iT邦幫忙

0

請問關於機房門禁管制

各位IT先進好
本身任職於上市櫃公司資訊相關人員
本公司資訊機房旁邊有一張機房門禁卡夾在機房登入表裡面
資訊人員只要填登入表就可以拿那張公用卡進入。
想問說是不是可以建議門禁權限綁在個人卡身上而非都使用公用卡進入比較好
再麻煩有沒有好心人回覆,謝謝~~

看更多先前的討論...收起先前的討論...
kobecho iT邦新手 3 級 ‧ 2022-01-18 11:16:10 檢舉
你們門禁系統是只能刷卡還是可以輸入密碼之類的?
我司門禁系統是可刷卡或輸入密碼兩者皆可
機房是屬於重地怎麼會用公用卡任意進出這樣安全規範太低了吧
harrytsai iT邦新手 1 級 ‧ 2022-01-18 11:17:07 檢舉
本來就可以設定誰的逼逼卡可以進去,你問一下人事就知道了,沒有什麼需要共用一張卡
本來就可以設定誰的逼逼卡可以進去,你問一下人事就知道了,沒有什麼需要共用一張卡 +1
mathewkl iT邦高手 1 級 ‧ 2022-01-18 11:29:05 檢舉
綁個人卡甚至是有需求的填申請額外給一張只能進出機房的卡
James iT邦大師 6 級 ‧ 2022-01-18 12:23:52 檢舉
把鑰匙插在鎖上,叫小偷進出都要登記姓名嗎?
froce iT邦大師 1 級 ‧ 2022-01-18 16:07:11 檢舉
公用卡/鑰匙是廠商/外部人員/臨時緊急時用的,用的時候要登記,平時應該專人保管。
本來就有權限存取的員工應該要用專用卡,用來記錄進入離開的時間。

我看你的描述,看起來是叫小偷:我鑰匙放在門旁邊,進去要自己登記嘿。
Albert iT邦新手 5 級 ‧ 2022-01-19 10:34:28 檢舉
這樣的管理在ISO 27001的角度來說,是可以接受的,至於管理的強度跟程度還是要回歸組織對資安的要求是什麼,以及機房內存放資料的保護想法是什麼?
假如說貴公司的建物整棟都是自己的,並且在大門或園區外圍即有保全做管理,此外園區或建物都不會有洽公民眾或訪客,這樣的管理未必會判定為無效或列改善機會。
所以還是要回歸管理議題,請先看公司的機房管理規範或是實體安全管理規範是否已經有制定相關規定。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
均均
iT邦新手 4 級 ‧ 2022-01-18 11:32:00

作法有兩種: 
要跟HR人事還有跟你主管討論 看是否資訊機房公共維持這樣
還是公用卡片放在你保管.有人要去機房再跟你申請 
用你自己個人的卡片才可進去資訊機房

2
加菲貓
iT邦研究生 4 級 ‧ 2022-01-18 12:16:48

上市櫃公司對機房的管制本來就會比較嚴謹,除了進出要登記以外,門口還需要有監視器做錄影,至於為何只有一張公共卡來做進出,是因遺失的機率比較低,但卡片要有專人保管才對,如果綁在個人卡身上遺失的機率比較高,而且遺失的話會比較麻煩,重點在嚴謹管制。

0
by2048
iT邦高手 1 級 ‧ 2022-01-18 14:50:39

機房如要這樣管制,一般連IT的人都不想進去,
想管理裡面的設備通常用遠端登入,

機房門禁通常是有廠商進來做設備新購或維護做為查核是否經核准才進入(IT需陪同),
對有卡片或鑰匙的IT人員做管制很奇怪,因為管制點在有沒有被授權進入,登記只是方法(事後也要主管簽准)

0
hugooguh
iT邦新手 4 級 ‧ 2022-01-19 08:40:55

目前這樣做不太適當,上市櫃公司通常都會有相關規範,以規範去與主管討論如何變更現行的做法。
不去變動門禁系統的話,假設改成要進出時需申請/登記,經主管簽核後,拿著單據找卡片保管人借卡使用是一種作法。

0
jasonlin268
iT邦研究生 3 級 ‧ 2022-01-19 09:37:52

我司也是上市櫃公司,機房有導入ISO 27001,平時有維護設備需求須進出機房的系統人員可以用個人員工識別證卡申請進入機房的權限,進入機房時除刷卡之外還同時需要輸入密碼。

如果有其他同仁臨時想進入機房可由有權限的同仁陪同進入即可,如果有第三方人員(非公司員工,例如廠商、客戶、外部稽核...)要進入機房,則除了須由有權限的系統人員陪同進入之外,還另外需要填寫進出機房的作業紀錄表。

機房內同時安裝數支監視器,除了門口之外,各走道都要有,機房內不能有監視器看不到的死角。
以上提供參考。

Albert iT邦新手 5 級 ‧ 2022-01-19 12:00:54 檢舉

這樣的管理在ISO 27001的角度來說,是可以接受的,至於管理的強度跟程度還是要回歸組織對資安的要求是什麼,以及機房內存放資料的保護想法是什麼?
假如說貴公司的建物整棟都是自己的,並且在大門或園區外圍即有保全做管理,此外園區或建物都不會有洽公民眾或訪客,這樣的管理未必會判定為無效或列改善機會。
所以還是要回歸管理議題,請先看公司的機房管理規範或是實體安全管理規範是否已經有制定相關規定。

jasonlin268 iT邦研究生 3 級 ‧ 2022-01-19 13:15:04 檢舉

您說的沒錯,在導入的過程當中也確實學到很多,從管理面到實體面的規範制定,各個表單的討論、執行,另一個事先沒想到的好處是...因為導入,所以上面的老闆比較肯花錢在設備、環境的改善。/images/emoticon/emoticon01.gif

我要發表回答

立即登入回答