Wednesday, March 25, 2015

Physical Access Control กับความมั่นคงปลอดภัยตาม ISO 27001:2013



Physical Access Control กับความมั่นคงปลอดภัยตาม ISO 27001:2013



การติดตั้ง ระบบควบคุมการเข้าถึงทางกายภาพ หรือ Physical Access Control นั้น ได้รับความนิยมอย่างแพร่หลายเป็นอย่างมากในปัจจุบัน ทั้งในอาคารสำนักงาน ตึกคอนโดมีเนียม และบ้านพักอาศัย อีกทั้งยังมีให้เลือกใช้งานกันอยู่หลากหลายรูปแบบ ซึ่งเจ้าของสถานที่หรือผู้บริหารองค์กรจะต้องพิจารณาเลือกใช้งานอย่างรอบคอบและเหมาะสมกับสภาพแวดล้อมและเงื่อนไขของตนเอง โดยคำนึงถึงความเสี่ยงและความมั่นคงปลอดภัยเป็นหลัก



ในบทความนี้ ทีมงาน DestinationOne ได้รวบรวมประเด็นสำคัญที่ท่านจำเป็นต้องคำนึงถึงในการบริหารจัดการระบบควบคุมการเข้าถึงทางกายภาพ เพื่อให้มีความมั่นคงปลอดภัยสอดคล้องตามมาตรฐาน ISO 27001:2013





10 สิ่งสำคัญที่ต้องพิจารณาในการบริหารจัดการระบบ Access Control

  1. ตำแหน่งที่ติดตั้ง เป็นจุดเริ่มต้นที่สำคัญในการบริหารจัดการระบบ Physical Access Control การตัดสินใจเลือกตำแหน่งที่ติดตั้งอย่างถูกต้องเหมาะสมจะช่วยเพิ่มประสิทธิภาพในการจัดการ และเสริมความมั่นคงปลอดภัยมากยิ่งขึ้น
  2. ประเภท การเลือกประเภทของระบบ Physical Access Control นั้น จะต้องพิจารณาตามความเสี่ยงของพื้นที่ และความเหมาะสมในการใช้งาน อาทิ การใช้บัตร Smart Card, การสแกนลายนิ้วมือ, การสแกนรูม่านตา เป็นต้น
  3. การกำหนดสิทธิ์การเข้าถึงพื้นที่ พนักงานทุกคนไม่สมควรได้รับสิทธิ์ในการเข้าถึงพื้นที่ที่ไม่เกี่ยวข้องกับหน้าที่และความรับผิดชอบของตนเอง ดังนั้น เพื่อให้สอดคล้องตามมาตรการด้านความมั่นคงปลอดภัย เจ้าของพื้นที่จึงควรจะมีการจำกัดสิทธิ์การเข้าถึงให้เฉพาะผู้ที่จำเป็นเท่านั้น
  4. ระยะเวลาการจัดเก็บข้อมูล จำเป็นต้องมีการเก็บบันทึกข้อมูลการผ่านเข้าออกไว้อย่างน้อยเป็นระยะเวลา 90 วัน หรือพิจารณาให้สอดคล้องกับวัตถุประสงค์และความต้องการด้านความมั่นคงปลอดภัยขององค์กรเป็นหลัก
  5. การตั้งค่าเวลา เวลาของระบบ Access Control นั้น จะต้องได้รับการตั้งค่าตามหน่วยเวลามาตรฐานสากล รวมถึงสอดคล้องกับระบบอื่นๆ ที่เกี่ยวข้อง เพื่อให้สามารถอ้างอิงและตรวจสอบได้หากมีการสืบสวนเกิดขึ้น และจะต้องได้รับการทบทวนความเที่ยงตรงของค่าเวลาอย่างสม่ำเสมอ
  6. การเฝ้าระวัง การติดตั้งระบบ Access Control นั้นจะไม่เกิดประโยชน์อย่างใดเลยหากขาดการเฝ้าระวัง และจะต้องมีการกำหนดขั้นตอนการปฏิบัติงานอย่างเหมาะสม เช่น หากพบตรวจพบความผิดปกติจะต้องแจ้งไปยังใคร ผ่านทางช่องทางใด วิธีการแจ้งเป็นอย่างไร เป็นต้น
  7. พนักงาน จะต้องมีการตระหนักรู้และมีความตื่นตัวด้านความมั่นคงปลอดภัยอยู่ตลอดระยะเวลาในการปฏิบัติงาน และจะต้องหมั่นสังเกต ตั้งข้อสงสัยอยู่เสมอ เพื่อตรวจหาความผิดปกติ
  8. การสำรองข้อมูล แนวทางในการสำรองข้อมูลนั้นจะขึ้นอยู่กับความจำเป็นและความเสี่ยงของแต่ละพื้นที่ และจะต้องมีการกำหนดขั้นตอนในการสำรองข้อมูล เช่น ประเภทของสื่อบันทึกข้อมูล, ระยะเวลาการจัดเก็บข้อมูลสำรอง, การดูแลรักษาข้อมูลสำรอง ฯลฯ อย่างมั่นคงปลอดภัยอีกด้วย
  9. โปรแกรม/ซอฟต์แวร์ ที่ใช้เพื่อจัดการระบบ Access Control นั้น จะต้องใช้งานได้ง่ายและมีความมั่นคงปลอดภัย โดยจะต้องผ่านการตรวจหาจุดอ่อนและช่องโหว่อย่างสม่ำเสมอ และจะต้องมีการจัดการผู้ใช้งาน, รหัสผ่าน รวมถึงมีการทบทวนประวัติการเข้าใช้งานอย่างรอบคอบเหมาะสม
  10. สัญญาการให้บริการ องค์กรจะต้องมีการกำหนดข้อตกลงในสัญญาการให้บริการของผู้ให้บริการภายนอกที่ดูแลอุปกรณ์และระบบ Access Control อย่างเหมาะสม เช่น มีการกำหนดรอบระยะเวลาการบำรุงรักษา, เงื่อนไขการแก้ปัญหาหากระบบเกิดการหยุดชะงัก เป็นต้น โดยจะต้องคำถึงความต้องการด้านความมั่นคงปลอดภัยเป็นสำคัญเสมอ



Content Cr : DestinationOne Counselor
Photo Cr : Praetorian & NuSource


No comments:

Post a Comment

Note: Only a member of this blog may post a comment.