ISO 27001:2013 - การโอนย้าย ลาออกหรือหมดสัญญา(Termination and Change of Employment: A7 Human Resource Security)

Posted by pryn on วันพุธที่ 11 กุมภาพันธ์ พ.ศ. 2558 2


ผู้ปฏิบัติงานโอนย้ายหรือลาออก....มีประเด็นด้านความมั่นคงปลอดภัยที่ต้องพิจารณาและต้องทำอะไรบ้าง?


ในระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001:2013 มีมารตรการที่ควบคุมเรื่องนี้คือ  A7.3.1 Termination and Change of Employment ครอบคลุมกรณีลาออก หมดสัญญา โอนย้าย และOutsource ที่จบงาน



กรณีโอนย้าย

  1. หน่วยงานต้นสังกัดเดิมพิจารณาทบทวนสิทธิการเข้าถึงระบบงานหรือข้อมูลสารสนเทศที่พนักงานพ้นจากหน้าที่เดิมแล้วยังจำเป็นต้องเข้าถึงระบบงานและข้อมูลใดบ้าง  ย้ำว่าคงสิทธิให้เข้าถึงเฉพาะที่จำเป็นเท่านั้น(ตามหลัก least privilege)
  2. ฝ่ายไอทีทำการยกเลิกสิทธิการเข้าถึงระบบและข้อมูลสารสนเทศตามที่หน่วยงานต้นสังกัดเดิมแจ้งมา
  3. ฝ่ายอาคารสถานที่ พิจารณาว่าพนักงานที่โอนย้ายจำเป็นต้องให้สิทธิผ่านเข้าหน่วยงานใหม่ และยกเลิก Access Control ที่ประตูหน่วยงานเดิมหรือไม่  กรณีนี้แล้วแต่ความจำเป็นและสภาพแวดล้อมของพื้นที่ปฏิบัติงาน
  4. ฝ่าย HR พิจารณาความจำเป็นที่ต้องเรียกคืนทรัพย์สินที่ได้รับในตำแหน่งเดิม เช่น Notebook ,External Hardisk ฯลฯ หรือไม่ 

กรณีลาออกหรือหมดสัญญา รวมถึงกรณี Outsource จบงาน

  1. ต้นสังกัดแจ้งฝ่ายไอทีให้ถอนสิทธิออกจากทุกระบบงาน
  2. HR เรียกคืนทรัพย์สินทุกอย่างขององค์กร  หากมีรายการทรัพย์สินที่มอบให้พนักงานเพื่อใช้ปฏิบัติงานก็จะช่วยให้ตรวจสอบของที่เรียกคืนได้ง่าย
  3. ตรวจสอบสภาพของทรัพย์สิน ประเด็นนี้แล้วแต่องค์กรว่าจะเข้มงวดแค่ไหนหากพบว่าทรัพย์สินชำรุดโดยมีสาเหตุไม่ได้เกิดจากการทำงาน เช่นเอาNotebookกลับบ้านแล้วลูกทำหล่นลงพื้น  กรณีนี้จะปรับเงินหรือเปล่าแล้วแต่นโยบายของหน่วยงานนั้นๆ
  4. ฝ่ายอาคารสถานที่ถอนสิทธิการผ่านเข้าออกประตูอัตโนมัติ



ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001









Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

2 ความคิดเห็น :

  1. ไม่ระบุชื่อ11 กุมภาพันธ์ 2558 11:12

    ขอบคุณครับ

    ตอบลบ
  2. ไม่ระบุชื่อ11 กุมภาพันธ์ 2558 11:13

    แจ๋วเลย..เอาไปประยุกต์การเข้าถึงองค์ความรู้ที่สำคัญในระบบ KM ได้ด้วย

    ตอบลบ

back to top