Login Form

ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร vs ความมั่นคงปลอดภัยเมื่อสิ้นสุดหรือเปลี่ยนการจ้างงาน

ความมั่นคงปลอดภัยเมื่อสิ้นสุดหรือเปลี่ยนการจ้างงาน (Termination or change of employment) พนักงานสามารถเปลี่ยนที่ทำงานไม่วาเปลี่ยนโดยสมัครใจหรือจำยอม(จ้างออก,ไล่ออก) ในกรณีที่เป็นการเปลี่ยนการจ้างงานโดยจำยอม มีความเสี่ยงสูงกับความมั่นคงความปลอดภัย เพราะพนักงานอาจเจตนาต้องการให้องค์กรเกิดความเสียหายได้ มากกว่านั้นแม้ว่าโดยสมัครใจข้อมูลความลับทางเทคนิคของท่านหรือของลูกค้าของท่านย่อมมีความเสี่ยงอย่างยิ่งในการถูกนำไปใช้ให้มีประโยชน์กับคู่แข่งหรือผู้ที่ต้องการก่อให้เกิดภัยคุกคามกับองค์กรท่าน เมื่อสิ้นสุดการจ้างงานหรือเปลี่ยนการจ้างงานต่อพนักงาน จึงควรต้องมีมาตรการในการควบคุมความเสี่ยงนี้

 

1 หน้าที่ความรับผิดชอบเมื่อสิ้นสุดหรือเปลี่ยนการจ้างงาน (Termination responsibilities)

หลักการ/มาตรการ

หน้าที่ความรับผิดชอบที่ผู้รับการว่าจ้างต้องปฏิบัติตามเมื่อสิ้นสุดหรือเปลี่ยนลักษณะการจ้างงานควรมีการกำาหนดไว้อย่างชัดเจน รวมทั้งกำหนดให้มีการปฏิบัติตาม

แนวทางปฏิบัติ

(ก) องค์กรควรทำการกำหนดระเบียบวิธีปฏิบัติในกรณีที่สิ้นสุดการจ้างงาน กำหนดให้พนักงานจ้างต้องปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขการจ้างงานและ/หรือข้อกำหนดต่างๆ ที่ได้กำหนดไว้

(ข) ให้มีระบบระเบียบบันทึกที่ทำให้มั่นใจได้ว่า ฝ่ายบุคคล หัวหน้างาน หรือผู้บังคับบัญชาได้เน้นย้ำให้ผู้รับการว่าจ้างทราบถึง

1) การปฏิบัติตามเงื่อนไขในสัญญาจ้างจนกว่าจะสิ้นสุดการจ้างงาน

2) การปฏิบัติตามข้อตกลงการรักษาความลับขององค์กร

(ค) ระบบระเบียบนี้ ควรมีการระบุให้ครอบคลุม ทั้งฝ่ายบุคคล หัวหน้างานและหรือผู้บังคับบัญชาให้มีส่วนร่วมกำหนดให้ผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานต้องปฏิบัติตามข้อกำหนดต่างๆที่องค์กรได้กำหนดไว้จนกว่าจะสิ้นสุดสัญญาจ้าง ทั้งนี้เพื่อให้กระบวนการไม่ขาดตกบกพร่องในแง่ของการรักษาความปลอดภัย เนื่องจากหัวหน้างานจะเป็นผู้ที่ทราบดีที่สุดว่ามีข้อมูล วัสดุ เอกสารอะไรบ้างที่อาจตกค้างกันพนักงานผู้นั้น

(ง) กรณีที่ผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานยังคงต้องปฏิบัติหน้าที่ที่ตนรับผิดชอบต่อไปอีกช่วงระยะเวลาหนึ่ง สัญญาจ้างงานควรครอบคลุมเงื่อนไขและระยะเวลาดังกล่าวด้วย รวมทั้งเน้นย้ำให้พนักงานรับทราบ

(จ) ฝ่ายบุคคล หัวหน้างาน หรือผู้บังคับบัญชาควรแจ้งให้ผู้รับการว่าจ้างทราบถึงการเปลี่ยนแปลงที่เกี่ยวข้องกับบุคลากรขององค์กร สวัสดิการ เงื่อนไขการปฏิบัติงาน หรือการเปลี่ยนแปลงอื่นๆ ที่กระทบต่อผู้รับการว่าจ้าง

 

2 การคืนทรัพย์สินขององค์กร (Return of assets)

หลักการ/มาตรการ

พนักงานควรคืนทรัพย์สินขององค์กรที่ตนถือครองหรือใช้งานอยู่เมื่อสิ้นสุดการจ้างงาน

แนวทางปฏิบัติ

(ก) กระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงานควรแจ้งให้ผู้รับการว่าจ้างคืนทรัพย์สินขององค์กรดังนี้

1) ซอฟต์แวร์

2) เอกสารหรือคู่มือสำคัญ

3) ข้อมูล ซึ่งรวมถึงข้อมูลบนสื่อบันทึกข้อมูลต่าง

4) อุปกรณ์ ซึ่งรวมถึงอุปกรณ์ประเภทพกพา

5) บัตรเข้าห้อง บัตรผ่าน หรือบัตรอื่นๆ

6) เสื้อผ้า สัญลักษณ์องค์กรในกรณีที่อาจนำไปใช้ในการก่อภัยคุกคามกับองค์กรในอนาคตได้

(ข) เมื่อกระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงาน ควรมีระบบแจ้งให้ผู้รับว่าจ้างลบข้อมูลสำคัญขององค์กรที่เก็บไว้บนอุปกรณ์ส่วนตัวของตนเองทิ้งไป โดยที่การลบทิ้งนั้นจะต้องไม่สามารถเรียกข้อมูลกลับคืนมาได้

(ค) องค์กรควรมีกระบวนการบริหารจัดการและจัดเก็บองค์ความรู้สำคัญของผู้รับการว่าจ้างเพื่อให้ความรู้เหล่านั้นยังคงอยู่กับองค์กรต่อไปแม้บุคคลเหล่านั้นจะลาออกไปแล้ว (ซึ่งส่วนนี้เป็นเรื่องของการสกัดความรู้พนักงานมาเป็นเอกสารระเบียบปฏิบัติ มาตรฐานเทคนิควิธีการทำงานต่างๆ)

 

3 การเพิกถอนสิทธิการเข้าถึง (Removal of access rights)

หลักการ/มาตรการ

สิทธิการเข้าถึงข้อมูล อาคาร และระบบเทคโนโลยีสารสนเทศของผู้รับการว่าจ้างควรได้รับการเพิกถอนเมื่อ

สิ้นสุดการจ้างงาน หรือควรได้รับการปรับปรุงใหม่ให้เหมาะสมตามการเปลี่ยนแปลงที่เกิดขึ้น เช่น เมื่อเปลี่ยนหรือย้ายไปอยู่อีกแผนกหนึ่ง

แนวทางปฏิบัติ

(ก) องค์กรควรมีระบบในการเพิกถอนหรือเปลี่ยนสิทธิการเข้าถึงระบบงานของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้

(ข) องค์กรควรมีระบบในการดำเนินการเพิกถอนหรือเปลี่ยนสิทธิการเข้าถึงทางกายภาพของผู้ที่สิ้นสุดการว่า

จ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้

(ค) องค์กรควรมีระบบดำเนินการเพิกถอน ลบ หรือเปลี่ยนรหัสผ่านของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้

(ง) องค์กรควรมีระบบดำเนินการขอคืนกุญแจหรือบัตรสำหรับเข้าพื้นที่ต่างๆ และไม่อนุญาตให้ผู้ที่สิ้นสุดการว่าจ้างใช้งานกุญแจหรือบัตรเหล่านั้น

(จ) องค์กรควรมีระบบดำเนินการเพิกถอนหรือยกเลิกการลงทะเบียนหรือสมัครเป็นสมาชิกต่างๆ ของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงาน

(ฉ) องค์กรควรมีระบบดำเนินการลบหรือเปลี่ยนชื่อของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานออกจากเอกสารต่างๆ ขององค์กรที่มีชื่อของบุคคลดังกล่าวอยู่ในนั้น

(ช) องค์กรควรมีระบบดำเนินการเพิกถอน ลบ หรือลดระดับสิทธิในการเข้าถึงของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานก่อนวันสุดท้ายของการมาทำงานหรือในสัญญาจ้าง สำหรับกรณีที่

1) การเข้าถึงระบบงานหรือข้อมูลที่ยังสามารถเข้าถึงได้อยู่มีความเสี่ยงต่อความเสียหายต่อองค์กรในระดับสูง

2) ผู้บริหารคาดว่าอาจมีการแก้แค้นหรือตอบโต้กันเกิดขึ้นกับผู้ที่สิ้นสุดการว่าจ้างหรือถูกเปลี่ยนการจ้างงาน

3) บทบาทและหน้าที่ความรับผิดชอบของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานนั้นมีความเสี่ยงต่อความเสียหายที่อาจเกิดขึ้นกับองค์กร

4) ทรัพย์สินสารสนเทศที่ถูกเข้าถึงนั้นมีคุณค่าหรือมีความสำคัญสูงต่อองค์กร

 

Ref:  ISO27001 / PAS 96



บทความใกล้เคียง

Online

มี 26 ผู้มาเยือน และ ไม่มีสมาชิกออนไลน์ ออนไลน์