控制和监控的规模及复杂程度会因位置和需求而异
虽然您的控制和监控的规模及复杂程度会因位置和需求而异,但有一些最佳实践可以全面应用,以确保稳健的物理安全态势。
(1) 采取基于风险的方法并进行研究
映射您的风险状况并进行适当的控制。一个带闭路电视的简单卡锁就能做到的事情,就不要再去雇佣一队武装警卫了。供应商需要保护自己才能更好地保护他们的客户,因此必须进行供应链尽职调查。我们与谁合作,他们遵循什么样的内部流程和政策,他们在强化系统方面遵循哪些框架?必须确保您购买技术的卖家了解风险,并且具备漏洞管理流程,出现问题时的安全咨询通知等。
每个 ID 卡或密钥代码都应该有一个唯一的人与之绑定。“一揽子”访问卡或代码使数据泄漏的可能性更大且更难跟踪。如果您的设施有严格的时间表,请确保访问与时间相关 - 例如,餐饮供应商不得通宵访问。
(3) 进行审计跟踪并保持库存
不仅要记录谁访问了什么,还要记录尝试访问行为。多次失败的访问尝试可能预示着不良行为者的存在。知道谁在负责所有卡片、钥匙和其他访问物品。如果卡丢失或该员工职位发生变化(如离职、转岗等),则需要及时撤销其访问权限。如果有人离职,请尽快收回钥匙。
(4) 教育员工遵守对待访客的流程
人性通常很美好,却愿意相信好人比坏人多。教导员工——包括警卫——保持一定的怀疑态度,遵循正确的程序,不要向外人提供太多公司信息,可以减少员工被利用的机会。确保检查 ID 并公布预先计划的访问,并制定处理非预约访客的流程。确保访客不会被单独留在敏感区域。对员工进行教育绝对是一个投资小回报大的好主意,如此可以打消他们因害怕得罪人而不敢阻止不带徽章的人。此外,还需要告诉员工,在离开办公大楼时要将他们的徽章取下放在口袋里,以防止被克隆或复制。
(5) 测试您的能力和流程
运行模拟;尝试访问您自己的设施。同样地,公司通常会发送虚假的网络钓鱼电子邮件来测试员工对细节的关注,看看你的员工是否会通过电话提供信息或让未经验证的客人进入。