访问控制徽章-普通的还是打印的身份证？

Question

我的问题是关于标签雇员身份证和出入控制系统的最佳做法和风险。

我的公司正在搬进一个新的办公室，它有一个带有可打印的RFID键盘卡的访问控制系统。该系统使用智能手机和(或)钥匙卡解锁前门以及内部门，如以色列国防军授权工作人员的房间。资讯科技部门内有以下两种方法：

1)把徽章留在原处，所以如果被偷了，就很难分辨它是干什么用的，或者

( 2)在徽章上印上公司名称和该人的照片，以便日后(如果公司愿意)可用作雇员身份证。这样，如果公司追求符合ISO27001，它可以很容易地照顾身份证的要求。

对于是否应该有一个普通的徽章，还是使用一个带有明确信息的国防部风格的徽章，有很多相互矛盾的意见。

我的问题是，印制徽章的风险如何与ISO和其他合规要求保持平衡？此外，如果使用印刷徽章，在被盗徽章的情况下应采取哪些缓解措施？

Answer 1

ISO 27001在认证和确保访问安全方面建议如下：

应采用双因素/多因素认证，以确保对最敏感/关键的设施、信息系统和应用程序进行安全认证。

双因素认证的示例:卡+针、卡+砰砰(首选)等。

因此，无论您是否要使用平面/打印卡，建议始终使用双因素身份验证来降低风险。

关于是否使用空白卡的问题，最佳做法是打印卡片的所有者/用户的详细信息，因为卡片的责任应由所有者/用户负责，并将通过“视觉安全检查”中的实物观察(可能在接收/入口警卫处)来识别(识别过程的一部分)用户。

因此，建议始终使用带有打印访问卡的双因素身份验证过程(如您所指出的，可以用作员工身份证)，允许在双因素身份验证的顶部进行可视化检查。

希望这能澄清..。