เรื่อง การควบคุม การเข้าถึง (Access Control)
เป็นอีกเรื่องหนึ่งที่สำคัญ และละเอียดอ่อน เนื่องจากหัวข้อนี้ฝ่ายเทคโนโลยีสารสนเทศต้องแสดงให้เห็นได้ว่า สามารถควบคุมสิทธิ์การเข้าถึง System ต่าง ๆ ได้ตามที่กำหนดไว้อย่างเคร่งครัด เพื่อป้องกันไม่ให้พนักงานที่ไม่เกี่ยวข้องสามารถเข้าถึงข้อมูลที่สำคัญขององค์กรได้ ในหัวข้อนี้ ฝ่ายเทคโนโลยีสารสนเทศ จะต้องแสดงให้ บริษัทตรวจสอบภายใน หรือผู้ตรวจสอบภายในหรือภายนอก เห็นได้อย่างเป็นรูปธรรมถึงการควบคุมการเข้าถึง ดังนี้
1. มีการจัดทำทะเบียนควบคุมสิทธิ์การเข้าถึง System ต่าง ๆ โดยมีการแบ่งแยกตามตำแหน่งหน้าที่ของพนักงาน และทะเบียนควบคุมสิทธิ์การเข้าถึงนั้น ได้ถูกอนุมัติโดยผู้บริหารระดับสูง
2. แสดงให้เห็นถึงขั้นตอนในการขอเพิ่มสิทธิ์ การขอเปลี่ยนแปลงสิทธิ์ และการยกเลิกสิทธิ์ ของพนักงานได้อย่างครบถ้วน เช่น กรณีพนักงานมาใหม่ดำเนินการอย่างไร พนักงานเปลี่ยนตำแหน่งดำเนินการอย่างไร พนักงานลาออกทำอย่างไร หรือพนักงานมีการรับหน้าที่เพิ่มมีขั้นตอนการทำงานอย่างไร การขอใช้สิทธิ์พิเศษที่นอกเหนือตำแหน่งงาน (อย่าลืมหลักฐานนะครับ ได้ทั้งที่เป็นกระดาษ File หรือ System ก็ได้ ทุกอย่างไม่ใช่แสดงเพียงคำพูดอย่างเดียว)
3. ผู้ใช้งาน System ต่าง ๆ มีการเซ็นยอมรับสิทธิ์ในการเข้าถึง บทลงโทษ
4. มีการกำหนดรหัสการเข้าถึง System ต่าง ๆ อย่างเหมาะสม เช่น มีความเป็น Complex, มีความยาวพอเพียง, มีอายุการใช้งาน, มีการป้องกันการเปลี่ยนรหัสซ้ำ และมีการ Lock system ทุกครั้งที่ไม่มีการใช้งาน เป็นต้น
5. มีการนำทะเบียนควบคุมสิทธิ์การเข้าถึง ให้ผู้บริหารทบทวน (เหมือนนโยบาย/กฎระเบียบด้านความมั่นคงปลอดภัยสารสนเทศ) ตามระยะเวลาที่กำหนด
ดร. สุรพรรษ์ เพ็ญจำรัส
อังคารที่ 5 กันยายน 2560
“ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง เพื่อการพาณิชย์โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฎหมายบัญญัติไว้สูงสุด ในกรณีต้องการอ้างอิงเพื่อการศึกษา กรุณาให้เครดิตโดยอ้างอิงถึงผู้เรียบเรียงและบริษัทเจ้าของเว็บไซด์ด้วย”