ikoh

ikoh

วันเสาร์ที่ 18 มีนาคม พ.ศ. 2560

Server Room สำหรับตรวจประเมิน ISO-27001

การทำ Server Room เพื่อการตรวจประเมิน ISO27001


                     การจัดทำระบบไอทีให้ได้ตามมาตรฐาน ISO27001 หรือ ISMS นั้น จะต้องมีงบประมาณที่สูงพอสมควร เพื่อแลกมาซึ่งความมั่นคงปลอดภัยของสารสนเทศ ซึ่งส่วนใหญ่องค์กรที่จะทำการรองรับมาตรฐานตัวนี้มักจะเป็น สถาบันการเงินต่างๆ ธุรกิจประกันภัย หรือองค์กรที่ให้ความสำคัญต่อข้อมูลสารสนเทศ เท่านั้นที่จะทำการขอการรับรองมาตรฐาน ISO27001 แต่ถ้าหากเมื่อใดที่องค์กรของท่านมีขนาดไม่ใหญ่มากนัก แต่อยากจะได้การรับรอง และต้องการใช้งบประมาณให้คุ้มค่า จึงขอเสนอแนะการทำห้อง Server อย่างถูกต้อง ซึ่งเป็นส่วนหนึ่งที่ Auditor จะต้องเข้ามาตรวจเป็นอันดับแรก

ในส่วนของบทความนี้จะแนะนำการปรับเปลี่ยนบางอย่างในห้องเพื่อความเหมาะสมกับงบประมาณ และ ผ่านการตรวจประเมิน


มองจากด้านนอกห้อง

1)  ห้อง Server ห้ามมีป้ายบอกว่าเป็นห้อง "Server Room" เพื่อให้ทรัพย์สินและข้อมูลสารสนเทศเกิดความมั่นคงปลอดภัย ทั้งการถูกขโมยทรัพย์สิน หรือเป็นเป้าหมายในการเข้ามาทำลายจากเหตุจราจลต่างๆ

2)  ประตูห้องจะต้องถูกล็อคไว้ตลอดเวลา การใช้ Key Card ,Key Pad จะต้องมีเครื่องสำรองไฟ ในกรณีไฟดับห้องจะยังคงล็อคอยู่เสมอ การล๊อคด้วยกุญแจ จะต้องกำหนดเจ้าหน้าที่ในการเก็บรักษา

3) ห้อง Server ควรทำอย่างมิดชิด เมื่อมองจากด้านนอกเข้าไปข้างในจะต้องไม่ให้รู้ว่าเป็นห้อง Server หรือหากห้องติดกระจกใส ต้องทำการติดฟิล์มทึบทับไว้

4 ประตูทางเข้า จะต้องมีกล้องวงจรปิดบันทึกภาพบริเวณประตูเข้าออกห้อง






ภายในห้อง
1)  ขนาดของห้อง ควรมีขนาดความกว้างและความสูง พอเหมาะสำหรับวางอุปกรณ์ต่างๆ และมีโต๊ะเก้าอี้สำหรับนั่งทำงานเป็นครั้งคราวได้  ห้องไม่ควรกว้างหรือแคบจนเกินไป

2) พื้นห้อง จะต้องยกสูงจากพื้นปกติ อย่างน้อย 15 ซม. ผู้ตรวจประเมินจะเปิดดูพื้นว่ามีสิ่งของใดๆ มาเก็บไว้ใต้พื้นหรือไม่ ถ้ามีสายสัญญาณต่างๆ ให้จัดเก็บให้เป็นระเบียบเรียบร้อย



3)  ห้อง server ควรแยกออกจากห้องอื่นที่มีเพดานติดกัน หากห้องอยู่ติดกัน จะต้องติดเหล็กกั้น ป้องกันผู้ไม่หวังดีเล็ดลอดเข้าทางเพดาน (เคยเจอตอน Audit ผู้ตรวจประเมินเปิดฝ้าเพดานดู)


4)  สายไฟ สายสัญญาณต่างๆ จะต้องจัดเก็บให้เป้นระเบียบเรียบร้อย เก็บไว้ในราง หรือ มัดรวมกันและมี label ระบุไว้ว่าเป็นสายอะไร  ถ้ามีการเดินสายไฟต่างๆ บนพื้น หรือผนัง จะต้องมี Cover ครอบไว้


เครื่องปรับอากาศ (Air condition)
1)  โดยปกติห้อง Server จะต้องมีการควบคุมอุณหภูมิภายในห้องอยู่ที่ 20 - 22 องศา

2)  การปรับอากาศ ให้ทำการปล่อยความเย็นมาทางด้านล่างไปยังตู้ Rack เพื่อไล่ความร้อนขึ้นสู่ด้านบน

3)  เครื่องปรับอากาศ ควรแยกจากระบบปรับอากาศอื่นๆ เพื่อควบคุมอุณหภูมิของห้อง Server โดยเฉพาะ


กรณีที่ใช้แอร์แขวน หรือ แอร์ตั้ง
4)  จะต้องปรับมุมหรือหันตู้ Rack ให้ตรงช่องแอร์ที่ความเย็นส่งถึง ห้ามวางตู้ Rack ไว้ใต้แอร์ (กันน้ำแอร์หยดใส่)

5)  ถ้าไม่มีการติดตั้งระบบปรับอากาศตามมาตรฐาน ควรติดตั้งแอร์ 2 ตัว ตั้งเวลา เปิด-ปิด สลับเวลาทำงาน กรณีแอร์ตัวใดตัวหนึ่งเสีย ก็ยังมีอีกตัวเปิดสำรองได้

6) การควบคุมอุณหภูมิภายในห้อง ให้ติดตั้งเทอร์โมมิเตอร์ ที่สามารถวัดความชื้นสัมพัทธ์ได้ และแสดงค่าอุณหภูมิ min-max ได้  และจัดควรมีการจดบันทึกอุณหภูมิประจำวันไว้อ้างอิง  หมั่นตรวจสอบแบตเตอรี่ว่าหมดหรือยัง และเครื่องเทอร์โมมิเตอร์ต้องผ่านการรับรอง (Calibration) ก่อนนำมาใช้งาน

7) ควรมีแผนทำความสะอาดแอร์เดือนละครั้ง หรือ 3 เดือนครั้งแล้วแต่ อาจจะใช้บริการ MA กับบริษัทผู้รับเหมาก็ได้ และควรมีการบันทึกเก็บไว้เป็นหลักฐานทุกครั้งที่ทำความสะอาด

**** การประเมินความเสี่ยง ให้ประเมินตามหัวข้อต่อไปนี้
- กรณีแอร์เสีย ประเมินว่ามีผลอย่างไรกับระบบคอมพิวเตอร์ และมีวิธีการจัดการอุณหภูมิห้องอย่างไร
- กรณีมีแอร์ 1 ตัว จะต้องมีมาตรการในการดูแลรักษา ให้แอร์ทำงานปกติ (ให้ทำตามข้อ 6,7)


ตู้ Rack
1)   ปัจจุบัน ตู้ Rack ได้ผลิตออกมาเพื่อรองรับมาตรฐานนี้อยู่แล้ว แต่ที่แนะนำคือ ด้านหน้าจะต้องเป็นกระจกทึบหรือมัว ขอบประตูมีช่องระบายอากาศเล็กๆ ประตูหลังทั้งบานจะมีรูระบายอากาศเช่นกัน

2)   ตู้ Rack ทุกตู้ที่อยู่ในห้อง ประตูจะต้องล็อคกุญแจไว้ การตรวจประเมินจะดูว่าประตู Rack ปิดไว้หรือไม่ จึงไม่ควรเปิดหรือแค่แง้มก็ไม่ได้

3)   ตู้ Rack จะต้องมีพัดลมดูดอากาศ ติดตั้งไว้ โดยทั่วไปจะมีพัดลมประมาณ 4 ตัวมาพร้อมกับตู้




อุปกรณ์อื่นๆ ที่อยู่ในห้อง
1)  Wiring - สายไฟ สายสัญญาณ หรือสายแลน จะต้องมีการจัดเก็บให้เป็นระเบียบเรียบร้อย ใส่ในราง หรือ มี cover ครอบไว้

2)  Manual - ทำไดอะแกรมของสายสัญญาณหรือสายแลน มีระบุหมายเลขกำกับ เพื่อให้รู้ว่าสายแต่ละเส้นต่อไปที่ใหน ทำเป็นเอกสารเก็บไว้เพื่อตรวจ หากมีการแก้ไขในอนาคต

3)  Asset - อุปกรณ์ทุกชิ้นในห้อง จะต้องมีการลงทะเบียนบัญชีทรัพย์สินทางด้านสารสนเทศ และติดป้ายไว้ในแต่ละอุปกรณ์ รวมถึงต้องมีการกำหนด Data Classification (ลำดับชั้นความลับของข้อมูล) ให้กับ server ทุกตัว

4)  Fire protect - ถังดับเพลิงอัตโนมัติ เดิมที่ติดตั้งบนฝ้าเพดาน ต้องตรวจสอบดูว่าเป็นชนิดสารเคมีที่ไม่มีผลเสียหายแก่อุปกรณ์อิเลคทรอนิคส์ หรือใช้สารดับเพลิง class A,B,C แต่ถ้าไม่ได้ติดตั้งระบบออโต้ ก็ให้มีถังมาวางไว้หน้าห้อง หรือบริเวณที่ใกล้เคียงและสะดวกใช้งาน

5) Power Supply - กรณีไม่มีเครื่องกำเนิดไฟฟ้า (เครื่องปั่นไฟ) ให้ใช้เครื่องสำรองไฟ (UPS) ที่มีกำลังสำรองไฟฟ้าตามความเหมาะสม เช่น สำรองไฟได้ 2 ชม. เป็นต้น และควรแยกออกจากตู้ Rack ที่มี Server หรือแยกไว้คนละตู้นั่นเอง

   - ทำตารางบันทึกการบำรุงรักษา UPS และ ระยะเวลาในการเปลี่ยนแบตเตอรี่   
   - ควรประเมินความเสี่ยง กรณีไฟฟ้าดับ เกินกี่ชั่วโมงที่มีผลต่อระบบคอมพิวเตอร์ เกินกี่ชั่วโมงที่ผลกระทบต่อการให้บริการและผลกระทบต่อองค์กร

6)  อุปกรณ์อื่น ของเล็กๆน้อยๆ ที่จำเป็น เช่น เอกสาร, เทป backup, แผ่น CD/DVD ฯลฯ ควรมีตู้จัดเก็บอย่างมิดชิดและล็อคกุญแจไว้


เรื่องอื่นๆ ที่ผู้ดูแลต้องทำ
1)  มีสมุดบันทึกการเข้าออกห้อง Server  ทุกครั้งลงในแบบฟอร์ม (วันหนึ่งจะเข้าออกกี่รอบก็ต้องจด) โดยระบุรายละเอียด ดังนี้
  ชื่อ-นามสกุล (ลงชื่อทุกคนที่เข้ามาในห้อง)
  เวลาเข้า - เวลาออก
  เหตุผลที่เข้ามาในห้อง


2)  ระบบไฟฟ้าที่จ่ายไปยังห้อง Server จะต้องแยกอุปกรณ์ตัดไฟ (Breaker) ไว้ต่างหาก ห้ามรวมกับระบบไฟฟ้าอื่นๆ และผู้ดูแลและผู้เกี่ยวข้อง ต้องรับทราบด้วยว่า Breaker (ตู้คอนโทรล) ติดตั้งไว้ที่ใหน

----------------------------------------------
ขอบคุณที่เข้ามาอ่าน
เล่าจากประสบกาณ์ที่เคยทำ ISO ตัวนี้และผ่านการรับรองมาแล้วเท่านั้นครับ

**** การคัดลอกข้อความและเนื้อหาในนี้ไม่ว่าส่วนหนึ่งส่วนใด หรือทั้งหมด เพื่อนำไปใช้ในทางธุรกิจ กรุณาให้เครดิตผู้เขียนด้วยนะครับ


บทความนี้เป็นส่วนหนึ่งในข้อกำหนด ISO-27001 เรื่อง ความปลอดภัยด้านกายภาพและสภาพสิ่งแวดล้อม (Physical and environment security) 





2 ความคิดเห็น:

  1. มาตรฐานความชื้นที่เหมาะสมในห้องserver เท่าไหร่ครับ

    ตอบลบ
  2. แอร์บ้านเราถูกออกแบบมาให้มีความชื้นสัมพัทธ์อยู่ที่่ 30-60% แต่สำหรับอุปกรณ์อิเลคทรอนิคส์ก็ใช้ใกล้เคียงกันครับ 30-50%

    ตอบลบ