Physical
Access Control กับความมั่นคงปลอดภัยตาม ISO 27001:2013
การติดตั้ง ระบบควบคุมการเข้าถึงทางกายภาพ
หรือ Physical Access Control นั้น
ได้รับความนิยมอย่างแพร่หลายเป็นอย่างมากในปัจจุบัน ทั้งในอาคารสำนักงาน ตึกคอนโดมีเนียม และบ้านพักอาศัย อีกทั้งยังมีให้เลือกใช้งานกันอยู่หลากหลายรูปแบบ ซึ่งเจ้าของสถานที่หรือผู้บริหารองค์กรจะต้องพิจารณาเลือกใช้งานอย่างรอบคอบและเหมาะสมกับสภาพแวดล้อมและเงื่อนไขของตนเอง
โดยคำนึงถึงความเสี่ยงและความมั่นคงปลอดภัยเป็นหลัก
ในบทความนี้
ทีมงาน DestinationOne ได้รวบรวมประเด็นสำคัญที่ท่านจำเป็นต้องคำนึงถึงในการบริหารจัดการระบบควบคุมการเข้าถึงทางกายภาพ
เพื่อให้มีความมั่นคงปลอดภัยสอดคล้องตามมาตรฐาน ISO 27001:2013
10
สิ่งสำคัญที่ต้องพิจารณาในการบริหารจัดการระบบ Access
Control
- ตำแหน่งที่ติดตั้ง เป็นจุดเริ่มต้นที่สำคัญในการบริหารจัดการระบบ Physical Access Control การตัดสินใจเลือกตำแหน่งที่ติดตั้งอย่างถูกต้องเหมาะสมจะช่วยเพิ่มประสิทธิภาพในการจัดการ และเสริมความมั่นคงปลอดภัยมากยิ่งขึ้น
- ประเภท การเลือกประเภทของระบบ Physical Access Control นั้น จะต้องพิจารณาตามความเสี่ยงของพื้นที่ และความเหมาะสมในการใช้งาน อาทิ การใช้บัตร Smart Card, การสแกนลายนิ้วมือ, การสแกนรูม่านตา เป็นต้น
- การกำหนดสิทธิ์การเข้าถึงพื้นที่ พนักงานทุกคนไม่สมควรได้รับสิทธิ์ในการเข้าถึงพื้นที่ที่ไม่เกี่ยวข้องกับหน้าที่และความรับผิดชอบของตนเอง ดังนั้น เพื่อให้สอดคล้องตามมาตรการด้านความมั่นคงปลอดภัย เจ้าของพื้นที่จึงควรจะมีการจำกัดสิทธิ์การเข้าถึงให้เฉพาะผู้ที่จำเป็นเท่านั้น
- ระยะเวลาการจัดเก็บข้อมูล
จำเป็นต้องมีการเก็บบันทึกข้อมูลการผ่านเข้าออกไว้อย่างน้อยเป็นระยะเวลา 90
วัน หรือพิจารณาให้สอดคล้องกับวัตถุประสงค์และความต้องการด้านความมั่นคงปลอดภัยขององค์กรเป็นหลัก
- การตั้งค่าเวลา เวลาของระบบ Access Control นั้น จะต้องได้รับการตั้งค่าตามหน่วยเวลามาตรฐานสากล รวมถึงสอดคล้องกับระบบอื่นๆ ที่เกี่ยวข้อง เพื่อให้สามารถอ้างอิงและตรวจสอบได้หากมีการสืบสวนเกิดขึ้น และจะต้องได้รับการทบทวนความเที่ยงตรงของค่าเวลาอย่างสม่ำเสมอ
- การเฝ้าระวัง การติดตั้งระบบ Access Control นั้นจะไม่เกิดประโยชน์อย่างใดเลยหากขาดการเฝ้าระวัง และจะต้องมีการกำหนดขั้นตอนการปฏิบัติงานอย่างเหมาะสม เช่น หากพบตรวจพบความผิดปกติจะต้องแจ้งไปยังใคร ผ่านทางช่องทางใด วิธีการแจ้งเป็นอย่างไร เป็นต้น
- พนักงาน จะต้องมีการตระหนักรู้และมีความตื่นตัวด้านความมั่นคงปลอดภัยอยู่ตลอดระยะเวลาในการปฏิบัติงาน และจะต้องหมั่นสังเกต ตั้งข้อสงสัยอยู่เสมอ เพื่อตรวจหาความผิดปกติ
- การสำรองข้อมูล แนวทางในการสำรองข้อมูลนั้นจะขึ้นอยู่กับความจำเป็นและความเสี่ยงของแต่ละพื้นที่ และจะต้องมีการกำหนดขั้นตอนในการสำรองข้อมูล เช่น ประเภทของสื่อบันทึกข้อมูล, ระยะเวลาการจัดเก็บข้อมูลสำรอง, การดูแลรักษาข้อมูลสำรอง ฯลฯ อย่างมั่นคงปลอดภัยอีกด้วย
- โปรแกรม/ซอฟต์แวร์ ที่ใช้เพื่อจัดการระบบ Access Control นั้น จะต้องใช้งานได้ง่ายและมีความมั่นคงปลอดภัย โดยจะต้องผ่านการตรวจหาจุดอ่อนและช่องโหว่อย่างสม่ำเสมอ และจะต้องมีการจัดการผู้ใช้งาน, รหัสผ่าน รวมถึงมีการทบทวนประวัติการเข้าใช้งานอย่างรอบคอบเหมาะสม
- สัญญาการให้บริการ องค์กรจะต้องมีการกำหนดข้อตกลงในสัญญาการให้บริการของผู้ให้บริการภายนอกที่ดูแลอุปกรณ์และระบบ Access Control อย่างเหมาะสม เช่น มีการกำหนดรอบระยะเวลาการบำรุงรักษา, เงื่อนไขการแก้ปัญหาหากระบบเกิดการหยุดชะงัก เป็นต้น โดยจะต้องคำถึงความต้องการด้านความมั่นคงปลอดภัยเป็นสำคัญเสมอ
Content Cr : DestinationOne Counselor
Photo Cr : Praetorian & NuSource
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.