April 25, 2024

Language:

ការចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន

១. ព័ត៌មានទូទៅនៃគោលការណ៍ប្រើប្រាស់ប្រព័ន្ធ

ដើម្បីអនុញ្ញាតឱ្យស្ថាប័នក្នុងការគ្រប់គ្រងបុគ្គលិកមានការទទួលខុសត្រូវចំពោះសកម្មភាព ដែលពួកគេចូលប្រើប្រាស់ប្រព័ន្ធ វាជារឿងសំខាន់ដែលស្ថាប័នកំពុងអភិវឌ្ឍន៍ ឬអនុវត្ត និងត្រូវរក្សាគោលការណ៍ប្រើប្រាស់ប្រព័ន្ធ និងគ្រប់គ្រងការប្រើប្រាស់ប្រព័ន្ធ។

.តម្រូវការចូលប្រើប្រាស់ប្រព័ន្ធ

ការចងក្រងឯកសារតម្រូវការចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន វាអាចជួយក្នុងការកំណត់ថាតើបុគ្គលិកមានការអនុញ្ញាតប្រើប្រាស់ ការបញ្ជាក់សុវត្ថិភាព និងតម្រូវការដើម្បីដឹងចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន។ ប្រភេទអ្នកប្រើប្រាស់ដែលមានតម្រូវការចូលប្រើប្រាស់គួរតែត្រូវបានចងក្រងជាឯកសារជារួមមួយ អ្នកប្រើប្រាស់ដែលគ្មានសិទ្ធិនិងអ្នកប្រើប្រាស់ដែលមានសិទ្ធិ អ្នកប្រើប្រាស់ជាជនបរទេស និងអ្នកប្រើប្រាស់ជាកិច្ចសន្យា។

.ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់

ការមានអ្នកប្រើប្រាស់ដែលអាចកំណត់អត្តសញ្ញាណបានធានានូវការទទួលខុសត្រូវសម្រាប់ការចូលប្រើប្រាស់ប្រព័ន្ធនិងធនធាន។ លើសពីនេះ នៅពេលដែលប្រព័ន្ធដំណើរការ រក្សាទុក ឬទំនាក់ទំនង Australian Eyes Only (AUSTEO) Australian Government Access Only (AGAO) ឬ Releasable to (REL) data ហើយអ្នកប្រើប្រាស់ជាជនបរទេសមានសិទ្ធិចូលប្រើប្រព័ន្ធ វាជារឿងសំខាន់ដែលត្រូវបានកំណត់អត្តសញ្ញាណ។

.ការចូលប្រើប្រព័ន្ធដែលមិនមានការផ្តល់សិទ្ធិ

បុគ្គលិកដែលកំពុងស្វែងរកការចូលប្រើប្រាស់ប្រព័ន្ធ កម្មវិធី និងឃ្លាំងផ្ទុកទិន្នន័យគួរតែមានតម្រូវការពិតប្រាកដែលមានសុពលភាពពីអ្នកគ្រប់គ្រងរបស់ពួកគេ ឬមានការអនុញ្ញាតសមស្រប។ លើសពីនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមិនមានសិទ្ធិចូលប្រើប្រាស់អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ ស្វែងរកសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីមានឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមិនមានសិទ្ធិចូលប្រើប្រាស់គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

.ការចូលប្រើប្រាស់ប្រព័ន្ធដោយជនបរទេសដោយមិនមានការផ្តល់សិទ្ធិ

ដោយសារតែមានភាពរសើបបន្ថែមដែលទាក់ទងនឹងទិន្នន័យ AUSTEO, AGAO និង REL ការចូលប្រើពីជនបរទេសចំពោះទិន្នន័យបែបនេះត្រូវបានគ្រប់គ្រងយ៉ាងតឹងរ៉ឹង។

.ការផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធ

គណនីដែលមានសិទ្ធិត្រូវបានចាត់ទុកថាជាគណនីដែលអាចផ្លាស់ប្តូរ ឬជៀសផុតពីការគ្រប់គ្រងរបស់ប្រព័ន្ធ។ វាអនុវត្តចំពោះអ្នកប្រើប្រាស់ដែលមានសិទ្ធិកំណត់តែប៉ុណ្ណោះ ដូចជាអ្នកបង្កើតកម្មវិធី ប៉ុន្តែនៅតែអាចក្លែងបន្លំក្នុងការគ្រប់គ្រងបាន។ គណនីភាគច្រើនមានលទ្ធភាពអាចកែប្រែការកំណត់ប្រព័ន្ធ សិទ្ធិគណនី កំណត់ហេតុព្រឹត្តិការណ៍ និងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពសម្រាប់កម្មវិធី។

អ្នកប្រើប្រាស់ដែលមានសិទ្ធិ​ ករណីខ្លះគណនីសេវាកម្មដែលមានសិទ្ធិ ជារឿយៗត្រូវបានកំណត់គោលដៅដោយហេកគ័រ ដោយសារពួកគេអាចមានលទ្ធភាពគ្រប់គ្រងពេញលេញលើប្រព័ន្ធ។ ដូច្នេះហើយ ការធានាថាគណនីដែលមានសិទ្ធិមានសុវត្ថិភាពគឺមិនមានលទ្ធភាពចូលប្រើអ៊ីនធឺណិត អ៊ីមែល និងសេវាកម្មគេហទំព័រ ដើម្បីកាត់បន្ថយឱកាសសម្រាប់គណនីលួចចូល។

ជាចុងក្រោយ កំណត់ហេតុព្រឹត្តិការណ៍អ្នកមានសិទ្ធិចូលប្រើប្រាស់ កំណត់ហេតុព្រឹត្តិការណ៍គ្រប់គ្រងគណនីដែលមានសិទ្ធិ និងកំណត់ហេតុគ្រប់គ្រងក្រុមដែលមានសិទ្ធិចូលប្រើប្រាស់ អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ រកឃើញសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមានសិទ្ធិចូលប្រើប្រាស់ កំណត់ហេតុព្រឹត្តិការណ៍គ្រប់គ្រងគណនីដែលមានសិទ្ធិ និងកំណត់ហេតុគ្រប់គ្រងក្រុមដែលមានសិទ្ធិចូលប្រើប្រាស់ គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

.ការផ្អាកការចូលប្រើប្រាស់ប្រព័ន្ធ

ការដក ឬការផ្អាកការចូលប្រើប្រាស់ប្រព័ន្ធ កម្មវិធី និងឃ្លាំងផ្ទុកទិន្នន័យអាចមានការពារពីការចូលប្រើនៅពេលដែលមិនមានតម្រូវការអាជីវកម្មសម្រាប់ការប្រើប្រាស់របស់ពួកគេទៀតទេ ដូចជានៅពេលដែលបុគ្គលិកផ្លាស់ប្តូរភារកិច្ច ចាកចេញពីស្ថាប័ន ឬត្រូវបានរកឃើញថាកំពុងធ្វើសកម្មភាពមិនត្រឹមត្រូវ ។

.កត់ត្រាការអនុញ្ញាតឱ្យបុគ្គលិកចូលប្រើប្រាស់ប្រព័ន្ធ

ការរក្សាកំណត់ត្រានៃសំណើគណនីប្រព័ន្ធនឹងជួយក្នុងការថែរក្សាគណនេយ្យភាពបុគ្គលិក។ នេះគឺជាការចាំបាច់ដើម្បីធានាថាមានកំណត់ត្រារបស់បុគ្គលិកទាំងអស់ដែលត្រូវបានអនុញ្ញាតឱ្យចូលប្រើប្រាស់ប្រព័ន្ធ ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ កិច្ចព្រមព្រៀងរបស់អ្នកប្រើប្រាស់ក្នុងការគោរពតាមគោលការណ៍ប្រើប្រាស់សម្រាប់ប្រព័ន្ធ និងធនធានដែលបានផ្ដល់ការអនុញ្ញាត ហើយនៅពេលដែលមានការអនុញ្ញាតនិងនៅពេលដែលការចូលប្រើរបស់អ្នកប្រើប្រាស់ត្រូវបានពិនិត្យចុងក្រោយ។

.ការចូលប្រើប្រាស់ប្រព័ន្ធបណ្តោះអាសន្ន

ការចូលប្រើប្រាស់ជាបណ្ដោះអាសន្នទៅកាន់ប្រព័ន្ធ កម្មវិធី ឬឃ្លាំងផ្ទុកទិន្នន័យអាចត្រូវបានផ្តល់ទៅឱ្យបុគ្គលិកដែលខ្វះសុវត្ថិភាព។ ក្នុងកាលៈទេសៈបែបនេះ បុគ្គលិកគួរមានការគ្រប់គ្រងការចូលប្រើរបស់ពួកគេតាមរបៀបដែលពួកគេអាចចូលប្រើប្រាស់ទិន្នន័យដែលត្រូវការសម្រាប់ពួកគេដើម្បីបំពេញភារកិច្ច។

១០.ការចូលប្រើប្រាស់ប្រព័ន្ធពេលមានអាសន្ន

វាមានសារៈសំខាន់ដែលស្ថាប័នមិនមានការបាត់បង់សិទ្ធិចូលប្រើប្រព័ន្ធ។ ដូចនេះស្ថាប័នមួយគួរតែមានវិធីសាស្រ្ត ដើម្បីទទួលបានសិទ្ធិចូលប្រើក្នុងអំឡុងពេលមានអាសន្ន។ ជាធម្មតាភាពអាសន្ននឹងកើតឡើងនៅពេលដែលការចូលប្រើប្រព័ន្ធមិនអាចទទួលបានតាមរយៈដំណើរការផ្ទៀងផ្ទាត់ធម្មតា ដូចជាការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៃសេវាកម្មផ្ទៀងផ្ទាត់ ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៃការកំណត់សុវត្ថិភាព ឬដោយសារឧបទ្ទវហេតុសន្តិសុខសាយប័រ។ ក្នុងស្ថានភាពទាំងនេះ គណនី break glass (ត្រូវបានគេស្គាល់ថាជាគណនីសង្គ្រោះបន្ទាន់) អាចត្រូវបានប្រើដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រាស់។ ដោយសារគណនី break glass ជាទូទៅមានកម្រិតខ្ពស់បំផុតនៃសិទ្ធិដែលមានសម្រាប់ប្រព័ន្ធ និងការយកចិត្តទុកដាក់ខ្លាំងបំផុតដើម្បីការពារ និងដើម្បីតាមដានចំពោះសញ្ញានៃលួចចូល ឬការរំលោភបំពាន។

នៅពេលគណនី break glass ត្រូវបានប្រើប្រាស់ សកម្មភាពរដ្ឋបាលទាំងឡាយដែលបានអនុវត្តនឹងមិនត្រូវបានបញ្ជាក់ដោយផ្ទាល់ចំពោះបុគ្គលនោះទេ ហើយប្រព័ន្ធមិនអាចបង្កើតកំណត់ហេតុព្រឹត្តិការណ៍បានទេ។ ដូច្នេះ ការត្រួតពិនិត្យត្រូវអនុវត្ត ដើម្បីរក្សាបាននូវភាពសុចរិតរបស់ប្រព័ន្ធ។ ក្នុងការធ្វើដូច្នេះស្ថាប័នគួរតែធានាថាសកម្មភាពណាមួយដែលបានអនុវត្តដោយប្រើគណនី break glass ត្រូវបានកំណត់ និងចងក្រងជាឯកសារក្នុងការគាំទ្រដល់ដំណើរការ និងនីតិវិធីនៃការគ្រប់គ្រងការផ្លាស់ប្តូរ។ ការចងក្រងឯកសារបុគ្គលដែលប្រើប្រាស់គណនី break glass ក្រោមហេតុផលសម្រាប់ការប្រើប្រាស់គណនី break glass និងសកម្មភាពដែលបានអនុវត្តដោយប្រើគណនី break glass។

អ្នកមានគណនី break glass នីមួយៗគួរតែជាភាគីតែមួយគត់ដែលដឹងពីព័ត៌មានសម្ងាត់របស់គណនីនោះ ព័ត៌មានសម្ងាត់នឹងត្រូវផ្លាស់ប្តូរ និងសាកល្បងដោយអ្នកមានគណនី បន្ទាប់ពីមានការចូលប្រើប្រាស់រួចពីភាគីផ្សេងទៀត។ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដែលគាំទ្រការផ្លាស់ប្តូរព័ត៌មានសម្ងាត់ដោយស្វ័យប្រវត្តិ និងការធ្វើតេស្តអាចជួយក្នុងការកាត់បន្ថយសកម្មភាព។

ជាចុងក្រោយ កំណត់ហេតុព្រឹត្តិការណ៍ break glass អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ រកឃើញសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍ break glass គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

១១.ឯកសារពាក់ព័ន្ធ

  • – https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-guidelines/guidelines-personnel-security
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.