ISO 27001:2013 - A7 Human Resource Security มาตรการบริหารจัดการคน

Posted by pryn on วันพฤหัสบดีที่ 22 มกราคม พ.ศ. 2558 0


ผู้เขียน  ปริญญ์  เสรีพงศ์ CISA CEH ISMS(IRCA) 

Email : mr.pryn@gmail.com


วัตถุประสงค์ของมาตรการด้าน Information Security Management ตามISO 27001:2013 ในเรื่องHuman Resource Security คือให้เรากำหนดวิธีการให้มั่นใจว่าพนักงาน(Employees) และผู้รับจ้างช่วง(Contractors) นั้นเข้าใจหน้าที่และความรับผิดชอบของตน  รวมถึงการสรรหาคนทำงานที่มีความเหมาะสมกับบทบาทที่ได้รับมอบหมาย

คนหรือบุคลากรเป็นโจทย์ข้อหนึ่งที่องค์กรต้องบริหารจัดการให้สอดคล้องกับระบบความมั่นคงปลอดภัยของสารสนเทศ  ซึ่งตรงกับมาตรการข้อ A7 Human Resource Security  โดยครอบคลุมเป็น 3 ประเด็นได้แก่

A7.1 Prior to employment : การเลือกคนเข้าทำงาน
เรื่องนี้สำคัญไม่แพ้เรื่องอื่น เพราะหลายกรณีเกิดปัญหาจากคนทำงานนี่แหละ ไม่ว่าจะเป็นกรณีจอมแฉบันลือโลก Edward Snowden ที่เอาความลับของหน่วยงานมาเผยแพร่ เล่นเอาป่วนไปทั่วโลก (ถ้าไม่รู้วีรกรรมของ Edward Snowden ลอง Search Googleดู)
   
A7.2 During employment : ระหว่างที่ยังเป็นพนักงาน
องค์กรต้องกำกับดูแลและมีแนวทางที่ชัดเจนให้พนักงานและผู้รับจ้างช่วง(Contractors) มีความตระหนักและมีความรับผิดชอบในหน้าที่ของตน  ความตระหนักด้าน Information Securityนี่เป็นอะไรที่ต้องรณรงค์กันอย่างต่อเนื่อง เรียกว่าปลูกฝังให้ขึ้นใจได้ยิ่งดี   เข้าทำนองกันไว้ดีกว่าแก้ คือ ถ้าพนักงานมีความตระหนักก็จะไม่ทำอะไรที่เสี่ยง ปัญหาก็จะลดน้อยลง

A7.3 Termination and change of employment : ลาออกหรือโอนย้าย 
หลายองค์กรมีการจัดการกรณีพนักงานลาออกเป็นระเบียบปฏิบัติชัดเจน เริ่มตั้งแต่การเรียกคืนทรัพย์สินขององค์กรเช่น Notebook  ,External Hardisk  จากนั้นก็แจ้งไอทีระงับสิทธิการเข้าระบบสารสนเทศภายในช่วงเวลาที่กำหนด  มาตรการเหล่านี้ช่วยป้องกันปัญหาข้อมูลรั่วไหล

กรณีโอนย้าย ไม่ว่าจะเป็นย้ายระดับใด ก็ควรทบทวนสิทธิการเข้าถึงระบบสารสนเทศให้เหมาะสมกับภาระหน้าที่และความรับผิดชอบ ส่วนเรื่องทรัพย์สินที่องค์กรมอบให้ไว้ใช้งานก็เช่นกัน ควรทบทวนว่าตำแหน่งใหม่จำเป็นต้องใช้ทรัพย์สินเหล่านั้นหรือไม่  การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าผู้ปฏิบัติงานมีสิทธิเข้าถึงระบบงานที่เหมาะสมกับหน้าที่ และมีอุปกรณ์ที่เหมาะสมกับการทำงานนั้นๆ


ผู้เขียน : ปริญญ์  เสรีพงศ์  CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001

Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top