fully apply to information security activities across all organizational structures, units, and affiliated entities of the Company. Specifically, the policy shall be implemented within the following scope:

      • All information assets owned or controlled by the Group’s parent company and its subsidiaries are included. This includes all types of information such as databases, user data, driver/courier location data, financial systems, servers, devices, software, cloud environments, documents, and the Company’s business secrets.
      • All employees of the Company, as well as contractors, temporary staff, consultants, outsourcing service providers, suppliers, fintech and banking partners, cloud service providers, and any other parties with authorized access to information systems and data are required to comply with this policy.
      • The requirements of this policy apply to all environments and locations where information processing takes place. This includes the Company’s head office, branch offices, data centers, cloud environments, call centers, BPO environments, driver/courier mobile applications, and remote working environments.
      • All information created, collected, processed, or transmitted within the scope of the Company’s products and services falls under the protection of this policy. This includes:
        • Customer personal, financial, and interaction data and records;
        • Location and income data of drivers and delivery personnel;
        • Payment transaction data and fintech service data;
        • The Company’s financial reports and contractual information.

    2. The implementation of this policy shall be ensured across the entire Group, including software development, system code, and technical solutions. Where necessary, each subsidiary may develop and implement internal procedures and guidelines tailored to its operational specifics.

      In such cases, these procedures and guidelines must be fully aligned with this policy and shall be governed under the unified framework of the Information Security Management System (ISMS) of “UBCAB HOLDING” LLC.

  3. OBJECTIVE

    1. The objective of this policy is to ensure an appropriate level of protection for the information assets of “UBCAB HOLDING” LLC and all its subsidiaries, thereby:

      • Supporting business continuity;
      • Safeguarding the information security of customers, drivers, delivery personnel, and partner organizations;
      • Ensuring the reliability of fintech payment systems;
      • Securing software development and system integration projects;
      • Protecting client data within BPO services;
      • Ultimately maintaining the Company’s reputation and ensuring legal and regulatory compliance.

    2. Through this Information Security Policy, the Company’s top management demonstrates its leadership and commitment to information security management and uses this policy as a foundational document for defining ISMS objectives.

    3. This policy establishes information security objectives and principles aligned with the ISO/IEC 27001:2022 standard and serves as the basis for developing supporting policies, procedures, and guidelines. Within this framework, the Organization sets the following objectives:

      • Confidentiality, Integrity, and Availability (CIA): To protect information assets generated within ride-hailing, delivery, fintech, software development, and call center operations;
      • Legal and Regulatory Compliance: To fully comply with applicable laws, regulations, and contractual obligations, including the Personal Data Protection Law, Cybersecurity Law, PCI DSS, and AML/KYC requirements;
      • Risk Management: To conduct information security risk assessments annually and as needed, and to implement mitigation measures for high and critical risks;
      • Employee Awareness and Culture: To provide regular information security training to all employees and foster a culture where policies are applied in daily operations;
      • Continuous Improvement: To continuously improve the ISMS based on the PDCA cycle and address risks related to emerging technologies (such as AI, EV fleets, e-wallets, and cloud services) through appropriate controls.

    4. In order to achieve these objectives, this policy defines the scope and measures for establishing and maintaining the Information Security Management System across the Organization, including:

      • Implementing a unified ISMS across all subsidiaries;
      • Developing sub-policies and procedures tailored to specific business operations (e.g., ride-hailing, fintech, BPO);
      • Regularly conducting risk assessments, internal audits, and management reviews;
      • Implementing control measures such as incident management protocols, business continuity planning, and third-party audits.

  4. TERMS AND DEFINITIONS

    1. The following terms used in this policy shall be understood as defined below:

      • Information Security – The preservation of the confidentiality, integrity, and availability of information.
        • Confidentiality ensures that information is accessible only to authorized individuals;
        • Integrity ensures that information remains accurate and is not altered without authorization;
        • Availability ensures that information is accessible and usable when required.
      • Information Security Management System (ISMS) – A comprehensive system that integrates policies, procedures, processes, and resources to manage and control information security within an organization. It is a management framework aligned with ISO/IEC 27001 requirements and based on continual improvement.
      • Information Asset – Any information and the supporting infrastructure and resources under the organization’s control or within its processing scope. This includes both electronic and physical information, databases, software, hardware, network devices, storage media, and documents.
      • Confidential Information – Information classified as sensitive for individuals or organizations, where unauthorized disclosure may result in harm. This includes customer personal data, financial information, payment card data, and internal confidential documents protected by law or contractual agreements.
      • Personal Data – Any information related to an individual that can directly or indirectly identify that person (e.g., name, registration number, contact details, financial information, home address, travel information, etc.). This definition aligns with “personal data” as defined in the Law on Personal Data Protection of Mongolia.
      • Risk – The combination of the likelihood of an event or circumstance that may negatively impact information security and the severity of its consequences. Risk level is determined by the probability of occurrence and the impact.
      • Information Security Incident – An event that has caused or may cause a negative impact on information security (confidentiality, integrity, availability), resulting in potential or actual damage. Examples include data breaches, unauthorized access, malware attacks, and system disruptions.
      • Control Measures – All policies, procedures, technologies, methods, and organizational practices implemented to ensure information security. Examples include password policies, firewalls, encryption methods, and access restrictions.

  5. POLICY PRINCIPLES

    1. “UBCAB HOLDING” LLC and its subsidiaries shall adhere to the following fundamental principles to ensure information security:

      • Principle of Legal and Regulatory Compliance:
        The Organization shall fully comply with all applicable laws, regulations, and rules issued by regulatory authorities related to information security. This includes, but is not limited to, the Law on Personal Data Protection of Mongolia, the Cybersecurity Law, and other relevant legal acts. The Organization shall also strictly fulfill information security obligations and requirements stipulated in contracts and agreements with third parties.

      • Principle of Accountability (Information Asset Ownership):
        All information assets owned by the Organization shall have clearly defined owners. Asset owners are responsible for defining acceptable use, access levels, and implementing appropriate protection measures. Information assets shall be classified, and corresponding protection requirements shall be applied based on their classification (e.g., confidentiality levels).

      • Principle of Need-to-Know:
        Access to information shall be granted only to authorized personnel based on business necessity. Users shall be provided with the minimum level of access required to perform their duties, and privileges shall be managed and reviewed in a controlled manner. Technical and organizational measures shall be continuously improved to prevent unauthorized access.

      • Principle of Information Classification and Labeling:
        The Organization shall classify all information assets according to defined classification levels and apply appropriate protection and handling procedures. Information shall be labeled (e.g., public, internal use, confidential, highly confidential), and specific rules for storage, transmission, and disposal shall be established for each classification level. Employees are responsible for handling information in accordance with its classification.

      • Principle of Integrity Protection:
        The Organization shall take all necessary measures to ensure the accuracy and completeness of information. Backup, validation, and control mechanisms shall be implemented to ensure that information remains reliable and unaltered without authorization. All changes to data and systems shall be authorized, recorded, and traceable, with defined recovery procedures in place.
      • Principle of Confidentiality Protection:
        Technical controls (e.g., encryption, password policies, multi-factor authentication) and organizational controls (e.g., physical security, access restrictions) shall be implemented to protect information from unauthorized access, disclosure, and loss. All access to confidential information shall be logged and monitored.
      • Principle of Risk Management:
        The Organization shall regularly assess information security risks and implement appropriate mitigation and control measures for identified risks. Risk assessments shall be conducted at least annually or whenever significant changes occur in information systems. Risk treatment measures shall align with the Organization’s risk tolerance levels, and residual risks shall be reported to and approved by top management.
      • Principle of Continuous Improvement:
        The Organization shall continuously evaluate and improve the ISMS based on the Plan-Do-Check-Act (PDCA) cycle. The implementation of information security objectives and controls shall be regularly monitored and reviewed by management. Identified weaknesses and non-conformities shall be promptly addressed through corrective and improvement actions to ensure ongoing enhancement of the ISMS.
    2. The above principles shall be applied at all levels of the Organization and shall guide all decisions and activities related to information security.

  6. CONTROL DOMAINS

    1. In order to implement this Information Security Policy, control measures shall be planned and implemented across the following key domains. These control domains are aligned with the control objectives set out in ISO/IEC 27001:2022 Annex A and tailored to the characteristics of the fintech industry.
    2. Access Control

      1. Access to the Company’s information and system resources shall be granted only to authorized employees and users. Access rights shall be granted, modified, and revoked in accordance with formal procedures, ensuring that each user is provided only with the minimum level of access necessary to perform their duties.

        User account management, password policies, multi-factor authentication (e.g., 2FA), and network access controls shall be implemented to ensure that only authorized individuals can access information. Access rights shall be recorded, periodically reviewed, and unnecessary privileges revoked. Particular attention shall be given to administrative and privileged accounts, and their usage shall be logged and monitored.

    3. Cryptography

      1. Cryptographic techniques shall be widely used to ensure the confidentiality and integrity of information. Sensitive data (e.g., customer personal data, payment card data) and data transmitted between systems shall be protected using approved cryptographic algorithms (e.g., AES, RSA).

        Secure protocols such as TLS/SSL shall be used for data transmission, and data shall be encrypted during storage. Cryptographic keys shall be securely managed throughout their lifecycle (generation, distribution, storage, archival, and destruction). Procedures shall be established for detecting, recovering from, and auditing key-related incidents.

    4. Asset Management

      1. All information assets (including data, software, hardware, and documents) shall be inventoried, classified, and assigned to responsible owners. An asset register shall be maintained, and asset owners shall be responsible for the proper use and protection of their assigned assets.

        Information assets shall be classified based on their value, sensitivity, and risk level, and appropriate protection measures shall be applied. Mechanisms shall be in place to monitor asset integrity, usage, and location, and all changes to assets (creation, transfer, disposal) shall be recorded and managed in accordance with established procedures.

    5. Human Resource Security

      1. Information security requirements shall be integrated into recruitment and termination processes. Background checks may be conducted where appropriate. Job descriptions shall include information security responsibilities, and employees shall acknowledge compliance with policies as part of their employment contracts. Regular information security training shall be provided.

      2. When an employee’s role changes or employment is terminated, the following measures shall be implemented:

        • Immediate revocation or adjustment of access rights;
        • Return and documentation of all Company assets and information;
        • Transfer or reset of access credentials (e.g., passwords, keys);
        • Risk assessment and additional controls where necessary;
        • Monitoring of system usage, where legally permissible.
    6. Physical and Environmental Security

      1. Physical protection of facilities housing information systems and storage devices shall be ensured at a high level. Controls (e.g., security personnel, CCTV) shall prevent unauthorized physical access.

        Critical areas such as server rooms shall be restricted to authorized personnel, and visitor access shall be controlled and logged. Environmental protections (e.g., fire detection systems) shall be implemented to prevent damage. Portable devices shall be protected using measures such as encryption, tracking, and remote wipe capabilities.

    7. Operations and Network Security

      1. Best practices for IT operations shall be followed. Systems shall be securely configured, and anti-malware protection shall be implemented and regularly updated.

        Multi-layered network security solutions (e.g., firewalls, IDS/IPS, VPN) shall be used to prevent unauthorized access. Logs and event data shall be continuously collected and analyzed to detect threats.

      2. Change management procedures shall be strictly followed. All system changes shall be approved and tested prior to implementation. Security risk assessments shall be conducted for major changes, and testing shall be performed in isolated environments before deployment.

      3. Logs shall be centrally stored, retained, and made available for investigation in the event of security incidents.

    8. Third-Party and Supplier Security

      1. Information security requirements shall be included in contracts with third parties (e.g., banks, cloud providers, vendors). Due diligence shall be conducted during vendor selection, and certifications such as ISO 27001 may be required.

        Contracts shall include confidentiality obligations and incident reporting requirements. Supplier performance and security compliance shall be periodically reviewed, and corrective actions shall be required for non-compliance.

    9. Information Security Incident Management

      1. A structured incident management process shall be established, including:

        • Detection and Classification: Employees must report suspicious events immediately; incidents shall be analyzed and classified;
        • Response: Appropriate teams shall respond to contain and mitigate impacts;
        • Notification: Significant incidents shall be reported to management and regulators within legal timeframes (e.g., 72 hours for personal data breaches);
        • Analysis and Remediation: Root cause analysis and corrective actions shall be implemented;
        • Documentation and Lessons Learned: Incidents shall be recorded, reviewed, and used for improvement.

      2. This process ensures rapid response and supports business continuity while maintaining organizational readiness.

    10. Business Continuity and Disaster Recovery

      1. Information security is integral to business continuity. The Organization shall develop and maintain Business Continuity Plans (BCP) and Disaster Recovery Plans (DRP), including regular testing.

        Critical systems shall be backed up regularly, with defined recovery objectives (RTO, RPO). Plans shall include roles, communication, alternate locations, and resource requirements, and shall be reviewed annually.

    11. Information Security Compliance

      1. The Organization shall ensure compliance with all applicable legal, regulatory, and contractual requirements, including:

        • Compliance with Mongolian laws (e.g., Personal Data Protection Law, Cybersecurity Law) and international standards (e.g., PCI DSS, GDPR where applicable);
        • Readiness for regulatory audits and timely reporting;
        • Mandatory reporting of security incidents (e.g., within 72 hours);
        • Respect for software licensing and intellectual property rights;
        • Enforcement of disciplinary measures for policy violations.

  7. ROLES AND RESPONSIBILITIES

    1. In order to ensure the successful implementation of the Information Security Policy, clear roles and responsibilities shall be assigned at all levels of the Organization. The key roles and responsibilities are defined as follows:

      1. Management Board and Executive Management:

        The executive management team shall approve the Information Security Policy and support its implementation. The Management Board shall prioritize information security across the Organization, provide necessary resources (human, financial, and technological), and lead the implementation of the policy.

        They shall regularly review the achievement of ISMS objectives, monitor the overall risk posture, review internal audit results, and make decisions on improvements.

      2. Information Security Committee:

        The Organization shall establish an internal Information Security Committee consisting of representatives from multiple departments. This committee shall provide guidance and oversight for the implementation of information security policies and strategies.

        Where appropriate, it may operate in coordination with the risk management committee. The committee shall review information security requirements, assess risks, and coordinate policy implementation across all major departments and subsidiaries.

      3. Information Security Manager (CISO):

        At the Group level, the Chief Information Security Officer (CISO) shall be responsible for the day-to-day management of the ISMS and the implementation of this policy.

        The CISO’s responsibilities include developing information security strategies and plans, conducting risk assessments, advising employees, overseeing internal audits and monitoring activities, and reporting to management. The CISO shall regularly report on policy implementation, incidents, and risks, and propose improvements to management.

      4. Information Asset Owners (Business Unit Management):

        Managers of business units and subsidiaries shall be responsible for implementing and enforcing this policy within their respective processes and information systems.

        They shall assign ownership for each information asset under their responsibility and ensure that appropriate security controls are implemented. They shall also ensure that information security assessments and risk evaluations are conducted when initiating new projects, products, or changes.

      5. IT Department and System Administrators:

        IT personnel and system/network administrators shall implement technical controls in accordance with this policy.

        They shall manage user access, system configurations, network security, backups, and daily operations in compliance with security procedures. System administrators shall ensure secure configurations of systems under their responsibility and promptly report and remediate any vulnerabilities or incidents.

      6. Employees and System Users:

        All employees, as well as contractors and partner personnel with access to information systems, are responsible for complying with this policy.

        Each employee shall follow information security procedures and properly use and protect information according to its classification and confidentiality requirements. Employees shall immediately report any suspected or actual security incidents to the relevant unit (IT service or Information Security Manager).

        They are also responsible for safeguarding their passwords, credentials, and devices, and must not disclose Company information to unauthorized parties.

      7. Internal Audit and Compliance:

        The internal audit function and compliance personnel shall monitor adherence to this policy and related procedures to ensure compliance with laws, regulations, and standards.

        They shall conduct regular and ad hoc audits, assess policy implementation, and report findings. Identified issues shall be categorized (e.g., major or minor non-conformities), and responsible units shall be required to implement corrective actions within defined timelines. Internal audit provides independent assurance and drives continuous improvement of the ISMS.

      8. External Parties and Partners:

        Third parties that may impact information security (such as suppliers, outsourcing providers, and business partners) shall comply with information security requirements as defined in contractual agreements.

        Compliance with these requirements shall be monitored jointly by business units and the Information Security Manager. Where necessary, improvement actions (e.g., additional controls, independent audits) shall be required.

  8. POLICY IMPLEMENTATION, MONITORING, AND AUDIT

    1. During the implementation of this policy, it is essential to continuously monitor, improve, and ensure compliance with related internal procedures, processes, and technical measures. The principles and approaches for monitoring and auditing the implementation of this policy are as follows:

      1. Policy Communication and Training:

        The approved Information Security Policy shall be communicated to all employees and relevant third parties (e.g., via internal networks, email, and briefing sessions). All employees must understand the content of this policy and be capable of implementing it in their daily work.

        New employees shall receive training on information security policies and procedures upon onboarding, and all employees shall participate in regular refresher training (annually or as required). Through such training, employees’ awareness and understanding of information security shall be enhanced, fostering a culture of compliance.

      2. Monitoring and Measurement:

        The implementation of the Information Security Policy shall be regularly monitored, measured, and evaluated. Key Performance Indicators (KPIs) and Key Risk Indicators (KRIs) shall be defined, such as:

        • Percentage of employees completing information security training;
        • Number of identified vulnerabilities;
        • Number of incidents and resolution rates;
        • Number of findings from internal and external audits.

        Monitoring shall be conducted using automated tools (e.g., log management systems, risk management tools), and results shall be reported regularly. If abnormal trends are detected, root cause analysis shall be performed and appropriate corrective actions implemented.

      3. Internal Audit:

        Planned internal audits shall be conducted annually to assess compliance with the Information Security Policy and all related controls.

        Internal audits shall be performed by independent and qualified personnel (internal audit unit or external specialists) in accordance with ISO/IEC 27001 requirements. Audit findings shall be documented, and corrective action plans shall be developed and implemented by responsible units. Follow-up reviews shall ensure effective remediation.

        Audit results shall be reported to top management, who shall determine whether updates to policies or procedures are required.

      4. External Audit and Certification:

        Where the Organization seeks ISO/IEC 27001 certification, it shall undergo certification audits by accredited external audit bodies. If compliance is confirmed, ISO/IEC 27001 certification shall be granted.

        To maintain certification, periodic surveillance audits shall be conducted by external auditors. Recommendations and findings from external audits shall be promptly addressed to continuously improve the ISMS.

      5. Policy Review and Update:

        This policy shall be reviewed and updated regularly (at least annually) to reflect organizational changes, new legal requirements, and technological developments.

        Updated versions of the policy shall be prepared by the Information Security Manager, reviewed by the Information Security Committee, and approved by top management. The updated policy shall be promptly communicated to all employees to ensure continued compliance.

      6. Violations and DisciplinaryActions:

        In the event of violations of this Information Security Policy, appropriate actions shall be taken against the responsible employees or units.

        Depending on the nature and severity of the violation, disciplinary measures may include formal warnings, mandatory retraining, or termination of employment in serious cases. This ensures a strong culture of compliance and accountability across all levels of the Organization.

    2. This policy shall take effect from the date of approval and shall serve as the primary document governing information security across “UBCAB HOLDING” LLC and all its subsidiaries.

  9. USER DATA PRIVACY AND DIGITAL SERVICE SECURITY

    1. Legal Compliance and Regulation

      The Organization shall comply with the relevant laws and regulatory requirements of Mongolia when ensuring user data privacy and digital service security. These include:

      1. The Law on Personal Data Protection of Mongolia – lawful collection, processing, storage, transfer, and deletion of personal data;

      2. The Law on Cybersecurity of Mongolia – protection of digital services and information systems against cyber threats;

      3. Other applicable laws and regulations (such as the Law on State and Organizational Secrets and requirements of sector regulators).

        Requirements arising from these laws shall be incorporated into the Organization’s risk assessments, control measures, internal procedures, training, and audit activities.

    2. User Data Privacy

      The Organization shall protect users’ personal and financial information in accordance with the following principles:

      1. Access to data shall be limited to authorized personnel on a need-to-know basis;
      2. Technical and organizational controls shall be implemented to prevent unauthorized access, disclosure, and data loss;
      3. All access, modification, and transfer of data shall be logged and monitored (logs and audit trails);
      4. Any transfer of data to third parties shall be governed by contracts, NDAs, and information security requirements.
    3. Digital Service Security

      Applications, websites, and other digital service channels shall meet the following requirements:

      1. Protection against cyber threats (such as DDoS attacks, malware, phishing, and API attacks);
      2. Implementation of secure development practices, change management, testing, and monitoring;
      3. Establishment of mechanisms to detect, report, and respond to information security incidents.
    4. Responsibilities of Stakeholders and Third Parties

      The information security and privacy requirements set out in this policy shall be adhered to by the following parties:

      1. All employees under employment contracts with the Organization;
      2. Contractors and outsourced service providers;
      3. Suppliers and other third parties.

      Where necessary, these requirements shall be communicated through training, briefings, and contractual obligations.

    5. Collection, Processing, and Use of User Data

      The Organization shall collect, process, and use user data in the following cases:

      1. With the consent of the data subject;
      2. On legal grounds as provided by law;
      3. When the data has been made publicly available in accordance with the law;
      4. For preparing anonymized datasets for open data or statistical purposes.

      If data has not been collected, processed, or used in accordance with legal grounds and procedures, it shall be deleted upon the request of the data subject.

  10. Public Disclosure and Transparency

    The Organization shall strive to make its key policies and principles regarding user data privacy and digital service security publicly available through the following channels:

    1. The Organization’s official website;
    2. Mobile or web applications;
    3. Other official digital channels.

    Such transparency aims to enhance user trust and ensure legal compliance.