ISSS ข้อ 5 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ได้แก่
5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
| ระดับพื้นฐาน | ระดับกลาง | ระดับเคร่งครัด |
| ข้อ 5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม | ข้อ 5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม | ข้อ 5. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ |
| 5.1 ให้มีการบีองกันขอบเขตพื้นที่ตั้งของหน่วยงาน (Security perimeter) ที่มีการติดตั้ง จัดเก็บ หรือใช้งานระบบสารสนเทศและข้อมูลสารสนเทศ | 5.1 มีการออกแบบและติดตั้งการบีองกันความมั่นคงปลอดภัยด้านกายภาพ เพื่อบีองกันพื้นที่หรือสถานที่ ปฏิบัติงาน หรืออุปกรณ์สารสนเทศต่าง ๆ | 5.1 จัดให้มีขั้นตอนการบริหารจัดการเรื่องการกำหนดรหัสผ่านอย่างเป็นทางการ |
| 5.2 มีการออกแบบและติดตั้งการบีองกันความมั่นคงปลอดภัยด้านกายภาพ เพื่อบีองกันภัยจากภายนอก ภัยในระดับหายนะทั้งที่ก่อโดยมนุษย์หรือภัยธรรมชาติ เซ่น อัคคีภัย อุทกภัย แผ่นดินไหว ระเบิด การก่อจลาจล เบีนต้น | 5.2 ไม่ควรน่าอุปกรณ์สารสนเทศ ข้อมูลสารสนเทศ หรือซอฟต์แวร์ออกจากสถานที่ปฏิบัติงานของ หน่วยงานหากมิได้รับอนุญาต | 5.2 กำหนดให้ผู้บริหารติดตามทบทวนระดับสิทธิในการเข้าถึงของผู้ไข้งานอย่างเป็นทางการเป็นประจำ |
| 5.3 จัดวางและบีองกันอุปกรณ์สารสนเทศ เพื่อลดความเลี่ยงจากภัยธรรมชาติหรืออันตรายต่าง ๆ และเพื่อ บีองกันการเข้าถึงโดยมิได้รับอนุญาต | 5.3 มีการกำหนดนโยบาย Clear desk สำหรับข้อมูลสารสนเทศในรูปแบบกระดาษและที่จัดเก็บใน อุปกรณ์บันทึกข้อมูลอิเล็กทรอนิกส์ที่สามารถถอดหรือต่อพ่วงกับเครื่องคอมพิวเตอร์ได้ และนโยบาย Clear screen สำหรับระบบสารสนเทศ | |
| 5.4 มีการบีองกันอุปกรณ์สารสนเทศ ที่อาจเกิดจากไฟฟ้าซัดข้อง (Power failure) หรือที่อาจหยุดชะงัก จากข้อผิดพลาดของโครงสร้างพื้นฐาน (Supporting utilities) | 5.4 ให้มีการระบุอุปกรณ์ที่เชื่อมต่อเข้ากับระบบสารสนเทศโดยอัตโนมัติ (Automatic equipment identification) เพื่อตรวจสอบการเชื่อมต่อของอุปกรณ์ดังกล่าวว่ามาจากอุปกรณ์ดังกล่าวจริง หรือจากสถานที่ที่ กำหนดไว้เท่านั้น ทั้งนี้จำเป็นสำหรับการที่ระบบสารสนเทศจะรับการเชื่อมต่อจากเฉพาะอุปกรณ์ที่ได้รับอนุญาต หรือมาจากเฉพาะสถานที่ที่ได้รับอนุญาต | |
| 5.5 มีการดูแลอุปกรณ์สารสนเทศอย่างถูกวิธี เพื่อให้คงไว้ซึ่งความถูกต้องครบถ้วนและอยู่ในสภาพพร้อมใช้ งานอยู่เสมอ | 5.5 ให้จำกัดการเข้าถึงการไข้งานโปรแกรมอรรถประโยชน์ต่าง ๆ อย่างเข้มงวด เนื่องจากโปรแกรม ดังกล่าวอาจมีความสามารถควบคุมดูแลและเปลี่ยนแปลงการทำงานของระบบสารสนเทศได้ | |
| 5.6 จำกัดระยะเวลาการเชื่อมต่อกับระบบสารสนเทศที่มีระดับความเสี่ยงสูง เพื่อเพิ่มระดับการรักษาความมั่นคงปลอดภัย | ||
| 5.7 สำหรับระบบสารสนเทศที่มีความสำคัญสูง ต้องจัดให้ระบบสารสนเทศทำงานในสภาพแวดล้อมที่แยกออกมาต่างหาก โดยไม่ไข้ปะปนกับระบบสารสนเทศอื่น | ||
| 5.8 กำหนดให้มีนโยบายแผนงานและขั้นตอนการปฏิบัติงาน ที่เกี่ยวข้องกับกิจกรรมใด ๆ ที่มีการปฏิบัติงานจากภายนอกหน่วยงาน (Teleworking) |
.
ที่มา
ข้อมูลและภาพ รวบรวมโดย www.iok2u.com
-------------------------------------------------
สนใจข้อมูลเพิ่มเติม
มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการปลอดภัย พ.ศ. 2555-------------------------------------------------