ISO 27001:2013 - A7 Human Resource Security มาตรการบริหารจัดการคน
Posted by
pryn
on
วันพฤหัสบดีที่ 22 มกราคม พ.ศ. 2558
0
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
วัตถุประสงค์ของมาตรการด้าน Information Security Management ตามISO 27001:2013 ในเรื่องHuman Resource Security คือให้เรากำหนดวิธีการให้มั่นใจว่าพนักงาน(Employees) และผู้รับจ้างช่วง(Contractors) นั้นเข้าใจหน้าที่และความรับผิดชอบของตน รวมถึงการสรรหาคนทำงานที่มีความเหมาะสมกับบทบาทที่ได้รับมอบหมาย
คนหรือบุคลากรเป็นโจทย์ข้อหนึ่งที่องค์กรต้องบริหารจัดการให้สอดคล้องกับระบบความมั่นคงปลอดภัยของสารสนเทศ ซึ่งตรงกับมาตรการข้อ A7 Human Resource Security โดยครอบคลุมเป็น 3 ประเด็นได้แก่
A7.1 Prior to employment : การเลือกคนเข้าทำงาน
เรื่องนี้สำคัญไม่แพ้เรื่องอื่น เพราะหลายกรณีเกิดปัญหาจากคนทำงานนี่แหละ ไม่ว่าจะเป็นกรณีจอมแฉบันลือโลก Edward Snowden ที่เอาความลับของหน่วยงานมาเผยแพร่ เล่นเอาป่วนไปทั่วโลก (ถ้าไม่รู้วีรกรรมของ Edward Snowden ลอง Search Googleดู)
A7.2 During employment : ระหว่างที่ยังเป็นพนักงาน
องค์กรต้องกำกับดูแลและมีแนวทางที่ชัดเจนให้พนักงานและผู้รับจ้างช่วง(Contractors) มีความตระหนักและมีความรับผิดชอบในหน้าที่ของตน ความตระหนักด้าน Information Securityนี่เป็นอะไรที่ต้องรณรงค์กันอย่างต่อเนื่อง เรียกว่าปลูกฝังให้ขึ้นใจได้ยิ่งดี เข้าทำนองกันไว้ดีกว่าแก้ คือ ถ้าพนักงานมีความตระหนักก็จะไม่ทำอะไรที่เสี่ยง ปัญหาก็จะลดน้อยลง
A7.3 Termination and change of employment : ลาออกหรือโอนย้าย
หลายองค์กรมีการจัดการกรณีพนักงานลาออกเป็นระเบียบปฏิบัติชัดเจน เริ่มตั้งแต่การเรียกคืนทรัพย์สินขององค์กรเช่น Notebook ,External Hardisk จากนั้นก็แจ้งไอทีระงับสิทธิการเข้าระบบสารสนเทศภายในช่วงเวลาที่กำหนด มาตรการเหล่านี้ช่วยป้องกันปัญหาข้อมูลรั่วไหล
กรณีโอนย้าย ไม่ว่าจะเป็นย้ายระดับใด ก็ควรทบทวนสิทธิการเข้าถึงระบบสารสนเทศให้เหมาะสมกับภาระหน้าที่และความรับผิดชอบ ส่วนเรื่องทรัพย์สินที่องค์กรมอบให้ไว้ใช้งานก็เช่นกัน ควรทบทวนว่าตำแหน่งใหม่จำเป็นต้องใช้ทรัพย์สินเหล่านั้นหรือไม่ การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าผู้ปฏิบัติงานมีสิทธิเข้าถึงระบบงานที่เหมาะสมกับหน้าที่ และมีอุปกรณ์ที่เหมาะสมกับการทำงานนั้นๆ
ผู้เขียน : ปริญญ์ เสรีพงศ์ CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
คนหรือบุคลากรเป็นโจทย์ข้อหนึ่งที่องค์กรต้องบริหารจัดการให้สอดคล้องกับระบบความมั่นคงปลอดภัยของสารสนเทศ ซึ่งตรงกับมาตรการข้อ A7 Human Resource Security โดยครอบคลุมเป็น 3 ประเด็นได้แก่
A7.1 Prior to employment : การเลือกคนเข้าทำงาน
เรื่องนี้สำคัญไม่แพ้เรื่องอื่น เพราะหลายกรณีเกิดปัญหาจากคนทำงานนี่แหละ ไม่ว่าจะเป็นกรณีจอมแฉบันลือโลก Edward Snowden ที่เอาความลับของหน่วยงานมาเผยแพร่ เล่นเอาป่วนไปทั่วโลก (ถ้าไม่รู้วีรกรรมของ Edward Snowden ลอง Search Googleดู)
A7.2 During employment : ระหว่างที่ยังเป็นพนักงาน
องค์กรต้องกำกับดูแลและมีแนวทางที่ชัดเจนให้พนักงานและผู้รับจ้างช่วง(Contractors) มีความตระหนักและมีความรับผิดชอบในหน้าที่ของตน ความตระหนักด้าน Information Securityนี่เป็นอะไรที่ต้องรณรงค์กันอย่างต่อเนื่อง เรียกว่าปลูกฝังให้ขึ้นใจได้ยิ่งดี เข้าทำนองกันไว้ดีกว่าแก้ คือ ถ้าพนักงานมีความตระหนักก็จะไม่ทำอะไรที่เสี่ยง ปัญหาก็จะลดน้อยลง
A7.3 Termination and change of employment : ลาออกหรือโอนย้าย
หลายองค์กรมีการจัดการกรณีพนักงานลาออกเป็นระเบียบปฏิบัติชัดเจน เริ่มตั้งแต่การเรียกคืนทรัพย์สินขององค์กรเช่น Notebook ,External Hardisk จากนั้นก็แจ้งไอทีระงับสิทธิการเข้าระบบสารสนเทศภายในช่วงเวลาที่กำหนด มาตรการเหล่านี้ช่วยป้องกันปัญหาข้อมูลรั่วไหล
กรณีโอนย้าย ไม่ว่าจะเป็นย้ายระดับใด ก็ควรทบทวนสิทธิการเข้าถึงระบบสารสนเทศให้เหมาะสมกับภาระหน้าที่และความรับผิดชอบ ส่วนเรื่องทรัพย์สินที่องค์กรมอบให้ไว้ใช้งานก็เช่นกัน ควรทบทวนว่าตำแหน่งใหม่จำเป็นต้องใช้ทรัพย์สินเหล่านั้นหรือไม่ การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าผู้ปฏิบัติงานมีสิทธิเข้าถึงระบบงานที่เหมาะสมกับหน้าที่ และมีอุปกรณ์ที่เหมาะสมกับการทำงานนั้นๆ
ผู้เขียน : ปริญญ์ เสรีพงศ์ CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :