Kiểm soát 7.2 đề cập đến nhu cầu của các tổ chức trong việc bảo vệ các khu vực an toàn bằng cách sử dụng các biện pháp kiểm soát lối vào và điểm truy cập phù hợp.
Control 7.2 là gì?
Kiểm soát lối vào và điểm truy cập là một phần quan trọng của hệ thống an ninh của bất kỳ tòa nhà nào. Chúng giúp bạn có thể ra vào tòa nhà mà không ảnh hưởng đến sự an toàn của tòa nhà và chúng cũng có thể ngăn chặn những người không được phép hoặc không mong muốn xâm nhập.
Kiểm soát nhập cảnh
Kiểm soát ra vào là các thiết bị cho phép bạn ra vào tòa nhà thông qua cửa ra vào hoặc cổng, chẳng hạn như bàn phím, đầu đọc thẻ, máy quét sinh trắc học và chìa khóa điện tử. Chúng cũng có thể bao gồm các tính năng khác như cơ chế khóa cho cửa ra vào và cổng ra vào, cũng như cửa quay hoặc cửa xoay.
Điểm truy cập
Điểm truy cập là thiết bị điện tử cung cấp an ninh trong các tòa nhà thương mại lớn. Nó sử dụng công nghệ nhận dạng tần số vô tuyến (RFID) để theo dõi mọi chuyển động ra vào cơ sở. Điểm truy cập truyền dữ liệu trở lại trụ sở chính để nhân viên an ninh có thể theo dõi khi ai đó vào hoặc ra khỏi cơ sở và những khu vực nào họ đang truy cập khi họ ở đó.
Bảng Thuộc tính
Thuộc tính được sử dụng để phân loại các điều khiển. Sử dụng các thuộc tính này, bạn có thể dễ dàng so sánh lựa chọn điều khiển của mình với các cụm từ và yêu cầu thường dùng trong ngành. Các thuộc tính trong điều khiển 7.2 như sau.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Bảo mật vật lý #Quản lý danh tính và quyền truy cập | #Sự bảo vệ |
Mục đích của Kiểm soát 7.2 là gì?
Kiểm soát 7.2 đảm bảo chỉ có quyền truy cập vật lý được ủy quyền vào thông tin của tổ chức và các tài sản liên quan khác.
Bảo mật vật lý có tầm quan trọng hàng đầu khi bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của tài sản thông tin. Kiểm soát 7.2 chủ yếu liên quan đến việc bảo vệ thông tin và các tài sản liên quan khác khỏi việc truy cập trái phép, trộm cắp hoặc mất mát. Để đạt được mục đích này, phải áp dụng các biện pháp kiểm soát nhập cảnh và điểm truy cập phù hợp để đảm bảo rằng chỉ những cá nhân được ủy quyền mới có thể truy cập vào các khu vực an toàn.
Các biện pháp kiểm soát này phải được thiết kế sao cho có thể đảm bảo hợp lý rằng quyền truy cập vật lý chỉ giới hạn ở những người được ủy quyền và những người này thực sự là người như họ tuyên bố.
Điều này bao gồm việc sử dụng khóa và chìa khóa (cả thủ công và điện tử), nhân viên bảo vệ, hệ thống giám sát và các rào cản khác xung quanh lối vào và điểm truy cập. Các hệ thống kiểm soát truy cập như mật khẩu, chìa khóa thẻ hoặc thiết bị sinh trắc học cũng có thể được sử dụng để kiểm soát quyền truy cập vào các khu vực nhạy cảm trong cơ sở cũng nên được triển khai.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Để đáp ứng các yêu cầu về việc thực hiện kiểm soát 7.2, các tổ chức được yêu cầu kiểm soát và nếu có thể, cô lập các điểm truy cập khỏi các cơ sở xử lý thông tin như khu vực giao hàng và bốc hàng và các điểm khác mà những người không được phép có thể vào cơ sở, để tránh việc truy cập trái phép. Các khu vực này chỉ nên giới hạn cho những người được phép.
Có khá nhiều hướng dẫn triển khai trong tài liệu tiêu chuẩn ISO 27002 dưới sự kiểm soát 7.2 có thể làm cơ sở để đáp ứng các yêu cầu cho sự kiểm soát này. Các hướng dẫn này bao gồm cho nhân viên chung, khách tham quan và người giao hàng. Bạn có thể xem hướng dẫn triển khai khi truy cập phiên bản sửa đổi của ISO 27002:2022.
Những thay đổi và khác biệt so với ISO 27002:2013
Trước hết, kiểm soát 7.2 trong ISO 27002:2022 không phải là kiểm soát mới, mà là sự kết hợp của kiểm soát 11.1.2 và 11.1.6 trong ISO 27002:2013. Hai kiểm soát này đã được sửa đổi trong ISO 27002:2022 để thân thiện hơn với người dùng so với ISO 27002:2013.
Kiểm soát 11.1.2 – Kiểm soát lối vào vật lý, bao gồm nhu cầu về các khu vực an toàn được bảo vệ bằng các biện pháp kiểm soát lối vào phù hợp để đảm bảo rằng chỉ những người được ủy quyền mới được phép ra vào. Như bạn có thể thấy, kiểm soát 11.1.2 về cơ bản bao gồm các biện pháp kiểm soát lối vào vật lý và các hướng dẫn triển khai trong phần đó của tiêu chuẩn xem xét các bước mà tổ chức có thể thực hiện để đảm bảo rằng chỉ những người được ủy quyền mới được phép vào vì các mục đích cụ thể.
Nó cũng quy định rằng các biện pháp thích hợp như xác thực hai yếu tố là cần thiết để những người được ủy quyền có thể truy cập vào các khu vực nhạy cảm về bảo mật thông tin. Quyền truy cập này cũng phải được hỗ trợ bởi sổ ghi chép vật lý hoặc dấu vết kiểm toán điện tử.
Kiểm soát 11.1.6 – Mặt khác, Khu vực giao hàng và bốc xếp chỉ bao gồm quyền tiếp cận khu vực giao hàng và bốc xếp của những người được ủy quyền. Khuyến nghị rằng khu vực này nên được thiết kế sao cho tách biệt với cơ sở hoạt động để nhân viên giao hàng không thể tiếp cận các phần khác của tòa nhà.
Như bạn có thể thấy, hai khuyến nghị này đã được hợp nhất thành một trong control 7.2 trong phiên bản cập nhật của ISO 27002.
Cuối cùng, control 7.2 và control 11.1.2 và 11.1.6 có phần giống nhau về mặt ngữ cảnh. Sự khác biệt chính là 11.1.2 và 11.1.6 đã được hợp nhất để cải thiện tính thân thiện với người dùng.
Ngoài ra, bảng thuộc tính và mục đích kiểm soát đã được thêm vào phiên bản ISO 27002 năm 2022. Hai yếu tố này không có trong các biện pháp kiểm soát ở phiên bản năm 2013.
Ai là người chịu trách nhiệm cho quá trình này?
Kiểm soát quyền truy cập vật lý được coi là một trong những biện pháp an ninh quan trọng nhất trong một công ty hoặc tổ chức.
Bộ phận an ninh chịu trách nhiệm về mọi khía cạnh của an ninh vật lý, bao gồm kiểm soát lối vào. Tuy nhiên, họ có thể ủy quyền cho một bộ phận khác nếu họ cảm thấy rằng họ thiếu chuyên môn hoặc nguồn lực cần thiết để xử lý nhiệm vụ này.
Các nhóm CNTT cũng đóng vai trò quan trọng trong bảo mật vật lý. Họ giúp đảm bảo rằng các hệ thống công nghệ được bảo mật vật lý sử dụng được cập nhật và an toàn. Ví dụ, nếu bạn có hệ thống phát hiện xâm nhập (IDS) tại cửa trước của tổ chức nhưng phần mềm của hệ thống này không được cập nhật trong nhiều tháng, thì hệ thống này sẽ không có tác dụng nhiều khi kẻ xâm nhập cố gắng vượt qua.
Những thay đổi này có ý nghĩa gì đối với bạn?
Vì tiêu chuẩn ISO 27002 chỉ thay đổi một chút nên tổ chức của bạn sẽ không cần phải thay đổi nhiều về hoạt động bảo mật thông tin.
Nếu bạn đã có chứng chỉ ISO 27001, bạn sẽ thấy phương pháp quản lý bảo mật thông tin hiện tại của bạn đáp ứng các tiêu chuẩn mới.
Tuy nhiên, nếu bạn bắt đầu từ con số 0, bạn sẽ cần phải làm quen với thông tin trong tiêu chuẩn mới.
Vui lòng xem hướng dẫn ISO 27002:2022 mới của chúng tôi để tìm hiểu thêm về cách những thay đổi này có thể ảnh hưởng đến tổ chức của bạn.
