วิธีใช้ ISO 27001 เพื่อรักษาความปลอดภัยข้อมูลเมื่อทำงานจากระยะไกล

14 กุมภาพันธ์ ค.ศ. 2024 โดย
K&O Systems and Consulting


​วิธีใช้ ISO 27001 ในอดีต การทำงานจากที่บ้านเป็นทางเลือกสำหรับฟรีแลนซ์และบริษัทที่ต้องการลดค่าใช้จ่ายในการดำเนินงานและปรับปรุงความสมดุลระหว่างชีวิตและการทำงานของพนักงาน แต่โควิด-19 ได้เปลี่ยนแปลงวิธีการทำงานของเรา และบังคับให้หลายบริษัทต้องปรับตัวอย่างรวดเร็วและสนับสนุนการทำงานจากระยะไกล พวกเขาต้องสร้างสภาพแวดล้อมการทำงานเสมือนจริงที่ช่วยให้การทำงานทางไกลมีประสิทธิผลและทำให้งานของพวกเขาปลอดภัย ในขณะเดียวกันก็ต้องรับมือกับความท้าทายด้านความปลอดภัยข้อมูลของการทำงานจากระยะไกล
ด้วยความช่วยเหลือจากข้อกำหนดของ ISO 27001 สำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล และการควบคุมความปลอดภัยของภาคผนวก A งานนี้จะซับซ้อนน้อยลงและช่วยให้คุณใช้ประโยชน์จากการทำงานระยะไกลได้อย่างเต็มที่โดยมีความเสี่ยงน้อยที่สุด

การควบคุม ISO 27001 สำหรับการทำงานระยะไกล:

  • A 6.2.1 – นโยบายเกี่ยวกับอุปกรณ์พกพา
  • A 6.2.2 – การทำงานระยะไกล
  • A 7.2.2 – ความตระหนักด้านความปลอดภัยของข้อมูล การศึกษา และการฝึกอบรม


ความท้าทายด้านความปลอดภัยในการทำงานระยะไกล

นอกจากประโยชน์มากมายแล้ว การทำงานจากระยะไกลยังมีความท้าทายและความเสี่ยงด้านความปลอดภัยของข้อมูลอีกด้วย ซึ่งรวมถึงการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดข้อมูลที่ละเอียดอ่อน และการแก้ไขหรือแม้แต่การทำลายข้อมูล เมื่อพิจารณาว่าพนักงานอยู่นอกสภาพแวดล้อมขององค์กร พวกเขาจะใช้อุปกรณ์เคลื่อนที่สำหรับการเข้าถึงระยะไกลจากเครือข่ายที่บ้านหรือสาธารณะ ซึ่งอาจไม่มีการควบคุมความปลอดภัยที่ดีที่สุด นโยบายด้านข้อมูลและการสื่อสารที่ไม่เพียงพอ รวมถึงการขาดขั้นตอนที่กำหนดไว้อย่างชัดเจน อาจทำให้เกิดฝันร้ายสำหรับบริษัทต่างๆ รวมถึงการสูญเสียทางการเงินและการไม่ปฏิบัติตามกฎระเบียบต่างๆ เช่น GDPR ของสหภาพยุโรป


การควบคุมใดของมาตรฐาน ISO 27001 ที่พูดถึงการทำงานจากระยะไกล

ระบบการจัดการความปลอดภัยของข้อมูลตาม ข้อกำหนดและการควบคุม ISO 27001ช่วยให้เราสามารถป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลเหล่านี้ได้ ISO 27001 ประกอบด้วย 10 ส่วนและอ้างอิงวัตถุประสงค์การควบคุมและการควบคุมที่ระบุไว้ในภาคผนวก A ของมาตรฐาน นอกจากนี้ยังมีอีกมาตรฐานหนึ่งคือ ISO 27002 ซึ่งเป็นหลักปฏิบัติสำหรับการควบคุมเหล่านั้น

การควบคุมสองอย่างจาก ISO 27001/ISO 27002 มีไว้สำหรับการทำงานทางไกลโดยเฉพาะ: A.6.2.1 นโยบายอุปกรณ์เคลื่อนที่ และ A.6.2.2 การทำงานทางไกล

นโยบายเกี่ยวกับอุปกรณ์เคลื่อนที่ การควบคุม A 6.2.1 ระบุว่านโยบายและมาตรการรักษาความปลอดภัยที่สนับสนุนต้องถูกนำมาใช้เพื่อจัดการความเสี่ยงด้านความปลอดภัยเนื่องจากการใช้อุปกรณ์เคลื่อนที่:

 

  • นโยบายอุปกรณ์เคลื่อนที่ควรรวมถึงการป้องกันทางกายภาพของอุปกรณ์ที่ลงทะเบียน การป้องกันมัลแวร์ การจำกัดการติดตั้ง การจัดการการอัปเดตและแพตช์ การควบคุมการเข้าถึง และการสำรองข้อมูล
  • องค์กรควรพิจารณาการเข้ารหัสและการใช้การตรวจสอบความลับ เช่น รหัสผ่านและ PIN เพื่อหลีกเลี่ยงการเข้าถึงโดยไม่ได้รับอนุญาต
  • ในกรณีที่อุปกรณ์พกพา – โดยเฉพาะอย่างยิ่งอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน – ถูกขโมยหรือสูญหาย วิธีที่ดีที่สุดคือใช้การล็อกระยะไกลหรือการลบข้อมูล

การทำงานทางไกล การควบคุม A 6.2.2 ระบุว่านโยบายที่กำหนดเงื่อนไขและข้อจำกัดสำหรับการทำงานทางไกลควรออกโดยองค์กร:

  • นโยบายนี้ควรมุ่งเน้นไปที่การปกป้องข้อมูลที่เข้าถึง ประมวลผล หรือจัดเก็บที่ไซต์การทำงานทางไกล โดยพิจารณาจากกฎระเบียบ
  • องค์กรควรจัดหาอุปกรณ์สื่อสาร การรักษาความปลอดภัยทางกายภาพ ฮาร์ดแวร์ และซอฟต์แวร์ที่เหมาะสมให้แก่พนักงานที่ทำงานจากระยะไกล
  • ควรพิจารณากฎที่กำหนดไว้สำหรับการใช้เครือข่ายภายในบ้านและเครือข่ายไร้สาย การจัดประเภทข้อมูลที่เก็บไว้ และนโยบายการให้สิทธิ์ในการเข้าถึงระบบและบริการ

นอกจากนี้ การควบคุม A.7.2.2 ระบุว่าพนักงานทุกคนในองค์กรต้องมีความตระหนักที่เหมาะสมและการฝึกอบรมที่ได้รับการปรับปรุงอย่างสม่ำเสมอ เพื่อให้มั่นใจว่านโยบายและระเบียบปฏิบัติได้รับการปฏิบัติอย่างถูกต้อง


การใช้การควบคุม ISO 27001 กับการทำงานระยะไกล

ไม่ว่าคุณจะทำงานในอุตสาหกรรมใด ในบางจุดองค์กรของคุณหรืออย่างน้อยก็บางส่วนจะเริ่มพึ่งพาการทำงานจากระยะไกล แต่ด้วยการเปิดเผยโครงสร้างพื้นฐาน ระบบ และข้อมูลในลักษณะนี้ องค์กรของคุณจำเป็นต้องใช้ความระมัดระวังสำหรับความเสี่ยงสูงที่เกี่ยวข้อง วิธีใช้ ISO 27001

ประการแรก อุปกรณ์หรือผู้ใช้ที่ไม่ปฏิบัติตามนโยบายด้านอุปกรณ์เคลื่อนที่และการทำงานระยะไกลไม่ควรได้รับอนุญาตให้เชื่อมต่อ ดังนั้น องค์กรต้องกำหนดว่าใครสามารถทำงานทางไกลและเข้าถึงระบบและข้อมูลได้จากระยะไกล

การใช้เครือข่ายส่วนตัวเสมือน (VPN) และการตรวจสอบสิทธิ์แบบ 2 ปัจจัยจะช่วยปรับปรุงความปลอดภัยของอุปกรณ์ปลายทาง การสแกนการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่ผิดปกติโดยใช้ไฟร์วอลล์เลเยอร์เครือข่ายและการเข้ารหัสข้อมูลและการสื่อสารที่ละเอียดอ่อนจะช่วยเพิ่มความปลอดภัย การตรวจสอบอย่างต่อเนื่อง การทดสอบการเจาะ และการตรวจสอบจะช่วยให้คุณตรวจพบช่องโหว่และเปลี่ยนกลยุทธ์การรักษาความปลอดภัยข้อมูลของคุณ

การกวาดล้างข้อมูลตามหลักการจำเป็นต้องรู้จะป้องกันการบุกรุกของข้อมูลโดยตั้งใจหรือไม่ตั้งใจ วิธีนี้ทำได้ดีที่สุดโดยการจำกัดสิทธิ์การเข้าถึงของผู้ปฏิบัติงานทางไกลเฉพาะระบบและข้อมูลที่พวกเขาต้องการสำหรับบทบาทในองค์กรเท่านั้น

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการเข้าถึงระยะไกลในการทำงานทางไกล โปรดอ่านบทความนี้: นโยบายการเข้าถึงระยะไกล ISO 27001: วิธีการพัฒนา


ทำอย่างไรให้เป็นไปตามมาตรฐาน ISO 27001 สำหรับผู้ปฏิบัติงานระยะไกล

การสร้างการรับรู้ที่ยั่งยืนและการรักษามาตรฐาน ISO 27001 สำหรับผู้ปฏิบัติงานนอกสถานที่เป็นสิ่งสำคัญ ISO 27001 ข้อ 7.2 และการควบคุม A 7.2.2 ให้ความสำคัญกับประเด็นนี้มากขึ้น จำเป็นต้องมีโปรแกรมการฝึกอบรมอย่างสม่ำเสมอและอัปเดตเกี่ยวกับนโยบายและขั้นตอนเกี่ยวกับการทำงานทางไกล กิจกรรมการรับรู้สามารถอยู่ในรูปแบบใดก็ได้ รวมถึงการประชุม การฝึกอบรมบนเว็บ การใช้อินทราเน็ตของบริษัท และอื่นๆ อย่างไรก็ตาม สิ่งสำคัญคือความมุ่งมั่นของฝ่ายบริหารของรัฐในการรักษาความปลอดภัยข้อมูล ความจำเป็นในการปฏิบัติตามการควบคุมความปลอดภัยของข้อมูล และความรับผิดชอบของผู้ปฏิบัติงานระยะไกลต่อการกระทำของตนเอง สิ่งสำคัญคือต้องประเมินความเข้าใจของผู้เข้าร่วมหลังจากกิจกรรมสร้างความตระหนักรู้ หากต้องการปรับปรุงความตระหนักด้านความปลอดภัยของผู้ปฏิบัติงานทางไกล ให้ลงทะเบียนในการฝึกอบรมความตระหนักด้านความปลอดภัย ฟรีนี้ – ชุดวิดีโอที่เข้าใจง่ายสำหรับพนักงานทุกคน

วิธีการต่อไปนี้จะเพิ่มการรับรู้และสร้างสภาพแวดล้อมการทำงานทางไกลที่ปลอดภัยยิ่งขึ้น:

  • การจัดทำโปรแกรมการตระหนักรู้โดยเน้นที่ไม่เพียงแต่ “อะไร” และ “อย่างไร” แต่ยังรวมถึง “ทำไม”
  • ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นยากต่อการถอดรหัสและเปลี่ยนเป็นประจำ
  • การเลือกเครื่องมือที่มีการรักษาความปลอดภัยในตัวและการเข้าถึงเดสก์ท็อปเสมือน
  • ดำเนินการตรวจสอบเครือข่ายและระบบอย่างสม่ำเสมอ
  • ตรวจสอบการให้สิทธิ์และสิทธิ์การเข้าถึงเป็นระยะๆ โดยเฉพาะอย่างยิ่งเมื่อผู้ปฏิบัติงานทางไกลออกจากงาน
  • การตั้งกฎสำหรับการประชุมผ่านวิดีโอ เช่น การจับภาพหน้าจอและการบันทึก
  • อัปเดตระบบของคุณอยู่เสมอและแจ้งพนักงานทางไกลเกี่ยวกับสิ่งเหล่านี้ หรือบังคับให้อัปเดตอัตโนมัติ
  • การพัฒนาแผนรับมือการละเมิดหรือความต่อเนื่องทางธุรกิจ
  • อย่าลืมตรวจสอบการเปลี่ยนแปลงในกฎระเบียบ!


รักษาความปลอดภัยการทำงานระยะไกลด้วย ISO 27001

ดังที่เราได้เห็นแล้วว่าการทำงานจากระยะไกลกลายเป็นส่วนหนึ่งของชีวิตการทำงานมากขึ้นเรื่อย ๆ ซึ่งมีข้อดี ในทางกลับกันอาจทำให้เกิดปัญหามากมายทั้งกับบุคคลและบริษัท สำหรับทุกคน การตั้งค่าการใช้ ISO 27001 และการควบคุมจะช่วยให้เปลี่ยนไปทำงานจากระยะไกลได้อย่างง่ายดาย ทำงานจากที่บ้าน แต่ปลอดภัย!

 

​สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems


​ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

หากคุณต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์

ติดต่อเรา 095-9196699, 02 860 6659 ต่อ 206

นิ้ว Knowledge
อ่านต่อไป
วิธีการตรวจสอบและ ตรวจวัดตามมาตรฐาน ISO 9001