ISO 27001 Guest WiFi: একটি কমপ্লায়েন্স প্রাইমার

ISO 27001 Guest WiFi: একটি কমপ্লায়েন্স প্রাইমার Purple টেকনিক্যাল ব্রিফিং পডকাস্ট — এপিসোড স্ক্রিপ্ট আনুমানিক রানটাইম: ১০ মিনিট | ভয়েস: ইউকে ইংলিশ, সিনিয়র কনসালট্যান্ট টোন --- সেগমেন্ট ১: ভূমিকা এবং প্রেক্ষাপট (আনুমানিক ১ মিনিট) Purple টেকনিক্যাল ব্রিফিং-এ স্বাগতম। আমি আজকের এপিসোডের জন্য আপনার হোস্ট, এবং আমরা এমন একটি বিষয়ে আলোচনা করতে যাচ্ছি যা নেটওয়ার্ক অপারেশন এবং ইনফরমেশন সিকিউরিটি গভর্ন্যান্সের সংযোগস্থলে অবস্থিত: গেস্ট WiFi এবং ISO 27001 কমপ্লায়েন্স。 আপনি যদি একটি হোটেল গ্রুপ, রিটেইল চেইন, স্টেডিয়াম বা পাবলিক-সেক্টর অর্গানাইজেশনের একজন IT ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা ISO 27001 লিড অডিটর হন, তবে এই এপিসোডটি আপনার জন্য তৈরি করা হয়েছে। আমরা শুরু থেকে ISO 27001 কভার করতে যাচ্ছি না — আপনি স্ট্যান্ডার্ডটি জানেন। আমরা যা করতে যাচ্ছি তা হলো আপনার গেস্ট WiFi ডিপ্লয়মেন্ট কীভাবে আপনার ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেমের সাথে ফিট করে, কোন কন্ট্রোলগুলি প্রযোজ্য, আপনার রিস্ক অ্যাসেসমেন্টে কী ডকুমেন্ট করতে হবে এবং সমালোচনামূলকভাবে, অডিটর যখন দরজার ভেতরে প্রবেশ করবেন তখন আপনাকে কী এভিডেন্স তৈরি করতে হবে তার একটি সুনির্দিষ্ট, ব্যবহারিক ম্যাপ দেওয়া। গেস্ট WiFi হলো এমন একটি ক্ষেত্র যা সংস্থাগুলি কমপ্লায়েন্সের দৃষ্টিকোণ থেকে ধারাবাহিকভাবে অবমূল্যায়ন করে। এটি একটি কমোডিটি সার্ভিসের মতো মনে হয় — কিছু অ্যাক্সেস পয়েন্ট প্লাগ ইন করুন, একটি পাসওয়ার্ড দিন, হয়ে গেল। কিন্তু একটি ISMS দৃষ্টিকোণ থেকে, এটি একটি লাইভ ইনফরমেশন অ্যাসেট যা আপনার নেটওয়ার্ক বাউন্ডারি, আপনার সাপ্লায়ার সম্পর্ক, আপনার ডেটা প্রোটেকশন বাধ্যবাধকতা এবং আপনার আইনি এক্সপোজারকে স্পর্শ করে। চলুন এটি সঠিকভাবে আনপ্যাক করি। --- সেগমেন্ট ২: টেকনিক্যাল ডিপ-ডাইভ (আনুমানিক ৫ মিনিট) চলুন কন্ট্রোল ম্যাপিং দিয়ে শুরু করা যাক। ISO 27001:2022 এর Annex A কন্ট্রোলগুলিকে পুনর্গঠন করেছে এবং এর মধ্যে বেশ কয়েকটি সরাসরি গেস্ট WiFi-এর ক্ষেত্রে প্রযোজ্য। সবচেয়ে গুরুত্বপূর্ণ ক্লাস্টারটি টেকনোলজি কন্ট্রোলস সেকশনে রয়েছে — সেটি হলো Annex A ক্লজ 8। কন্ট্রোল A.8.22 — নেটওয়ার্কের সেগ্রিগেশন — হলো আপনার প্রাথমিক প্রয়োজনীয়তা। এই কন্ট্রোল নির্দেশ দেয় যে ইনফরমেশন সার্ভিস, ব্যবহারকারী এবং সিস্টেমের গ্রুপগুলিকে নেটওয়ার্কে আলাদা করতে হবে। গেস্ট WiFi-এর জন্য, এটি সরাসরি VLAN আইসোলেশনে রূপান্তরিত হয়। আপনার গেস্ট নেটওয়ার্কটিকে অবশ্যই লজিক্যালি এবং যেখানে উপযুক্ত, ফিজিক্যালি আপনার কর্পোরেট নেটওয়ার্ক, আপনার পেমেন্ট প্রসেসিং পরিবেশ এবং যেকোনো IoT বা অপারেশনাল টেকনোলজি সেগমেন্ট থেকে আলাদা করতে হবে। যদি একজন অডিটর দেখতে পান যে গেস্ট ট্রাফিক ইন্টারনাল ফাইল শেয়ার বা ম্যানেজমেন্ট ইন্টারফেসে পৌঁছাতে পারে, তবে এটি A.8.22-এর বিরুদ্ধে একটি স্পষ্ট নন-কনফর্মিটি। কন্ট্রোল A.8.20 — নেটওয়ার্ক সিকিউরিটি — এর জন্য প্রয়োজন যে সিস্টেম এবং অ্যাপ্লিকেশনগুলিতে ইনফরমেশন সুরক্ষিত করার জন্য নেটওয়ার্কগুলি পরিচালনা এবং নিয়ন্ত্রণ করা। গেস্ট WiFi-এর জন্য, এর অর্থ হলো ডকুমেন্টেড ফায়ারওয়াল রুল, অ্যাক্সেস কন্ট্রোল লিস্ট এবং একটি নেটওয়ার্ক সিকিউরিটি পলিসি যা স্পষ্টভাবে গেস্ট সেগমেন্টকে অ্যাড্রেস করে। আপনাকে অডিটরকে গেস্ট VLAN স্পষ্টভাবে লেবেল করা একটি বর্তমান নেটওয়ার্ক ডায়াগ্রাম এবং ফায়ারওয়াল রুলসেট দেখাতে সক্ষম হতে হবে যা নিয়ন্ত্রণ করে যে সেগমেন্টটি কী পৌঁছাতে পারে এবং কী পারে না। কন্ট্রোল A.8.21 — নেটওয়ার্ক সার্ভিসের সিকিউরিটি — থার্ড-পার্টি নেটওয়ার্ক সার্ভিস প্রোভাইডারদের অ্যাড্রেস করে। গেস্ট WiFi চালানো বেশিরভাগ সংস্থাই একটি ম্যানেজড সার্ভিস প্রোভাইডার, একটি ক্লাউড-ভিত্তিক Captive Portal প্ল্যাটফর্ম বা একটি ISP-প্রদত্ত সলিউশন ব্যবহার করছে। এর প্রতিটিই হলো একটি সাপ্লায়ার সম্পর্ক যা পরিচালনা করা প্রয়োজন। আপনার সার্ভিস লেভেল এগ্রিমেন্ট প্রয়োজন যার মধ্যে সিকিউরিটি প্রয়োজনীয়তা অন্তর্ভুক্ত রয়েছে এবং আপনার পর্যায়ক্রমিক সাপ্লায়ার রিভিউর এভিডেন্স প্রয়োজন। এখানেই ভেন্ডর SOC 2 Type II অ্যাটেস্টেশনগুলি সত্যিই কার্যকর হয়ে ওঠে — আমরা সেটিতে ফিরে আসব। কন্ট্রোল A.8.15 — লগিং — এর জন্য ইভেন্ট লগ তৈরি, সংরক্ষণ, সুরক্ষা এবং বিশ্লেষণ করা প্রয়োজন। গেস্ট WiFi-এর জন্য, এর অর্থ হলো কানেকশন ইভেন্ট, অথেনটিকেশন প্রচেষ্টা এবং সেশন ডেটা লগ করা। এখন, এখানে GDPR এবং ডেটা মিনিমাইজেশন নীতিগুলির সাথে একটি উত্তেজনা রয়েছে, বিশেষ করে UK এবং EU-তে। আপনার সিকিউরিটি মনিটরিং বাধ্যবাধকতাগুলি পূরণ করার জন্য আপনাকে যথেষ্ট লগ করতে হবে, তবে এত বেশি নয় যে আপনি প্রয়োজনের অতিরিক্ত পার্সোনাল ডেটা ধরে রাখছেন। আপনার লগিং পলিসিতে স্পষ্টভাবে গেস্ট WiFi স্কোপ অ্যাড্রেস করা উচিত, রিটেনশন পিরিয়ড সংজ্ঞায়িত করা উচিত এবং ক্যাপচার করা যেকোনো পার্সোনাল ডেটার আইনি ভিত্তি ডকুমেন্ট করা উচিত। কন্ট্রোল A.8.23 — ওয়েব ফিল্টারিং — এর জন্য প্রয়োজন যে সিস্টেমগুলিকে ম্যালওয়্যার ইনফেকশন থেকে রক্ষা করতে এবং আনঅথরাইজড ওয়েব রিসোর্সগুলিতে অ্যাক্সেস রোধ করতে এক্সটার্নাল ওয়েবসাইটগুলিতে অ্যাক্সেস পরিচালনা করা। গেস্ট WiFi-এর জন্য, এর অর্থ সাধারণত DNS-ভিত্তিক ফিল্টারিং বা একটি ক্লাউড ওয়েব প্রক্সি ডিপ্লয় করা যা পরিচিত ম্যালিসিয়াস ডোমেইন, কমান্ড-অ্যান্ড-কন্ট্রোল ইনফ্রাস্ট্রাকচার এবং আপনার সেক্টরের উপর নির্ভর করে অনুপযুক্ত কন্টেন্টের ক্যাটাগরিগুলিকে ব্লক করে। ফ্যামিলি অডিয়েন্সকে পরিষেবা দেওয়া একজন হোটেল অপারেটরের এন্টারপ্রাইজ ডেলিগেটদের পরিষেবা দেওয়া একটি কনফারেন্স সেন্টারের চেয়ে আলাদা ফিল্টারিং বাধ্যবাধকতা রয়েছে, তবে উভয়েরই একটি ডকুমেন্টেড পলিসি এবং এভিডেন্স প্রয়োজন যে ফিল্টারিং সক্রিয় এবং রিভিউ করা হয়েছে। অর্গানাইজেশনাল কন্ট্রোলগুলিতে চলে যাচ্ছি — Annex A ক্লজ 5 — দুটি কন্ট্রোল বিশেষভাবে প্রাসঙ্গিক। কন্ট্রোল A.5.14 — ইনফরমেশন ট্রান্সফার — ইনফরমেশন ট্রান্সফারের জন্য নিয়ম, পদ্ধতি এবং কন্ট্রোলগুলি পরিচালনা করে। যদি গেস্টরা ফাইল ট্রান্সফার করতে, ক্লাউড সার্ভিস অ্যাক্সেস করতে বা ব্যবসা পরিচালনা করতে আপনার নেটওয়ার্ক ব্যবহার করে, তবে আপনার একটি অ্যাক্সেপ্টেবল ইউজ পলিসি প্রয়োজন যা অথেনটিকেশনের সময় তাদের কাছে উপস্থাপন করা হয় — সাধারণত Captive Portal-এর মাধ্যমে — এবং অ্যাক্সেস দেওয়ার আগে গ্রহণ করা হয়। সেই অ্যাক্সেপ্টেন্স ইভেন্টটিকে এভিডেন্স হিসেবে লগ করা প্রয়োজন。 কন্ট্রোল A.5.31 — লিগ্যাল, স্ট্যাটুটরি, রেগুলেটরি এবং কন্ট্রাকচুয়াল রিকোয়ারমেন্টস — এর জন্য আপনাকে সমস্ত প্রাসঙ্গিক আইনি এবং রেগুলেটরি বাধ্যবাধকতাগুলি চিহ্নিত এবং ডকুমেন্ট করতে হবে। গেস্ট WiFi-এর জন্য, এর মধ্যে GDPR বা UK GDPR অন্তর্ভুক্ত রয়েছে যদি আপনি অথেনটিকেশনের সময় কোনো পার্সোনাল ডেটা ক্যাপচার করেন, ইনভেস্টিগেটরি পাওয়ারস অ্যাক্ট যদি আপনি UK-তে থাকেন এবং কমিউনিকেশন ডেটা ধরে রাখার প্রয়োজন হতে পারে, এবং সেক্টর-নির্দিষ্ট রেগুলেশন যেমন PCI DSS যদি আপনার গেস্ট নেটওয়ার্ক কার্ডহোল্ডার ডেটার জন্য স্কোপে থাকে। এখন, রিস্ক অ্যাসেসমেন্ট। ISO 27001 হলো একটি রিস্ক-ভিত্তিক স্ট্যান্ডার্ড, যার মানে আপনি কেবল কন্ট্রোলগুলি ইমপ্লিমেন্ট করে কাজ শেষ বলতে পারবেন না। আপনাকে গেস্ট WiFi অ্যাসেটের জন্য একটি ফর্মাল রিস্ক অ্যাসেসমেন্ট ডকুমেন্ট করতে হবে। সেই অ্যাসেসমেন্টে থ্রেটগুলি চিহ্নিত করা উচিত — ইন্টারনাল সিস্টেমে আনঅথরাইজড অ্যাক্সেস, গেস্ট ডিভাইস থেকে ম্যালওয়্যার প্রোপাগেশন, ওয়্যারলেস মিডিয়ামে ডেটা ইন্টারসেপশন, ডিনায়াল অফ সার্ভিস এবং আপনার নেটওয়ার্কের অপব্যবহার থেকে রেপুটেশনাল ড্যামেজ। প্রতিটি থ্রেটের জন্য, আপনি সম্ভাবনা এবং প্রভাব মূল্যায়ন করেন, আপনার রিস্ক ট্রিটমেন্ট নির্ধারণ করেন — তা মিটিগেট, অ্যাক্সেপ্ট, ট্রান্সফার বা অ্যাভয়েড যাই হোক না কেন — এবং রেসিডিউয়াল রিস্ক ডকুমেন্ট করেন। নির্দিষ্ট Annex A কন্ট্রোলগুলি অন্তর্ভুক্ত বা বাদ দেওয়ার যৌক্তিকতা হিসেবে স্টেটমেন্ট অফ অ্যাপ্লিকেবিলিটিতে অবশ্যই গেস্ট WiFi রিস্ক অ্যাসেসমেন্টকে রেফারেন্স করতে হবে। চলুন WPA3 এবং অথেনটিকেশন স্ট্যান্ডার্ড সম্পর্কে কথা বলি। WiFi হার্ডওয়্যারের IEEE 802.11ax এবং 802.11be জেনারেশনগুলি WPA3 সমর্থন করে, যা Simultaneous Authentication of Equals — SAE — প্রদান করে, যা পুরানো Pre-Shared Key হ্যান্ডশেককে প্রতিস্থাপন করে। একটি গেস্ট নেটওয়ার্কের জন্য যেখানে আপনি একটি শেয়ার্ড পাসফ্রেজ ব্যবহার করছেন, SAE-এর সাথে WPA3-Personal ফরওয়ার্ড সিক্রেসি প্রদান করে, যার অর্থ হলো পাসফ্রেজটি আপস করা হলেও, ঐতিহাসিক সেশন ট্রাফিক ডিক্রিপ্ট করা যাবে না। এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য যেখানে আপনি প্রতি-ব্যবহারকারী অথেনটিকেশন চান, IEEE 802.1X এবং EAP-TLS-এর সাথে WPA3-Enterprise সার্টিফিকেট-ভিত্তিক অথেনটিকেশন প্রদান করে যা সরাসরি ISO 27001 আইডেন্টিটি ম্যানেজমেন্ট কন্ট্রোলগুলিতে ম্যাপ করে। এই দুটি মডেলের মধ্যে পছন্দ আপনার ব্যবহারকারীর জনসংখ্যা এবং আপনার অপারেশনাল জটিলতা সহনশীলতার উপর নির্ভর করে। এখন, ভেন্ডর SOC 2 অ্যাটেস্টেশন। আপনি যদি একটি ক্লাউড-ম্যানেজড গেস্ট WiFi প্ল্যাটফর্ম ব্যবহার করেন — এবং বেশিরভাগ সংস্থাই করে — সেই ভেন্ডরের SOC 2 Type II রিপোর্টটি আপনার সাপ্লায়ার অ্যাসুরেন্স এভিডেন্সের একটি গুরুত্বপূর্ণ অংশ। একটি SOC 2 Type II রিপোর্ট ট্রাস্ট সার্ভিসেস ক্রাইটেরিয়া কভার করে: সিকিউরিটি, অ্যাভেইলেবিলিটি, প্রসেসিং ইন্টিগ্রিটি, কনফিডেনশিয়ালিটি এবং প্রাইভেসি, সাধারণত ছয় থেকে বারো মাসের অডিট পিরিয়ডের মধ্যে। আপনি যখন আপনার ISO 27001 সাপ্লায়ার অ্যাসুরেন্স ফাইল তৈরি করছেন, তখন ভেন্ডরের SOC 2 Type II রিপোর্ট, একটি সম্পূর্ণ সাপ্লায়ার সিকিউরিটি প্রশ্নাবলী এবং একটি ডেটা প্রসেসিং এগ্রিমেন্টের সাথে মিলিত হয়ে, আপনাকে কন্ট্রোল A.8.21-এর জন্য একটি ডিফেন্সেবল এভিডেন্স প্যাক দেয়। উদাহরণস্বরূপ, Purple SOC 2 অ্যালাইনমেন্ট বহন করে যা সরাসরি এই ডাউনস্ট্রিম ISMS প্রয়োজনীয়তাকে সমর্থন করে — যার অর্থ আপনি প্ল্যাটফর্মের একটি সম্পূর্ণ বেসপোক সিকিউরিটি অ্যাসেসমেন্ট পরিচালনা করার পরিবর্তে আপনার নিজস্ব অডিট এভিডেন্সে তাদের অ্যাটেস্টেশন রেফারেন্স করতে পারেন। --- সেগমেন্ট ৩: ইমপ্লিমেন্টেশন রেকমেন্ডেশন এবং পিটফলস (আনুমানিক ২ মিনিট) আমাকে আপনাকে চারটি ইমপ্লিমেন্টেশন সিদ্ধান্ত দিতে দিন যা বেশিরভাগ সংস্থা ভুল করে। প্রথম: রিস্ক অ্যাসেসমেন্টে স্কোপ ক্রিপ। সংস্থাগুলি হয় গেস্ট WiFi-কে খুব সংকীর্ণভাবে স্কোপ করে — এটিকে স্কোপের বাইরে হিসেবে বিবেচনা করে কারণ এটি শুধুমাত্র ভিজিটরদের জন্য — অথবা খুব বিস্তৃতভাবে, প্রাসঙ্গিকতা নির্বিশেষে সম্ভাব্য প্রতিটি কন্ট্রোল প্রয়োগ করার চেষ্টা করে। সঠিক পদ্ধতি হলো এটিকে একটি ইনফরমেশন অ্যাসেট হিসেবে স্কোপ করা যা ISMS-এর জন্য স্কোপে রয়েছে, একটি আনুপাতিক রিস্ক অ্যাসেসমেন্ট পরিচালনা করা এবং স্টেটমেন্ট অফ অ্যাপ্লিকেবিলিটিতে আপনার কন্ট্রোল নির্বাচনের যৌক্তিকতা ডকুমেন্ট করা। দ্বিতীয়: অপর্যাপ্ত নেটওয়ার্ক সেগ্রিগেশন। আমি এমন গেস্ট VLAN দেখেছি যা টেকনিক্যালি আলাদা কিন্তু ইন্টারনাল সিস্টেমের সাথে একটি ফায়ারওয়াল জোন শেয়ার করে, অথবা যেখানে ওয়্যারলেস কন্ট্রোলারের ম্যানেজমেন্ট ইন্টারফেস গেস্ট সেগমেন্ট থেকে অ্যাক্সেসযোগ্য। সেগ্রিগেশন একটি পেনিট্রেশন টেস্ট বা ন্যূনতম একটি নেটওয়ার্ক অ্যাক্সেস রিভিউর মাধ্যমে যাচাই করা প্রয়োজন এবং সেই যাচাইকরণটি অডিট এভিডেন্স হিসেবে ডকুমেন্ট করা প্রয়োজন। তৃতীয়: একটি অ্যাক্সেস কন্ট্রোল মেকানিজম হিসেবে Captive Portal-কে উপেক্ষা করা। Captive Portal শুধুমাত্র একটি ব্র্যান্ডিং অনুশীলন নয়। এটি হলো সেই পয়েন্ট যেখানে আপনি আপনার অ্যাক্সেপ্টেবল ইউজ পলিসি উপস্থাপন করেন, ডেটা প্রসেসিংয়ের জন্য সম্মতি পান এবং অথেনটিকেশন লগ তৈরি করেন যা একাধিক ISO 27001 কন্ট্রোলের এভিডেন্স হিসেবে কাজ করে। যদি আপনার Captive Portal টাইমস্ট্যাম্প এবং সেশন আইডেন্টিফায়ার সহ অ্যাক্সেপ্টেন্স ইভেন্টগুলি লগ না করে, তবে আপনার একটি গ্যাপ রয়েছে যা একজন অডিটর খুঁজে পাবেন। চতুর্থ: সাপ্লায়ার অ্যাসুরেন্সকে এককালীন অনুশীলন হিসেবে বিবেচনা করা। SOC 2 রিপোর্টের মেয়াদ শেষ হয়। ISP চুক্তি পরিবর্তিত হয়। ক্লাউড প্ল্যাটফর্মের টার্মস অফ সার্ভিস আপডেট করা হয়। আপনার সাপ্লায়ার অ্যাসুরেন্স প্রোগ্রামে ভেন্ডর সিকিউরিটি অ্যাটেস্টেশনগুলির বার্ষিক রিভিউ অন্তর্ভুক্ত করা প্রয়োজন এবং সেই রিভিউটি ডকুমেন্ট করা প্রয়োজন। প্রতিটি ভেন্ডরের SOC 2 রিপোর্টের মেয়াদ কখন শেষ হবে তার জন্য একটি ক্যালেন্ডার রিমাইন্ডার সেট করুন এবং সক্রিয়ভাবে আপডেট করা রিপোর্টের অনুরোধ করুন। সেশন টাইমআউটের প্রশ্নে: ISO 27001 নির্দিষ্ট টাইমআউট ভ্যালু নির্ধারণ করে না, তবে আপনার রিস্ক অ্যাসেসমেন্টে আপনি যে ভ্যালুই বেছে নিন তার যৌক্তিকতা ডকুমেন্ট করা উচিত। হসপিটালিটিতে আট ঘণ্টার সেশন টাইমআউট সাধারণ, তবে একটি একদিনের ইভেন্ট চালানো কনফারেন্স সেন্টার অংশগ্রহণকারীদের মধ্যে ক্রেডেনশিয়াল শেয়ার করা না হয় তা নিশ্চিত করতে একটি ছোট টাইমআউট সেট করতে পারে। মূল নীতি হলো যে টাইমআউট পলিসিটি ডকুমেন্টেড, রিস্ক-জাস্টিফাইড এবং ধারাবাহিকভাবে ইমপ্লিমেন্ট করা হয়েছে। উদাহরণস্বরূপ, Purple-এর প্ল্যাটফর্ম আপনাকে সেন্ট্রালি সেশন টাইমআউট পলিসিগুলি কনফিগার এবং এনফোর্স করার অনুমতি দেয়, কনফিগারেশন স্টেটটি অডিট এভিডেন্স হিসেবে এক্সপোর্টযোগ্য। --- সেগমেন্ট ৪: র‍্যাপিড-ফায়ার Q&A (আনুমানিক ১ মিনিট) ISO 27001 সার্টিফিকেশনের জন্য প্রস্তুতি নিচ্ছেন এমন IT ম্যানেজারদের কাছ থেকে আমি সবচেয়ে ঘন ঘন যে প্রশ্নগুলি পাই তা নিয়ে আলোচনা করা যাক। গেস্ট WiFi কি আমাদের ISMS-এর জন্য স্কোপে থাকতে হবে? যদি এটি আপনার ISMS স্কোপের মধ্যে পড়ে এমন ইনফরমেশন প্রসেস, স্টোর বা ট্রান্সমিট করে, তবে হ্যাঁ। যদি গেস্টরা কোনো পার্সোনাল ডেটা ব্যবহার করে অথেনটিকেট করে, অথবা যদি নেটওয়ার্কটি স্কোপে থাকা কোনো সিস্টেমের সাথে সংযোগ করে, তবে এটি অবশ্যই অন্তর্ভুক্ত করতে হবে। আমরা কি স্টেটমেন্ট অফ অ্যাপ্লিকেবিলিটি থেকে গেস্ট WiFi বাদ দিতে পারি? আপনি কন্ট্রোলগুলি বাদ দিতে পারেন, তবে আপনাকে অবশ্যই যৌক্তিকতা ডকুমেন্ট করতে হবে। একটি গেস্ট WiFi ডিপ্লয়মেন্টের জন্য A.8.22 নেটওয়ার্কের সেগ্রিগেশন বাদ দেওয়ার জন্য একটি খুব জোরালো যুক্তির প্রয়োজন হবে যা অডিটর গ্রহণ করার সম্ভাবনা কম। একটি গেস্ট WiFi অডিটের জন্য মিনিমাম ভায়াবল এভিডেন্স প্যাক কী? VLAN সেগ্রিগেশন দেখানো নেটওয়ার্ক ডায়াগ্রাম, ফায়ারওয়াল রুলসেট, অ্যাক্সেপ্টেবল ইউজ পলিসি টেক্সট সহ Captive Portal কনফিগারেশন, অথেনটিকেশন লগ স্যাম্পল, রিস্ক অ্যাসেসমেন্ট এন্ট্রি এবং ভেন্ডর SOC 2 রিপোর্ট বা সমতুল্য অ্যাসুরেন্স ডকুমেন্ট। গেস্ট WiFi-এর জন্য GDPR কীভাবে ISO 27001-এর সাথে ইন্টারঅ্যাক্ট করে? GDPR হলো একটি আইনি প্রয়োজনীয়তা যা কন্ট্রোল A.5.31-এ যুক্ত হয়। আপনার প্রাইভেসি নোটিশ, আপনার WiFi প্ল্যাটফর্ম ভেন্ডরের সাথে ডেটা প্রসেসিং এগ্রিমেন্ট এবং ডেটা রিটেনশন পলিসি সবই ISO 27001 এভিডেন্স আইটেম এবং সেইসাথে GDPR কমপ্লায়েন্স আর্টিফ্যাক্ট। তারা দ্বৈত দায়িত্ব পালন করে। --- সেগমেন্ট ৫: সারাংশ এবং পরবর্তী পদক্ষেপ (আনুমানিক ১ মিনিট) এটিকে একসাথে আনতে: গেস্ট WiFi আপনার ISMS-এর জন্য কোনো পেরিফেরাল উদ্বেগ নয় — এটি বাস্তব রিস্ক এক্সপোজার এবং প্রযোজ্য ISO 27001:2022 কন্ট্রোলগুলির একটি স্পষ্ট সেট সহ একটি লাইভ নেটওয়ার্ক বাউন্ডারি। যে কন্ট্রোলগুলি সবচেয়ে বেশি গুরুত্বপূর্ণ তা হলো নেটওয়ার্ক সেগ্রিগেশনের জন্য A.8.22, নেটওয়ার্ক সিকিউরিটি ম্যানেজমেন্টের জন্য A.8.20, সাপ্লায়ার অ্যাসুরেন্সের জন্য A.8.21, লগিংয়ের জন্য A.8.15, ওয়েব ফিল্টারিংয়ের জন্য A.8.23, অ্যাক্সেপ্টেবল ইউজের জন্য A.5.14 এবং লিগ্যাল কমপ্লায়েন্সের জন্য A.5.31। আপনার তাৎক্ষণিক পরবর্তী পদক্ষেপগুলি: প্রথমত, নিশ্চিত করুন যে গেস্ট WiFi আপনার ISMS স্কোপ স্টেটমেন্টে স্পষ্টভাবে অন্তর্ভুক্ত রয়েছে। দ্বিতীয়ত, ডকুমেন্টেড থ্রেট, সম্ভাবনা, প্রভাব এবং ট্রিটমেন্টের সিদ্ধান্ত সহ আপনার রিস্ক রেজিস্টারে একটি গেস্ট WiFi এন্ট্রি যোগ করুন। তৃতীয়ত, আপনার এভিডেন্স প্যাক তৈরি করুন — নেটওয়ার্ক ডায়াগ্রাম, ফায়ারওয়াল রুল, Captive Portal কনফিগারেশন, লগিং পলিসি এবং ভেন্ডর SOC 2 রিপোর্ট। চতুর্থত, আপনার WiFi প্ল্যাটফর্ম প্রোভাইডারের জন্য একটি বার্ষিক সাপ্লায়ার অ্যাসুরেন্স রিভিউর শিডিউল করুন। আপনি যদি আপনার গেস্ট WiFi ইনফ্রাস্ট্রাকচার ডিপ্লয় বা আপগ্রেড করেন, তবে Purple-এর প্ল্যাটফর্মটি এই কমপ্লায়েন্স প্রয়োজনীয়তাগুলি মাথায় রেখে তৈরি করা হয়েছে — SOC 2 অ্যালাইনড, সেন্ট্রালাইজড পলিসি ম্যানেজমেন্ট এবং এক্সপোর্টেবল কনফিগারেশন এভিডেন্স সহ যা সরাসরি আপনার ISMS ডকুমেন্টেশনে যুক্ত হয়। Purple টেকনিক্যাল ব্রিফিং-এ যোগ দেওয়ার জন্য আপনাকে ধন্যবাদ। সম্পূর্ণ লিখিত গাইড, আর্কিটেকচার ডায়াগ্রাম এবং ওয়ার্কড এক্সাম্পলগুলির জন্য, Purple রিসোর্স সেন্টারে যান। পরবর্তী সময় পর্যন্ত বিদায়।