什麼是門禁控制 - 實體安全基礎知識
|
實體和資料安全都是現代辦公生產力的必要條件。本報導概述了工作場所安全,以及如何開始。
執行摘要
- 安全的工作場所對於保持員工、資產和貨物,以及資料的生產力和安全 非常重要。
- 工作場所安全的最佳做法是制訂書面計劃,進行定期審計,並強調安全對所有員工的重要性。
- 訪客管理和門禁控制技術,在辦公室環境的安全自動化方面發揮著關鍵作用。
這些天來,似乎每個人都在更加關注安全,這是有道理的。考慮到 Facebook 最近的資料洩露,資料安全名列前茅,但實體安全和門禁控制,應該是防止這些和其他類型安全威脅的組成部分。
安全工作場所的重要性
未經授權的實體訪問可能會導致資料被盜、財產盜竊、破壞、破壞和對員工造成身體傷害。
考慮一下一個年輕人如何使用實體訪問來使用 USB 裝置來摧毀電腦裝置。這種 USB 還可能包含惡意程式,以滲透和/或對電腦系統造成破壞。
實體安全是而且應該是工作場所安全工作的首要關注點。停車場周圍的圍欄或牆壁、上鎖的大樓門、安全攝影機和保全人員都是保護財產和人員安全的 實體和組織障礙。
出入控制是確定和強制執行,誰可以進入建築物、場地、裝置和敏感區域的過程。瞭解誰在財產上,誰在建築物內,對於防止成為頭條新聞的犯罪類型很重要。它也可以作為緊急情況下的保障措施,因此應急人員可以清點人員,以確保每個人都已疏散並得到說明。
它不僅僅是從未知的罪犯那裡保護房舍。強大的門禁控制,還可以防止員工去他們不應該去的地方。如果一個組織處理敏感化學品、裝置或資料,沒有適當許可的員工,不應該到處晃。他們很容易傷害自己,損壞裝置,或獲取和分享他們不應該擁有的資訊。
當然,受密碼保護的電腦網路也是門禁控制的一種形式。數位門禁控制也是安全的一個非常重要的組成部分,目的在保護組織的私人資訊、檔案、程式、資料庫和基礎設施。
安全和門禁控制的最佳實踐
強大的安全性始於進行研究、適當規劃和遵循安全方面的最佳實踐。
制訂計劃
一旦一個組織對最大風險進行了評估,是時候確定需要採取哪些安全預防措施和程序了。該計劃涵蓋了許多安全最佳實踐,並需要包括以下內容:
- 進行安全審計。
- 評估風險和威脅。
- 根據需要購買和安裝裝置。
- 與員工溝通安全程序和溝通計劃的任何變化。
- 強制修改程序,以及如何實現這一點。
評估你的威脅和當前安全等級
每個組織都有不同級別的安全威脅。要制訂計劃,最好先問一些關於組織風險的問題。一些需要考慮的:
- 該組織手頭有很多昂貴的裝置或現金嗎?
- 該組織是否在高風險領域工作,如銀行、槍支或有爭議的事情?
- 目前誰可以進入該地區?
- 我們的門總是鎖著,或者任何人都可以進出嗎?
- 有哪些型別的監控系統?有安全攝影機嗎?
- 這個社群是什麼樣的?這是一個安全區還是高犯罪率地區?
- 哪種犯罪最有可能成為這個組織關注的問題?
- 員工知道什麼是安全協議嗎?他們是遵循程序,還是因為工作太多而繞過它們?合規等級是多少?
- 員工和常客知道在緊急情況下該怎麼做嗎?
- 威脅將來自哪裡,內部員工,或來自組織外的人? (機會是好的,答案是兩者兼而有之,但一些組織有更高的內部威脅,而另一些組織有更高的外部威脅。)
進行安全審計
雖然你可能知道你有一個安全系統,但不時檢查它很重要。僅僅因為一個系統存在,並不意味著它正在滿負荷工作。
- 檢查裝置。這包括安全攝影機、自動門鎖、身份證掃描器,和任何其他相關裝置。確保沒有損壞,並且它們都正常工作。
- 進行觀察測試。觀察組織中實際發生的事情,可能與理想情況大不相同。
- 員工是否允許任何人跟隨他們進入大樓?
- 汽車停在限制空間嗎?
- 門沒有在員工身後完全關閉,要麼是因為門有故障,要麼是因為員工在開啟門?
- 評估當前程序。他們解決了當前的風險嗎?缺少什麼?什麼過於複雜?他們在工作嗎?
理解並利用最小特權原則
在描述電腦系統中的數位門禁使用者擁有什麼時,經常使用最小特權原則。 這個想法是,使用者只能訪問他們工作所需的資訊。
在電腦世界中,這限制了電腦使用者擁有的權利。他們可能能夠將內容輸入資料庫,但他們可能無法定義該資料庫中的欄位。他們可能不允許安裝新程式,但他們可能可以從一組資料夾中刪除檔案。最小特權的想法確保使用者不會為他人捣亂,無論是意外還是故意的,或者至少不太可能這樣做。
根據工作場所的類型,最低特權原則也可能適用於進入建築物和場地內的區域。在一個高度監管的半危險研發實驗室中,行政助理不太可能擁有或需要進入實驗室。因此,他們不應該有安全許可,這樣他們就不會意外傷害自己或汙染實驗。
確定基線訪問
基線訪問與最小特權原則一起實施。基線訪問是每個人都需要的訪問。雖然組織的某些成員可能無法進入限制區域,但每個人都可能需要進入主入口、廁所(至少任何不在限制區域的廁所)、吃到飽廳或休息區,以及某些其他公共空間。
員工的基線訪問可能與訪問者的基線訪問不同。
建立入口門禁控制
入口出入控制是建立入口實體屏障的過程,只有在適當的許可下才能釋放。這些是門、旋轉柵門等,在區域之間穿梭時,它們會鎖定並保持員工和人員的責任。
發放身份證
所有員工都應該有身份證,並可能還有作為解鎖門鑰匙卡的身份證。如果員工在開始就業時獲得身份證,則會驗證其身份。使用卡片作為鑰匙,既有助於根據個人的角色和身份,授予對區域的進出許可權,也可以建立員工行動的記錄。
訪客也可以獲得訪客徽章,這些徽章與員工卡有些不同,這樣人們就可以認出他們是訪客。這些卡可能有基線鑰匙卡進出許可權,或者根本沒有鑰匙卡進出許可權,這取決於組織的安全等級。
建立安全文化
這是培訓員工瞭解預期安全程序的過程。如果員工不知道安全標準是什麼,或者安全程序發生變化,那麼員工幾乎不可能做他們應該做的事情。
定期溝通計劃是必要的。一些可能包含的元素是:
- 定期電子郵件提醒,包括「本月安全主題」。
- 消防演習、暴力入侵者演習、特定於組織的化學品溢漏/危險程式演習。
- 解決該地區可能發生的任何自然災害的演習,例如洪水、地震、龍捲風等。
- 新員工安全教育訓練研討會,以及任何時候發生重大變化。
- 提醒標牌。
- 員工報告安全問題的開放通訊系統。
安全工作場所的訪客管理
確保現場所有人員都得到考慮的一個方法,是建立一個訪問者管理系統。這些系統使組織能夠密切關注誰在大樓裡,出於什麼目的,以及他們有什麼樣的訪問許可權。
一個好的訪客管理系統將:
- 要求所有訪客辦理進入手續
- 為每個訪客收集適當的聯絡資訊
- 記錄訪問的原因,包括公司員工的姓名,客人要來見的人
- 如果需要,請拍攝訪客照片並列印訪客徽章
- 記錄進入時間
- 要求所有訪客離開,記錄離開時間
- 要求歸還訪客徽章
最好的訪客管理系統,將警惕的員工與數位訪客值班 Kiosk 資訊站相結合,擁有一雙人類的眼睛可以確保每個人實際上都在檢查。從已經登記進入的其他人,後面的一扇敞開的門溜進來太容易了。
與此同時,數位系統為員工騰出時間,來完成其他必要的任務。它可能要求客人填寫某些欄位,如姓名、電話號碼和主機員工,而很容易跳過紙質日誌上的欄位,或者員工可能會使用快捷方式來節省時間。
此外,數位系統是一個非常有用的記錄儲存工具。如果盜竊發生在已知時間範圍內,數位系統很容易搜尋相關時間內所有客人的記錄。(這要求客人離開並上交訪客徽章。)
在另一種情況下,一個有問題的客人 —— 例如憤怒的前僱員 —— 可以在系統中被標記。這個紅旗可能要求前員工在現場與公司調解員或律師會面,由安全官員或其他僱員陪同,或阻止該人完全進入主樓,而不是要求他們留在大廳。
訪客管理系統不僅包括辦理進入的數位系統。它還要求某些員工程序,包括任何為歡迎臺提供工作人員的人,以及那些邀請客人的員工。
對員工的一些可能的期望和要求可能是:
- 那個員工會提前登記客人
- 這位客人永遠不會被無人看管地留在大樓裡
- 在大廳或其他指定區域接收所有貨物
坦率地說,各種形式的門禁控制 —— 電腦連線線和實體訪問 —— 是任何組織安全工作的支柱。如果沒有適當的進出存取控制,員工和組織外未經授權的人太容易以多種方式造成損害。
數位與實體門禁控制帶來的風險並不相同。
未經授權的電腦連線存取可能會導致:
- 被盜資料
- 損壞的檔案
- 意外傷害是由那些沒有適當知識的人造成的
- 安裝惡意軟體
- 各種其他形式的資料洩露和數位破壞
未經授權的實體進出可能會導致:
- 被盜或損壞的財產
- 敏感資訊被盜或洩露
- 意外傷害是由那些沒有適當知識的人造成的
- 員工受到傷害
- 實體破壞
實施門禁控制的所有元素,有助於防止員工或訪客造成的這些問題,和其他問題。身份證、密碼、訪客管理等讓每個人都更安全。
結論:始終保持安全意識
實施實體安全和門禁控制措施是一個持續的過程。隨著一個組織和它所服務的社群的發展,風險水準也在不斷發展。定期審核、重新評估程序的委員會,以及持續的執法和警惕是員工工作安全環境的必要條件。
0 comments:
張貼留言