9 Kiểm soát truy cập
9.8.1 Tính tốn lưu động
Khi sử dụng các phương tiện máy tính di động, ví dụ sổ tay, máy tính xách tay và điện thoại di động nên đặc biệt cẩn thận để đảm bảo rằng thông tin của doanh nghiệp không bị tổn hại. Một chính sách chính thức nên được thơng qua và tính tới các rủi ro của cơng việc với các phương tiện máy tính di động, đặc biệt trong các mơi trường khơng được bảo vệ. Ví dụ một chính sách như vậy nên bao gồm các yêu cầu về bảo vệ vật lý, các kiểm soát truy cập, kỹ thuật mã hố, sao lưu, chống virút. Chính sách này cũng nên bao gồm các quy định và lời khuyên về các phương tiện di động đang kết nối với các mạng và hướng dẫn việc sử dụng các phương tiện này ở nơi công cộng.
Nên cẩn thận khi sử dụng các phương tiện máy tinh di dộng ở nơi cơng cộng, các phịng họp và các khu vực khơng được bảo vệ khác nằm ngồi vành đai của tổ chức. Việc bảo vệ nên tiến hành để tránh truy cập trái phép hoặc làm lộ thông tin được lưu trữ và lập trình bởi các phương tiện này, ví dụ sử dụng kỹ thuật mã hố (xem 10.3).
Điều quan trọng là khi sử dụng các phương tiện này ở nơi công cộng nên cẩn thận tránh các rủi ro về nhìn trộm bởi những người trái phép. Các thủ tục chống lại phần mềm gây hại nên được tiến hành và cập nhật (xem 8.3). Thiết bị nên sẵn sàng để cho phép sao chép dự phịng thơng tin nhanh và dễ dàng. Các bản sao lưu này nên có sự bảo vệ thích hợp chống lại ví dụ bị ăn cắp hoặc mất mát thông tin.
Bảo vệ phù hợp nên được thực hiện đối với việc sử dụng các phương tiện di động kết nối với các mạng. Truy cập từ xa vào thông tin của doanh nghiệp qua mạng công cộng sử dụng các phương tiện máy tính di động chỉ nên thực hiện sau khi định danh và xác minh thành công và với các kỹ thuật kiểm soát truy cập phù hợp (xem 9.4).
Các phương tiện máy tính di động cũng nên được bảo vệ về mặt vật lý chống lại việc bị ăn cắp đặc biệt khi được bỏ lại trên ôtô và các phương tiện di chuyển khác, phòng khách sạn, trung tâm hội nghị và các nơi gặp gỡ. Các thiết bị mang các thông tin kinh doanh quan trọng, nhạy cảm và/ hoặc có tính phê bình khơng nên được chú ý và nếu có thể nên được khố về mặt vật lý hoặc khoá đặc biệt để an tồn cho cá thiết bị. Thơng tin thêm về biện pháp bảo vệ vật lý các thiết bị di động có thể xem ở 7.2.5. Đào tạo nên được sắp xếp cho các nhân viên sử dụng máy tính di động để nâng cao nhận thức của họ về các rủi ro thêm do cách làm điều này và nên thực hiện các kiểm soát.