針對ISO 27001:2022新增的11項控制措施,先前已經說明了3項,接下來說明第4項「A.7.4 實體安全監視 (Physical security monitoring)」的要求與實務做法。
A.7.4 實體安全監視
在新版 ISO 27001:2022 標準中對於實體安全監視的要求是「應持續監視場所,以防未經授權之實體進出」,最常見的管控機制就是建置影像監控系統 (CCTV) 了。
其實在舊版 ISO 27001:2013 的實體安全防護方面,針對管制區域像是機房和辦公室的出入口,安裝 CCTV 進行監控並留存影像,本來就是常見的實務做法,只是過往並沒有特別將這項控制措施獨立出來。
基本上,CCTV 只是實體安全監視的其中一項方法,其他可能的管控方式還包括了設置警衛、紅外線或壓力感測入侵警報器等,目的是要達成偵測並及時阻止未經授權的進出。
在新版 ISO 27001:2022 的要求中,針對這項控制措施的重點在於「持續」,所以必須要確保監視的時間和記錄的留存,是否可以滿足組織本身的要求。
最後,組織若要在特定的場所設置監視器,也要特別注意裝設監視器的位置,並依據相關法令法規的規定,千萬不要以監控之名而侵犯了他人的隱私。
(待續...)
沒有留言:
張貼留言