ការចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន

១. ព័ត៌មានទូទៅនៃគោលការណ៍ប្រើប្រាស់ប្រព័ន្ធ

ដើម្បីអនុញ្ញាតឱ្យស្ថាប័នក្នុងការគ្រប់គ្រងបុគ្គលិកមានការទទួលខុសត្រូវចំពោះសកម្មភាព ដែលពួកគេចូលប្រើប្រាស់ប្រព័ន្ធ វាជារឿងសំខាន់ដែលស្ថាប័នកំពុងអភិវឌ្ឍន៍ ឬអនុវត្ត និងត្រូវរក្សាគោលការណ៍ប្រើប្រាស់ប្រព័ន្ធ និងគ្រប់គ្រងការប្រើប្រាស់ប្រព័ន្ធ។

២.តម្រូវការចូលប្រើប្រាស់ប្រព័ន្ធ

ការចងក្រងឯកសារតម្រូវការចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន វាអាចជួយក្នុងការកំណត់ថាតើបុគ្គលិកមានការអនុញ្ញាតប្រើប្រាស់ ការបញ្ជាក់សុវត្ថិភាព និងតម្រូវការដើម្បីដឹងចូលប្រើប្រាស់ប្រព័ន្ធ និងធនធាន។ ប្រភេទអ្នកប្រើប្រាស់ដែលមានតម្រូវការចូលប្រើប្រាស់គួរតែត្រូវបានចងក្រងជាឯកសារជារួមមួយ អ្នកប្រើប្រាស់ដែលគ្មានសិទ្ធិនិងអ្នកប្រើប្រាស់ដែលមានសិទ្ធិ អ្នកប្រើប្រាស់ជាជនបរទេស និងអ្នកប្រើប្រាស់ជាកិច្ចសន្យា។

៣.ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់

ការមានអ្នកប្រើប្រាស់ដែលអាចកំណត់អត្តសញ្ញាណបានធានានូវការទទួលខុសត្រូវសម្រាប់ការចូលប្រើប្រាស់ប្រព័ន្ធនិងធនធាន។ លើសពីនេះ នៅពេលដែលប្រព័ន្ធដំណើរការ រក្សាទុក ឬទំនាក់ទំនង Australian Eyes Only (AUSTEO) Australian Government Access Only (AGAO) ឬ Releasable to (REL) data ហើយអ្នកប្រើប្រាស់ជាជនបរទេសមានសិទ្ធិចូលប្រើប្រព័ន្ធ វាជារឿងសំខាន់ដែលត្រូវបានកំណត់អត្តសញ្ញាណ។

៤.ការចូលប្រើប្រព័ន្ធដែលមិនមានការផ្តល់សិទ្ធិ

បុគ្គលិកដែលកំពុងស្វែងរកការចូលប្រើប្រាស់ប្រព័ន្ធ កម្មវិធី និងឃ្លាំងផ្ទុកទិន្នន័យគួរតែមានតម្រូវការពិតប្រាកដែលមានសុពលភាពពីអ្នកគ្រប់គ្រងរបស់ពួកគេ ឬមានការអនុញ្ញាតសមស្រប។ លើសពីនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមិនមានសិទ្ធិចូលប្រើប្រាស់អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ ស្វែងរកសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីមានឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមិនមានសិទ្ធិចូលប្រើប្រាស់គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

៥.ការចូលប្រើប្រាស់ប្រព័ន្ធដោយជនបរទេសដោយមិនមានការផ្តល់សិទ្ធិ

ដោយសារតែមានភាពរសើបបន្ថែមដែលទាក់ទងនឹងទិន្នន័យ AUSTEO, AGAO និង REL ការចូលប្រើពីជនបរទេសចំពោះទិន្នន័យបែបនេះត្រូវបានគ្រប់គ្រងយ៉ាងតឹងរ៉ឹង។

៦.ការផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធ

គណនីដែលមានសិទ្ធិត្រូវបានចាត់ទុកថាជាគណនីដែលអាចផ្លាស់ប្តូរ ឬជៀសផុតពីការគ្រប់គ្រងរបស់ប្រព័ន្ធ។ វាអនុវត្តចំពោះអ្នកប្រើប្រាស់ដែលមានសិទ្ធិកំណត់តែប៉ុណ្ណោះ ដូចជាអ្នកបង្កើតកម្មវិធី ប៉ុន្តែនៅតែអាចក្លែងបន្លំក្នុងការគ្រប់គ្រងបាន។ គណនីភាគច្រើនមានលទ្ធភាពអាចកែប្រែការកំណត់ប្រព័ន្ធ សិទ្ធិគណនី កំណត់ហេតុព្រឹត្តិការណ៍ និងការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពសម្រាប់កម្មវិធី។

អ្នកប្រើប្រាស់ដែលមានសិទ្ធិ​ ករណីខ្លះគណនីសេវាកម្មដែលមានសិទ្ធិ ជារឿយៗត្រូវបានកំណត់គោលដៅដោយហេកគ័រ ដោយសារពួកគេអាចមានលទ្ធភាពគ្រប់គ្រងពេញលេញលើប្រព័ន្ធ។ ដូច្នេះហើយ ការធានាថាគណនីដែលមានសិទ្ធិមានសុវត្ថិភាពគឺមិនមានលទ្ធភាពចូលប្រើអ៊ីនធឺណិត អ៊ីមែល និងសេវាកម្មគេហទំព័រ ដើម្បីកាត់បន្ថយឱកាសសម្រាប់គណនីលួចចូល។

ជាចុងក្រោយ កំណត់ហេតុព្រឹត្តិការណ៍អ្នកមានសិទ្ធិចូលប្រើប្រាស់ កំណត់ហេតុព្រឹត្តិការណ៍គ្រប់គ្រងគណនីដែលមានសិទ្ធិ និងកំណត់ហេតុគ្រប់គ្រងក្រុមដែលមានសិទ្ធិចូលប្រើប្រាស់ អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ រកឃើញសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍របស់អ្នកមានសិទ្ធិចូលប្រើប្រាស់ កំណត់ហេតុព្រឹត្តិការណ៍គ្រប់គ្រងគណនីដែលមានសិទ្ធិ និងកំណត់ហេតុគ្រប់គ្រងក្រុមដែលមានសិទ្ធិចូលប្រើប្រាស់ គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

៧.ការផ្អាកការចូលប្រើប្រាស់ប្រព័ន្ធ

ការដក ឬការផ្អាកការចូលប្រើប្រាស់ប្រព័ន្ធ កម្មវិធី និងឃ្លាំងផ្ទុកទិន្នន័យអាចមានការពារពីការចូលប្រើនៅពេលដែលមិនមានតម្រូវការអាជីវកម្មសម្រាប់ការប្រើប្រាស់របស់ពួកគេទៀតទេ ដូចជានៅពេលដែលបុគ្គលិកផ្លាស់ប្តូរភារកិច្ច ចាកចេញពីស្ថាប័ន ឬត្រូវបានរកឃើញថាកំពុងធ្វើសកម្មភាពមិនត្រឹមត្រូវ ។

៨.កត់ត្រាការអនុញ្ញាតឱ្យបុគ្គលិកចូលប្រើប្រាស់ប្រព័ន្ធ

ការរក្សាកំណត់ត្រានៃសំណើគណនីប្រព័ន្ធនឹងជួយក្នុងការថែរក្សាគណនេយ្យភាពបុគ្គលិក។ នេះគឺជាការចាំបាច់ដើម្បីធានាថាមានកំណត់ត្រារបស់បុគ្គលិកទាំងអស់ដែលត្រូវបានអនុញ្ញាតឱ្យចូលប្រើប្រាស់ប្រព័ន្ធ ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ កិច្ចព្រមព្រៀងរបស់អ្នកប្រើប្រាស់ក្នុងការគោរពតាមគោលការណ៍ប្រើប្រាស់សម្រាប់ប្រព័ន្ធ និងធនធានដែលបានផ្ដល់ការអនុញ្ញាត ហើយនៅពេលដែលមានការអនុញ្ញាតនិងនៅពេលដែលការចូលប្រើរបស់អ្នកប្រើប្រាស់ត្រូវបានពិនិត្យចុងក្រោយ។

៩.ការចូលប្រើប្រាស់ប្រព័ន្ធបណ្តោះអាសន្ន

ការចូលប្រើប្រាស់ជាបណ្ដោះអាសន្នទៅកាន់ប្រព័ន្ធ កម្មវិធី ឬឃ្លាំងផ្ទុកទិន្នន័យអាចត្រូវបានផ្តល់ទៅឱ្យបុគ្គលិកដែលខ្វះសុវត្ថិភាព។ ក្នុងកាលៈទេសៈបែបនេះ បុគ្គលិកគួរមានការគ្រប់គ្រងការចូលប្រើរបស់ពួកគេតាមរបៀបដែលពួកគេអាចចូលប្រើប្រាស់ទិន្នន័យដែលត្រូវការសម្រាប់ពួកគេដើម្បីបំពេញភារកិច្ច។

១០.ការចូលប្រើប្រាស់ប្រព័ន្ធពេលមានអាសន្ន

វាមានសារៈសំខាន់ដែលស្ថាប័នមិនមានការបាត់បង់សិទ្ធិចូលប្រើប្រព័ន្ធ។ ដូចនេះស្ថាប័នមួយគួរតែមានវិធីសាស្រ្ត ដើម្បីទទួលបានសិទ្ធិចូលប្រើក្នុងអំឡុងពេលមានអាសន្ន។ ជាធម្មតាភាពអាសន្ននឹងកើតឡើងនៅពេលដែលការចូលប្រើប្រព័ន្ធមិនអាចទទួលបានតាមរយៈដំណើរការផ្ទៀងផ្ទាត់ធម្មតា ដូចជាការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៃសេវាកម្មផ្ទៀងផ្ទាត់ ការកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវនៃការកំណត់សុវត្ថិភាព ឬដោយសារឧបទ្ទវហេតុសន្តិសុខសាយប័រ។ ក្នុងស្ថានភាពទាំងនេះ គណនី break glass (ត្រូវបានគេស្គាល់ថាជាគណនីសង្គ្រោះបន្ទាន់) អាចត្រូវបានប្រើដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រាស់។ ដោយសារគណនី break glass ជាទូទៅមានកម្រិតខ្ពស់បំផុតនៃសិទ្ធិដែលមានសម្រាប់ប្រព័ន្ធ និងការយកចិត្តទុកដាក់ខ្លាំងបំផុតដើម្បីការពារ និងដើម្បីតាមដានចំពោះសញ្ញានៃលួចចូល ឬការរំលោភបំពាន។

នៅពេលគណនី break glass ត្រូវបានប្រើប្រាស់ សកម្មភាពរដ្ឋបាលទាំងឡាយដែលបានអនុវត្តនឹងមិនត្រូវបានបញ្ជាក់ដោយផ្ទាល់ចំពោះបុគ្គលនោះទេ ហើយប្រព័ន្ធមិនអាចបង្កើតកំណត់ហេតុព្រឹត្តិការណ៍បានទេ។ ដូច្នេះ ការត្រួតពិនិត្យត្រូវអនុវត្ត ដើម្បីរក្សាបាននូវភាពសុចរិតរបស់ប្រព័ន្ធ។ ក្នុងការធ្វើដូច្នេះស្ថាប័នគួរតែធានាថាសកម្មភាពណាមួយដែលបានអនុវត្តដោយប្រើគណនី break glass ត្រូវបានកំណត់ និងចងក្រងជាឯកសារក្នុងការគាំទ្រដល់ដំណើរការ និងនីតិវិធីនៃការគ្រប់គ្រងការផ្លាស់ប្តូរ។ ការចងក្រងឯកសារបុគ្គលដែលប្រើប្រាស់គណនី break glass ក្រោមហេតុផលសម្រាប់ការប្រើប្រាស់គណនី break glass និងសកម្មភាពដែលបានអនុវត្តដោយប្រើគណនី break glass។

អ្នកមានគណនី break glass នីមួយៗគួរតែជាភាគីតែមួយគត់ដែលដឹងពីព័ត៌មានសម្ងាត់របស់គណនីនោះ ព័ត៌មានសម្ងាត់នឹងត្រូវផ្លាស់ប្តូរ និងសាកល្បងដោយអ្នកមានគណនី បន្ទាប់ពីមានការចូលប្រើប្រាស់រួចពីភាគីផ្សេងទៀត។ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដែលគាំទ្រការផ្លាស់ប្តូរព័ត៌មានសម្ងាត់ដោយស្វ័យប្រវត្តិ និងការធ្វើតេស្តអាចជួយក្នុងការកាត់បន្ថយសកម្មភាព។

ជាចុងក្រោយ កំណត់ហេតុព្រឹត្តិការណ៍ break glass អាចជួយក្នុងការត្រួតពិនិត្យស្ថានភាពសុវត្ថិភាពនៃប្រព័ន្ធ រកឃើញសកម្មភាពសង្ស័យ និងរួមចំណែកដល់ការស៊ើបអង្កេតបន្ទាប់ពីឧប្បត្តិហេតុសន្តិសុខសាយប័រ។ ដើម្បីសម្រួលដល់សកម្មភាពបែបនេះ កំណត់ហេតុព្រឹត្តិការណ៍ break glass គួរតែត្រូវបានចាប់យក និងរក្សាទុកត្រឹមត្រូវ។

១១.ឯកសារពាក់ព័ន្ធ

• – https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-guidelines/guidelines-personnel-security