Physical access to the facility, servers and network components shall be managed.
Guidance
- Consider to strictly manage keys to access the premises and alarm codes. The following rules should be considered:
- Always retrieve an employee's keys or badges when they leave the company permanently.
- Change company alarm codes frequently.
- Never give keys or alarm codes to external service providers (cleaning agents, etc.), unless it is possible to trace these accesses and restrict them technically to given time slots.
- Consider to not leaving internal network access outlets accessible in public areas. These public places can be waiting rooms, corridors...
Physical access shall be managed, including measures related to access in emergency situations.
Guidance
- Physical access controls may include, for example lists of authorized individuals, identity credentials, escort requirements, guards, fences, turnstiles, locks, monitoring of facility access, camera surveillance.
- The following measures should be considered:
- Implement a badge system and create different security zones.
- Limit physical access to servers and network components to authorized personnel.
- Log all access to servers and network components.
- Visitor access records should be maintained, reviewed and acted upon as required.
Physical access to critical zones shall be controlled in addition to the physical access to the facility.
Guidance
E.g. production, R&D, organization’s critical systems equipment (server rooms…)
Assets related to critical zones shall be physically protected.
Guidance
- Consider protecting power equipment, power cabling, network cabling, and network access interfaces from accidental damage, disruption, and physical tampering.
- Consider implementing redundant and physically separated power systems for organization’s critical operations.
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.
Pääsy alueille, joissa käsitellään tai varastoidaan luottamuksellista tietoa, olisi rajoitettava vain valtuutettuihin yksilöihin toteuttamalla asianmukainen pääsynhallinta, esim. käyttämällä kaksivaiheista todentamismekanismia, kuten kulkukorttia ja tunnuslukua.
Organisaation toimitiloja sekä laitteiden käyttöympäristöjä suojataan aktiivisesti vartioinnilla.
Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.
Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.
Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.
Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
