วิธีใช้ ISO 27001 ในอดีต การทำงานจากที่บ้านเป็นทางเลือกสำหรับฟรีแลนซ์และบริษัทที่ต้องการลดค่าใช้จ่ายในการดำเนินงานและปรับปรุงความสมดุลระหว่างชีวิตและการทำงานของพนักงาน แต่โควิด-19 ได้เปลี่ยนแปลงวิธีการทำงานของเรา และบังคับให้หลายบริษัทต้องปรับตัวอย่างรวดเร็วและสนับสนุนการทำงานจากระยะไกล พวกเขาต้องสร้างสภาพแวดล้อมการทำงานเสมือนจริงที่ช่วยให้การทำงานทางไกลมีประสิทธิผลและทำให้งานของพวกเขาปลอดภัย ในขณะเดียวกันก็ต้องรับมือกับความท้าทายด้านความปลอดภัยข้อมูลของการทำงานจากระยะไกล
ด้วยความช่วยเหลือจากข้อกำหนดของ ISO 27001 สำหรับการจัดการความเสี่ยงด้านความปลอดภัยข้อมูล และการควบคุมความปลอดภัยของภาคผนวก A งานนี้จะซับซ้อนน้อยลงและช่วยให้คุณใช้ประโยชน์จากการทำงานระยะไกลได้อย่างเต็มที่โดยมีความเสี่ยงน้อยที่สุด
การควบคุม ISO 27001 สำหรับการทำงานระยะไกล:
- A 6.2.1 – นโยบายเกี่ยวกับอุปกรณ์พกพา
- A 6.2.2 – การทำงานระยะไกล
- A 7.2.2 – ความตระหนักด้านความปลอดภัยของข้อมูล การศึกษา และการฝึกอบรม
ความท้าทายด้านความปลอดภัยในการทำงานระยะไกล
นอกจากประโยชน์มากมายแล้ว การทำงานจากระยะไกลยังมีความท้าทายและความเสี่ยงด้านความปลอดภัยของข้อมูลอีกด้วย ซึ่งรวมถึงการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดข้อมูลที่ละเอียดอ่อน และการแก้ไขหรือแม้แต่การทำลายข้อมูล เมื่อพิจารณาว่าพนักงานอยู่นอกสภาพแวดล้อมขององค์กร พวกเขาจะใช้อุปกรณ์เคลื่อนที่สำหรับการเข้าถึงระยะไกลจากเครือข่ายที่บ้านหรือสาธารณะ ซึ่งอาจไม่มีการควบคุมความปลอดภัยที่ดีที่สุด นโยบายด้านข้อมูลและการสื่อสารที่ไม่เพียงพอ รวมถึงการขาดขั้นตอนที่กำหนดไว้อย่างชัดเจน อาจทำให้เกิดฝันร้ายสำหรับบริษัทต่างๆ รวมถึงการสูญเสียทางการเงินและการไม่ปฏิบัติตามกฎระเบียบต่างๆ เช่น GDPR ของสหภาพยุโรป
การควบคุมใดของมาตรฐาน ISO 27001 ที่พูดถึงการทำงานจากระยะไกล
ระบบการจัดการความปลอดภัยของข้อมูลตาม ข้อกำหนดและการควบคุม ISO 27001ช่วยให้เราสามารถป้องกันความเสี่ยงด้านความปลอดภัยของข้อมูลเหล่านี้ได้ ISO 27001 ประกอบด้วย 10 ส่วนและอ้างอิงวัตถุประสงค์การควบคุมและการควบคุมที่ระบุไว้ในภาคผนวก A ของมาตรฐาน นอกจากนี้ยังมีอีกมาตรฐานหนึ่งคือ ISO 27002 ซึ่งเป็นหลักปฏิบัติสำหรับการควบคุมเหล่านั้น
การควบคุมสองอย่างจาก ISO 27001/ISO 27002 มีไว้สำหรับการทำงานทางไกลโดยเฉพาะ: A.6.2.1 นโยบายอุปกรณ์เคลื่อนที่ และ A.6.2.2 การทำงานทางไกล
นโยบายเกี่ยวกับอุปกรณ์เคลื่อนที่ การควบคุม A 6.2.1 ระบุว่านโยบายและมาตรการรักษาความปลอดภัยที่สนับสนุนต้องถูกนำมาใช้เพื่อจัดการความเสี่ยงด้านความปลอดภัยเนื่องจากการใช้อุปกรณ์เคลื่อนที่:
- นโยบายอุปกรณ์เคลื่อนที่ควรรวมถึงการป้องกันทางกายภาพของอุปกรณ์ที่ลงทะเบียน การป้องกันมัลแวร์ การจำกัดการติดตั้ง การจัดการการอัปเดตและแพตช์ การควบคุมการเข้าถึง และการสำรองข้อมูล
- องค์กรควรพิจารณาการเข้ารหัสและการใช้การตรวจสอบความลับ เช่น รหัสผ่านและ PIN เพื่อหลีกเลี่ยงการเข้าถึงโดยไม่ได้รับอนุญาต
- ในกรณีที่อุปกรณ์พกพา – โดยเฉพาะอย่างยิ่งอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อน – ถูกขโมยหรือสูญหาย วิธีที่ดีที่สุดคือใช้การล็อกระยะไกลหรือการลบข้อมูล
การทำงานทางไกล การควบคุม A 6.2.2 ระบุว่านโยบายที่กำหนดเงื่อนไขและข้อจำกัดสำหรับการทำงานทางไกลควรออกโดยองค์กร:
- นโยบายนี้ควรมุ่งเน้นไปที่การปกป้องข้อมูลที่เข้าถึง ประมวลผล หรือจัดเก็บที่ไซต์การทำงานทางไกล โดยพิจารณาจากกฎระเบียบ
- องค์กรควรจัดหาอุปกรณ์สื่อสาร การรักษาความปลอดภัยทางกายภาพ ฮาร์ดแวร์ และซอฟต์แวร์ที่เหมาะสมให้แก่พนักงานที่ทำงานจากระยะไกล
- ควรพิจารณากฎที่กำหนดไว้สำหรับการใช้เครือข่ายภายในบ้านและเครือข่ายไร้สาย การจัดประเภทข้อมูลที่เก็บไว้ และนโยบายการให้สิทธิ์ในการเข้าถึงระบบและบริการ
นอกจากนี้ การควบคุม A.7.2.2 ระบุว่าพนักงานทุกคนในองค์กรต้องมีความตระหนักที่เหมาะสมและการฝึกอบรมที่ได้รับการปรับปรุงอย่างสม่ำเสมอ เพื่อให้มั่นใจว่านโยบายและระเบียบปฏิบัติได้รับการปฏิบัติอย่างถูกต้อง
การใช้การควบคุม ISO 27001 กับการทำงานระยะไกล
ไม่ว่าคุณจะทำงานในอุตสาหกรรมใด ในบางจุดองค์กรของคุณหรืออย่างน้อยก็บางส่วนจะเริ่มพึ่งพาการทำงานจากระยะไกล แต่ด้วยการเปิดเผยโครงสร้างพื้นฐาน ระบบ และข้อมูลในลักษณะนี้ องค์กรของคุณจำเป็นต้องใช้ความระมัดระวังสำหรับความเสี่ยงสูงที่เกี่ยวข้อง วิธีใช้ ISO 27001
ประการแรก อุปกรณ์หรือผู้ใช้ที่ไม่ปฏิบัติตามนโยบายด้านอุปกรณ์เคลื่อนที่และการทำงานระยะไกลไม่ควรได้รับอนุญาตให้เชื่อมต่อ ดังนั้น องค์กรต้องกำหนดว่าใครสามารถทำงานทางไกลและเข้าถึงระบบและข้อมูลได้จากระยะไกล
การใช้เครือข่ายส่วนตัวเสมือน (VPN) และการตรวจสอบสิทธิ์แบบ 2 ปัจจัยจะช่วยปรับปรุงความปลอดภัยของอุปกรณ์ปลายทาง การสแกนการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่ผิดปกติโดยใช้ไฟร์วอลล์เลเยอร์เครือข่ายและการเข้ารหัสข้อมูลและการสื่อสารที่ละเอียดอ่อนจะช่วยเพิ่มความปลอดภัย การตรวจสอบอย่างต่อเนื่อง การทดสอบการเจาะ และการตรวจสอบจะช่วยให้คุณตรวจพบช่องโหว่และเปลี่ยนกลยุทธ์การรักษาความปลอดภัยข้อมูลของคุณ
การกวาดล้างข้อมูลตามหลักการจำเป็นต้องรู้จะป้องกันการบุกรุกของข้อมูลโดยตั้งใจหรือไม่ตั้งใจ วิธีนี้ทำได้ดีที่สุดโดยการจำกัดสิทธิ์การเข้าถึงของผู้ปฏิบัติงานทางไกลเฉพาะระบบและข้อมูลที่พวกเขาต้องการสำหรับบทบาทในองค์กรเท่านั้น
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการเข้าถึงระยะไกลในการทำงานทางไกล โปรดอ่านบทความนี้: นโยบายการเข้าถึงระยะไกล ISO 27001: วิธีการพัฒนา
ทำอย่างไรให้เป็นไปตามมาตรฐาน ISO 27001 สำหรับผู้ปฏิบัติงานระยะไกล
การสร้างการรับรู้ที่ยั่งยืนและการรักษามาตรฐาน ISO 27001 สำหรับผู้ปฏิบัติงานนอกสถานที่เป็นสิ่งสำคัญ ISO 27001 ข้อ 7.2 และการควบคุม A 7.2.2 ให้ความสำคัญกับประเด็นนี้มากขึ้น จำเป็นต้องมีโปรแกรมการฝึกอบรมอย่างสม่ำเสมอและอัปเดตเกี่ยวกับนโยบายและขั้นตอนเกี่ยวกับการทำงานทางไกล กิจกรรมการรับรู้สามารถอยู่ในรูปแบบใดก็ได้ รวมถึงการประชุม การฝึกอบรมบนเว็บ การใช้อินทราเน็ตของบริษัท และอื่นๆ อย่างไรก็ตาม สิ่งสำคัญคือความมุ่งมั่นของฝ่ายบริหารของรัฐในการรักษาความปลอดภัยข้อมูล ความจำเป็นในการปฏิบัติตามการควบคุมความปลอดภัยของข้อมูล และความรับผิดชอบของผู้ปฏิบัติงานระยะไกลต่อการกระทำของตนเอง สิ่งสำคัญคือต้องประเมินความเข้าใจของผู้เข้าร่วมหลังจากกิจกรรมสร้างความตระหนักรู้ หากต้องการปรับปรุงความตระหนักด้านความปลอดภัยของผู้ปฏิบัติงานทางไกล ให้ลงทะเบียนในการฝึกอบรมความตระหนักด้านความปลอดภัย ฟรีนี้ – ชุดวิดีโอที่เข้าใจง่ายสำหรับพนักงานทุกคน
วิธีการต่อไปนี้จะเพิ่มการรับรู้และสร้างสภาพแวดล้อมการทำงานทางไกลที่ปลอดภัยยิ่งขึ้น:
- การจัดทำโปรแกรมการตระหนักรู้โดยเน้นที่ไม่เพียงแต่ “อะไร” และ “อย่างไร” แต่ยังรวมถึง “ทำไม”
- ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นยากต่อการถอดรหัสและเปลี่ยนเป็นประจำ
- การเลือกเครื่องมือที่มีการรักษาความปลอดภัยในตัวและการเข้าถึงเดสก์ท็อปเสมือน
- ดำเนินการตรวจสอบเครือข่ายและระบบอย่างสม่ำเสมอ
- ตรวจสอบการให้สิทธิ์และสิทธิ์การเข้าถึงเป็นระยะๆ โดยเฉพาะอย่างยิ่งเมื่อผู้ปฏิบัติงานทางไกลออกจากงาน
- การตั้งกฎสำหรับการประชุมผ่านวิดีโอ เช่น การจับภาพหน้าจอและการบันทึก
- อัปเดตระบบของคุณอยู่เสมอและแจ้งพนักงานทางไกลเกี่ยวกับสิ่งเหล่านี้ หรือบังคับให้อัปเดตอัตโนมัติ
- การพัฒนาแผนรับมือการละเมิดหรือความต่อเนื่องทางธุรกิจ
- อย่าลืมตรวจสอบการเปลี่ยนแปลงในกฎระเบียบ!
รักษาความปลอดภัยการทำงานระยะไกลด้วย ISO 27001
ดังที่เราได้เห็นแล้วว่าการทำงานจากระยะไกลกลายเป็นส่วนหนึ่งของชีวิตการทำงานมากขึ้นเรื่อย ๆ ซึ่งมีข้อดี ในทางกลับกันอาจทำให้เกิดปัญหามากมายทั้งกับบุคคลและบริษัท สำหรับทุกคน การตั้งค่าการใช้ ISO 27001 และการควบคุมจะช่วยให้เปลี่ยนไปทำงานจากระยะไกลได้อย่างง่ายดาย ทำงานจากที่บ้าน แต่ปลอดภัย!
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
หากคุณต้องการอ่านข้อมูลเพิ่มเติมเกี่ยวกับเว็บไซต์
ติดต่อเรา 095-9196699, 02 860 6659 ต่อ 206