Physical Access Control กับความมั่นคงปลอดภัยตาม ISO 27001:2013

Physical Access Control กับความมั่นคงปลอดภัยตาม ISO 27001:2013

การติดตั้ง ระบบควบคุมการเข้าถึงทางกายภาพ หรือ Physical Access Control นั้น ได้รับความนิยมอย่างแพร่หลายเป็นอย่างมากในปัจจุบัน ทั้งในอาคารสำนักงาน ตึกคอนโดมีเนียม และบ้านพักอาศัย อีกทั้งยังมีให้เลือกใช้งานกันอยู่หลากหลายรูปแบบ ซึ่งเจ้าของสถานที่หรือผู้บริหารองค์กรจะต้องพิจารณาเลือกใช้งานอย่างรอบคอบและเหมาะสมกับสภาพแวดล้อมและเงื่อนไขของตนเอง โดยคำนึงถึงความเสี่ยงและความมั่นคงปลอดภัยเป็นหลัก

ในบทความนี้ ทีมงาน DestinationOne ได้รวบรวมประเด็นสำคัญที่ท่านจำเป็นต้องคำนึงถึงในการบริหารจัดการระบบควบคุมการเข้าถึงทางกายภาพ เพื่อให้มีความมั่นคงปลอดภัยสอดคล้องตามมาตรฐาน ISO 27001:2013

10 สิ่งสำคัญที่ต้องพิจารณาในการบริหารจัดการระบบ Access Control

1. ตำแหน่งที่ติดตั้ง เป็นจุดเริ่มต้นที่สำคัญในการบริหารจัดการระบบ Physical Access Control การตัดสินใจเลือกตำแหน่งที่ติดตั้งอย่างถูกต้องเหมาะสมจะช่วยเพิ่มประสิทธิภาพในการจัดการ และเสริมความมั่นคงปลอดภัยมากยิ่งขึ้น
2. ประเภท การเลือกประเภทของระบบ Physical Access Control นั้น จะต้องพิจารณาตามความเสี่ยงของพื้นที่ และความเหมาะสมในการใช้งาน อาทิ การใช้บัตร Smart Card, การสแกนลายนิ้วมือ, การสแกนรูม่านตา เป็นต้น
3. การกำหนดสิทธิ์การเข้าถึงพื้นที่ พนักงานทุกคนไม่สมควรได้รับสิทธิ์ในการเข้าถึงพื้นที่ที่ไม่เกี่ยวข้องกับหน้าที่และความรับผิดชอบของตนเอง ดังนั้น เพื่อให้สอดคล้องตามมาตรการด้านความมั่นคงปลอดภัย เจ้าของพื้นที่จึงควรจะมีการจำกัดสิทธิ์การเข้าถึงให้เฉพาะผู้ที่จำเป็นเท่านั้น
4. ระยะเวลาการจัดเก็บข้อมูล จำเป็นต้องมีการเก็บบันทึกข้อมูลการผ่านเข้าออกไว้อย่างน้อยเป็นระยะเวลา 90 วัน หรือพิจารณาให้สอดคล้องกับวัตถุประสงค์และความต้องการด้านความมั่นคงปลอดภัยขององค์กรเป็นหลัก
   
5. การตั้งค่าเวลา เวลาของระบบ Access Control นั้น จะต้องได้รับการตั้งค่าตามหน่วยเวลามาตรฐานสากล รวมถึงสอดคล้องกับระบบอื่นๆ ที่เกี่ยวข้อง เพื่อให้สามารถอ้างอิงและตรวจสอบได้หากมีการสืบสวนเกิดขึ้น และจะต้องได้รับการทบทวนความเที่ยงตรงของค่าเวลาอย่างสม่ำเสมอ
6. การเฝ้าระวัง การติดตั้งระบบ Access Control นั้นจะไม่เกิดประโยชน์อย่างใดเลยหากขาดการเฝ้าระวัง และจะต้องมีการกำหนดขั้นตอนการปฏิบัติงานอย่างเหมาะสม เช่น หากพบตรวจพบความผิดปกติจะต้องแจ้งไปยังใคร ผ่านทางช่องทางใด วิธีการแจ้งเป็นอย่างไร เป็นต้น
7. พนักงาน จะต้องมีการตระหนักรู้และมีความตื่นตัวด้านความมั่นคงปลอดภัยอยู่ตลอดระยะเวลาในการปฏิบัติงาน และจะต้องหมั่นสังเกต ตั้งข้อสงสัยอยู่เสมอ เพื่อตรวจหาความผิดปกติ
8. การสำรองข้อมูล แนวทางในการสำรองข้อมูลนั้นจะขึ้นอยู่กับความจำเป็นและความเสี่ยงของแต่ละพื้นที่ และจะต้องมีการกำหนดขั้นตอนในการสำรองข้อมูล เช่น ประเภทของสื่อบันทึกข้อมูล, ระยะเวลาการจัดเก็บข้อมูลสำรอง, การดูแลรักษาข้อมูลสำรอง ฯลฯ อย่างมั่นคงปลอดภัยอีกด้วย
9. โปรแกรม/ซอฟต์แวร์ ที่ใช้เพื่อจัดการระบบ Access Control นั้น จะต้องใช้งานได้ง่ายและมีความมั่นคงปลอดภัย โดยจะต้องผ่านการตรวจหาจุดอ่อนและช่องโหว่อย่างสม่ำเสมอ และจะต้องมีการจัดการผู้ใช้งาน, รหัสผ่าน รวมถึงมีการทบทวนประวัติการเข้าใช้งานอย่างรอบคอบเหมาะสม
10. สัญญาการให้บริการ องค์กรจะต้องมีการกำหนดข้อตกลงในสัญญาการให้บริการของผู้ให้บริการภายนอกที่ดูแลอุปกรณ์และระบบ Access Control อย่างเหมาะสม เช่น มีการกำหนดรอบระยะเวลาการบำรุงรักษา, เงื่อนไขการแก้ปัญหาหากระบบเกิดการหยุดชะงัก เป็นต้น โดยจะต้องคำถึงความต้องการด้านความมั่นคงปลอดภัยเป็นสำคัญเสมอ

Content Cr : DestinationOne Counselor

Photo Cr : Praetorian & NuSource

หลากหลายคำถามที่องค์กรต้องตอบเพื่อป้องกันปัญหา “ข้อมูลรั่วไหล”

หลากหลายคำถามที่องค์กรต้องตอบเพื่อป้องกันปัญหา “ข้อมูลรั่วไหล”

ในปัจจุบัน “ข้อมูลรั่วไหล” กลายเป็นปัญหาพื้นฐานที่ทุกองค์กรต้องเผชิญ ไม่ว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ แม้ว่าจะมีการจัดซื้อหรือใช้งานเทคโนโลยีที่ทันสมัยและเข้มแข็งมากสักเพียงใด ก็ยังคงไม่สามารถหลีกเลี่ยงความเสี่ยงของการรั่วไหลของข้อมูลได้ เพราะสาเหตุอาจจะเกิดจากความพยายามโจมตีจากผู้มุ่งร้าย การทำงานที่ประมาทเลินเล่อของบุคลากร ฯลฯ ซึ่งล้วนแต่นำมาซึ่งผลเสียหาย

ดังนั้น แนวทางการแก้ปัญหาข้อมูลรั่วไหลที่ดีที่สุด ก็คือการป้องกันการเกิดเหตุ และการลดผลกระทบที่อาจจะเกิดขึ้นจากเหตุนั้น - ทางทีมงาน DestinationOne จึงขอนำเสนอ “รายการคำถาม” เพื่อให้ผู้บริหารของทุกองค์กรได้พิจารณา คำถามเหล่านี้จะช่วยให้ท่านได้ทบทวนการดำเนินการและการปฏิบัติงานต่างๆ ในระหว่างค้นหาคำตอบ ซึ่งจะเป็นประโยชน์ต่อการวางแผนพัฒนาและปรับปรุงต่อไป

คำถามที่องค์กรต้องตอบเพื่อเป็นการป้องกันหรือเตรียมการในการรับมือปัญหา “ข้อมูลรั่วไหล”

• องค์กรมีการจัดลำดับชั้นความลับอย่างไร
• องค์กรกำหนดวิธีในการดูแลรักษาและการใช้งานข้อมูลตามชั้นความลับอย่างไร
• องค์กรมีการควบคุมการเข้าถึงอย่างไร
• องค์กรมีมาตรฐานรหัสผ่านอย่างไร
• องค์กรมีนโยบายการนำข้อมูลหรือทรัพย์สินเข้าออกพื้นที่อย่างไร
• องค์กรมีการควบคุมการเข้าถึงพื้นที่ทางกายภาพอย่างไร
• องค์กรมีการติดตั้งระบบกล้องวงจรปิดอย่างไร
• องค์กรมีการมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศอะไรบ้าง
• องค์กรมีการกำหนดกฎระเบียบการใช้งานทรัพย์สินแต่ละประเภทอย่างไร
• องค์กรมีการควบคุมการใช้งานสื่อบันทึกข้อมูลอย่างไร
• องค์กรมีการทำลายข้อมูลอย่างมั่นคงปลอดภัยอย่างไร
• องค์กรมีการเข้ารหัสข้อมูลสำคัญอย่างไร
• องค์กรมีการบริหารจัดการความเสี่ยงทางด้านความมั่นคงปลอดภัยอย่างไร
• องค์กรมีการบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัยอย่างไร
• องค์กรมีการบริหารจัดการการเปลี่ยนแปลงอย่างไร
• องค์กรมีการทบทวนประวัติการเข้าถึง ประวัติการใช้งานระบบและเหตุการณ์ต่างๆ ทางด้านความมั่นคงปลอดภัยอย่างไร
• องค์กรมีวิธีการในการคัดเลือกหรือตรวจสอบประวัติของพนักงานอย่างไร
• องค์กรมีการให้พนักงานลงนามในเอกสารสัญญาการรักษาความลับของข้อมูลอย่างไร
• องค์กรมีการสร้างความตระหนักรู้และให้ความรู้ทางด้านความมั่นคงปลอดภัยอย่างไร
• องค์กรมีบทลงโทษในกรณีมีการละเมิดความมั่นคงปลอดภัยอย่างไร

การตั้งคำถามเป็นจุดเริ่มต้นของการพัฒนาปรับปรุงที่ดีเสมอ!!

Content Cr : DestinationOne Counselor

Photo Cr : FreeImage.net

การจัดการกระบวนการ (Process Management) ตอนที่ 3

การจัดการกระบวนการ (Process Management) ตอนที่ 3

จากบทความ 2 ตอนแรกที่ผ่านมา คุณคงทราบกันแล้วว่ากระบวนการทำงานที่ดีนั้น มาจากการวางแผน การออกแบบกระบวนการที่ดี ซึ่งจะทำให้เกิดประสิทธิภาพและมีความยืดหยุ่น นอกจากนี้ เรายังจำเป็นต้องมีวิธีการติดตามควบคุม (Monitor and Control) ตลอดจนพัฒนาปรับปรุง (Improvement) เพื่อให้กระบวนการมีความทันสมัย ทันเทคโนโลยี และมีประสิทธิภาพยิ่งขึ้น

แผนและกระบวนการที่ออกแบบไว้จะต้องถูกนำไปใช้อย่างรัดกุม ตอบสนองความต้องการใช้งาน  ตรงตามกำหนดเวลา โดยที่จะต้องมีประสิทธิภาพ เราจึงต้องมีการควบคุมติดตามวัดผล โดยกำหนดตัวชี้วัดหรือตั้งคำถาม เช่น ติดตามว่างานที่ได้ดำเนินการไปนั้นตรงตามแผนหรือไม่ มีการเบี่ยงเบนไปจากแผนบ้างหรือเปล่า มีความคืบหน้าไปถึงไหน งบประมาณที่ใช้บานปลายหรือเปล่า และผลของงานตรงตามวัตถุประสงค์ที่ตั้งไว้หรือไม่ ขาดแคลนบุคลากรหรือเครื่องมือหรือเปล่า และจะต้องติดตามประเมินความเสี่ยงที่อาจจะเกิดขึ้น

สำหรับวิธีการติดตามผลนั้น สามารถทำได้หลายรูปแบบ แต่วิธีพื้นฐานง่ายๆ อย่างหนึ่งก็คือ การจัดประชุมทีมงานหรือผู้เกี่ยวข้องในกระบวนการอย่างสม่ำเสมอ หรือตามรอบระยะเวลาที่ได้กำหนดไว้ โดยร่วมกันแบ่งปันข้อมูล ปัญหา เหตุการณ์ที่ได้พบเจอ และร่วมมือกันแก้ปัญหา ซึ่งจะต้องมีการจดบันทึกการประชุมทุกครั้ง

ทั้งนี้ ใน การกำหนดตัวชี้วัด (Measurement) นั้น ควรจะพิจารณาติดตามควบคุมในประเด็นดังต่อไปนี้

1. กำหนดระยะเวลา หรือช่วงวันเวลาที่จะเข้าทำการติดตามตรวจสอบ
2. จัดเตรียม Checklist สิ่งที่ต้องทำ และผลที่จะได้ (Output, Work Product) ในแต่ละขั้นตอน
3. กำหนดตัวชี้วัดในทุกขั้นตอนหรือในทุกกิจกรรมการทำงาน การกำหนดเงื่อนไขการให้คะแนนดัชนีชี้วัดแต่ละตัวให้อยู่บนพื้นฐานที่สามารถนาไปใช้ในการเปรียบเทียบผลงานที่เกิดขึ้นได้
4. จัดเตรียมเครื่องมือที่ใช้วัดผลการดาเนินงานหรือประเมินผลการดาเนินงาน - KPI (Key Performance Indicator) และเชื่อมโยงผลงานที่ได้จากดัชนีชี้วัดกับการประเมินผลการปฏิบัติงาน

ภายหลังจากที่ได้มีการติดตามควบคุม เก็บข้อมูลตัวชี้วัดและผลของงานแล้ว ในที่สุดเราก็จะสามารถใช้ประโยชน์จากการนำข้อมูลเหล่านี้มาทำการปรับปรุงกระบวนการต่อไป

สำหรับ การปรับปรุงกระบวนการ (Process Improvement) นั้น โดยส่วนใหญ่แล้วมักจะมีสิ่งที่ต้องดำเนินการต่อไปดังนี้

1. ประเมินจุดแข็งและจุดอ่อนของกระบวนการที่ต้องการจะปรับปรุง
2. กำหนดแนวทางและแผนงานสำหรับปรับปรุงกระบวนการที่ได้เลือกไว้
3. จัดทำคำอธิบายกระบวนการมาตรฐานที่ปรับปรุงแล้ว
4. จัดทำสารบัญสินทรัพย์ประเภทกระบวนการขององค์กร
5. สร้างฐานข้อมูลดัชนีตัววัด (Measurement Repository)
6. สร้างฐานข้อมูลจัดเก็บคำแนะนำสำหรับการปรับปรุงกระบวนการ (Process Improvement Recommendation Repository)

สิ่งที่สำคัญที่สุดก็คือ เราจะต้องประยุกต์ใช้ดัชนีชี้วัดในการจัดการกระบวนการ เพื่อผลักดันให้เกิดการปรับปรุงอย่างต่อเนื่อง ซึ่งจะส่งผลให้กระบวนการของเรามีประสิทธิภาพที่ดียิ่งๆ ขึ้นไป


Content Cr : DestinationOne Counselor
Photo Cr : FreeImage.net

การบริหารจัดการระบบ CCTV อย่างมั่นคงปลอดภัยตามมาตรฐาน ISO 27001:2013

การบริหารจัดการระบบ CCTV อย่างมั่นคงปลอดภัยตามมาตรฐาน ISO 27001:2013

ในปัจจุบันมีการใช้งานระบบ CCTV เพื่อเพิ่มความมั่นคงปลอดภัยตามสถานที่ต่างๆ ทั้งสถานที่ราชการ สำนักงานเอกชน ร้านค้า รวมถึงที่พักอาศัย ซึงระบบ CCTV เองนั้นก็มีความหลากหลายแตกต่างกันไป ดังนั้น ผู้บริหารขององค์กรหรือเจ้าของสถานที่จึงจำเป็นที่จะต้องพิจารณาเลือกติดตั้ง CCTV ชนิดที่มีความเหมาะสมกับสภาพแวดล้อมและเงื่อนไขของตนเอง

ในบทความนี้ ทีมงาน DestinationOne ขอนำเสนอข้อมูลที่น่าสนใจ เพื่อประกอบการบริหารจัดการระบบ CCTV ของท่านให้มีความมั่นคงปลอดภัย และสอดคล้องตามมาตรฐาน ISO 27001:2013 ดังต่อไปนี้

12 สิ่งที่ต้องให้ความสำคัญเมื่อมีการติดตั้งระบบ CCTV

1. ตำแหน่งที่ติดตั้งกล้อง เป็นสิ่งแรกสุดที่ท่านต้องพิจารณาให้ความสำคัญ เพราะตำแหน่งการติดตั้งที่ถูกต้องจะช่วยให้ท่านสามารถบันทึกภาพได้อย่างมีประสิทธิภาพ

2. ประเภทของกล้อง ควรเลือกให้เหมาะสมตามระดับความเสี่ยงของพื้นที่ เช่น กล้องปกติ, กล้องที่มีเซ็นเซอร์จับการเคลื่อนไหว, กล้องแบบที่ถูกดัดแปลงรูปลักษณ์ไม่ให้ทราบว่าเป็นกล้อง เป็นต้น

3. ความละเอียดและความคมชัด จะต้องเลือกให้สัมพันธ์กับระดับความเสี่ยงของพื้นที่

4. มุมมองของกล้อง จะต้องกำหนดว่าในพื้นที่บริเวณนั้น จำเป็นจะต้องจับภาพเป็นมุมกว้างเท่าไร ถ้าหากมุมมองของกล้องยังไม่ครอบคลุมพื้นที่ อาจจะต้องพิจารณาเพิ่มจำนวนกล้องที่ติดตั้ง

5. ระยะเวลาการจัดเก็บข้อมูลภาพ ควรจะจัดเก็บข้อมูลเอาไว้อย่างน้อยไม่ต่ำกว่า 90 วัน หรือสอดคล้องตามงบประมาณขององค์กร

6. การตั้งค่าเวลา ควรจะตั้งค่าเวลาของกล้องให้สอดคล้องตามเวลาสากล รวมถึงตรวจสอบค่าเวลาของทุกระบบขององค์กรให้ถูกต้องตรงกันอีกด้วย

7. การควบคุมการเข้าถึง ต้องมีการควบคุม และตรวจสอบผู้ที่ต้องการเข้าถึงหรือใช้งานระบบอย่างเข้มงวด เพื่อปกป้องความถูกต้องของข้อมูลภาพที่ระบบ CCTV บันทึกไว้

8. การตรวจสอบและเฝ้าระวัง ข้อมูลภาพที่บันทึกไว้นั้นจะไม่มีประโยชน์ใดๆ เลย หากไม่มีการตรวจสอบและเฝ้าระวังสิ่งผิดปกติอย่างเหมาะสม ดังนั้น จึงควรจะมีการกำหนดขั้นตอนการปฏิบัติงานอย่างชัดเจน

9. การสำรองข้อมูล จะต้องมีการพิจารณาวิธีการสำรองข้อมูล ระยะเวลาการเก็บบันทึกข้อมูลสำรอง อย่างเหมาะสมตามระดับความเสี่ยง และจะต้องมีการตรวจสอบความถูกต้องและความพร้อมใช้งานของข้อมูลสำรองตามรอบระยะเวลาเพื่อความมั่นใจอีกด้วย

10. ซอฟต์แวร์หรือระบบบริหารจัดการ จะต้องได้รับการพิจารณาว่าสามารถใช้งานได้ง่ายหรือไม่ สามารถตั้งค่าให้เหมาะสมกับการใช้งานได้หรือเปล่า และมีจุดอ่อนหรือช่องโหว่ใดๆ หรือไม่

11. บุคลากร จะต้องมีทักษะความรู้และมีความตื่นตัวเกี่ยวกับความมั่นคงปลอดภัยอยู่ตลอดเวลา และต้องหมั่นสังเกตหรือตั้งข้อสงสัยอยู่เสมอ

12. สัญญาการให้บริการ องค์กรจะต้องกำหนดข้อตกลงในการให้บริการของผู้ให้บริการภายนอกอย่างชัดเจน เช่น กำหนดรอบระยะเวลาบำรุงรักษา การจัดหาอุปกรณ์สำรอง เป็นต้น

Content Cr : DestinationOne Counselor

Photo Cr : The Gaurdian, UK