9 Kiểm soát truy cập
9.8.1 Điện toán di động
Khi sử dụng các phương tiện điện toán di động, cần chú ý đặc biệt để đảm bảo rằng thông tin kinh doanh không bị làm tổn hại.
Chính sách chính thức sẽ được thông qua mà đưa vào trong tài khoản những rủi ro của cách làm việc với các phương tiện điện toán di động, đặc biệt trong những môi trường không được bảo vệ. Chính sách như vậy sẽ bao gồm những yêu cầu bảo vệ vật lí, các kiểm soát truy cập, các công nghệ mã hoá, các sao chép dự phòng, và sự bảo vệ chống virus. Chính sách này cũng sẽ bao gồm các nguyên tắc và chỉ dẫn trong việc kết nối các phương tiện di động tới mạng và lời hướng dẫn về cách dùng các phương tiện này ở những nơi công cộng.
Cần có sự lưu ý khi sử dụng những phương tiện điện toán di động ở những nơi công cộng, các phòng họp và các khu vực không được bảo vệ khác bên ngoài phạm vi của tổ chức. Sự bảo vệ sẽ ngăn chặn truy cập trái phép hoặc trình bày thông tin
được chứa và được xử lí bởi các phương tiện này, ví dụ, dùng các công nghệ mã hoá (xem 10.3).
Khi các phương tiện này được dùng ở những nơi công cộng, cần chú ý ngăn ngừa rủi ro những người không được quyền có thể nhìn thấy. Những thủ tục chống phần mềm ác ý sẽ được dùng và được giữ cập nhật (xem 8.3).
Trang bị nên sẵn dùng để có thể cho phép sao lưu dự phòng thông tin nhanh chóng và dễ dàng. Những sao chép dự phòng này nên có sự bảo vệ đầy đủ chống lại, ví dụ, kẻ lấy trộm hoặc việc mất thông tin.
Sự bảo vệ phù hợp nên được đưa ra cho việc sử dụng các phương tiện di động kết nối tới mạng.
Việc truy cập từ xa thông tin thương mại qua mạng công cộng bằng việc sử dụng những phương tiện điện toán di động sẽ chỉ xảy ra sau quá trình nhận diện và xác nhận thành công, và với các kĩ thuật kiểm soát truy cập phù hợp (xem 9.4).
Các phương tiện điện toán di động nên được bảo vệ vật lí chống việc lấy trộm đặc biệt khi để tuỳ, ví dụ, trong ô tô và các hình thức vận chuyển khác, phòng khách sạn, các trung tâm hội nghị và những địa điểm họp mặt. Trang thiết bị mang theo thông tin thương mại quan trọng, nhạy cảm và/hoặc then chốt không nên bị để mặc và, khi cần, nên được khoá vật lí, hoặc những khoá đặc biệt nên được dùng để giữ an toàn cho thiết bị. Nhiều thông tin về bảo vệ vật lí trang thiết bị di động có thể được tìm trong 7.2.5.
Việc đào tạo nên được chuẩn bị cho nhân viên dùng điện toán di động để nâng cao hiểu biết của họ về những rủi ro phát sinh từ cách làm việc này và những kiểm soát nên được thực hiện.