การตรวจสอบห้องเซิร์ฟเวอร์ (Server Room) สำหรับผู้ตรวจสอบไอที

ห้องเซิร์ฟเวอร์ (Server Room) หรือดาต้าเซ็นเตอร์ (Data Center) คือ…

ศูนย์กลางของโครงสร้างพื้นฐานด้านไอทีขององค์กร การตรวจสอบในบริเวณนี้จึงมีความสำคัญอย่างยิ่งยวด โดยมีวัตถุประสงค์หลักเพื่อสร้างความเชื่อมั่นว่าสินทรัพย์สารสนเทศที่สำคัญขององค์กรได้รับการปกป้องอย่างเหมาะสม ทั้งในด้านความพร้อมใช้งาน (Availability), ความครบถ้วนถูกต้อง (Integrity) และการรักษาความลับ (Confidentiality) การตรวจสอบที่ดีต้องครอบคลุมทั้งการควบคุมทางกายภาพ (Physical Controls) และการควบคุมด้านสภาพแวดล้อม (Environmental Controls)

ต่อไปนี้คือปัจจัยสำคัญและหัวข้อที่ผู้ตรวจสอบไอที (IT Auditor) ต้องให้ความสำคัญในการตรวจสอบ

1. ความมั่นคงปลอดภัยทางกายภาพและการควบคุมการเข้าถึง (Physical Security & Access Control)

ถือเป็นด่านแรกและเป็นหนึ่งในการควบคุมที่สำคัญที่สุด เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การโจรกรรม, การสร้างความเสียหาย หรือการลักลอบดูข้อมูล

สิ่งที่ต้องตรวจสอบ:

• ตำแหน่งที่ตั้ง (Location): ห้อง Server ควรตั้งอยู่ในบริเวณที่ปลอดภัย ไม่เสี่ยงต่อภัยธรรมชาติ และไม่อยู่ในเส้นทางเดินหลักที่คนเดินพลุกพล่าน
• โครงสร้างห้อง: ผนัง, พื้น, เพดาน มีความแข็งแรงทนทาน ประตูควรปิดสนิทเมื่อไม่มีคนเข้า-ออก
• การควบคุมการเข้าออก:
  • มีระบบควบคุมการเข้าออกที่รัดกุม เช่น ใช้ Keycard, Biometrics (ลายนิ้วมือ, สแกนม่านตา) ร่วมกับรหัสผ่าน (Multi-factor Authentication)
  • การเข้า-ออก ควรจำกัดสิทธิ์เฉพาะผู้ที่ได้รับอนุญาตตามหลักการ “Need-to-Know” เท่านั้น
  • มีการเก็บบันทึกข้อมูลการเข้า-ออก (Access Log) ทั้งหมด และมีการสอบทานอย่างสม่ำเสมอ
• การจัดการผู้มาติดต่อ (Visitor Management): ผู้มาติดต่อทุกคนต้องลงทะเบียน, แลกบัตร, มีเจ้าหน้าที่ควบคุมดูแลตลอดเวลาที่อยู่ในพื้นที่ และต้องออกจากพื้นที่เมื่อเสร็จสิ้นภารกิจ
• ระบบกล้องวงจรปิด (CCTV): ติดตั้งในจุดที่สำคัญ เช่น ทางเข้า-ออก, ภายในห้อง, แนวตู้ Rack และต้องบันทึกภาพตลอด 24 ชั่วโมง โดยมีระยะเวลาการเก็บข้อมูลที่เหมาะสม (อย่างน้อย 90 วัน)
• การรักษาความปลอดภัยอื่นๆ: มีเจ้าหน้าที่รักษาความปลอดภัยเฝ้าบริเวณ (ถ้าจำเป็น), ไม่มีป้ายชี้บ่งว่าเป็นห้อง Server อย่างชัดเจนจากภายนอก

พื้นฐานของมาตรฐานที่ควรจะเป็น: ควรตระหนักว่า การเข้าถึงทุกครั้งต้องถูกบันทึกและตรวจสอบย้อนกลับได้ สิทธิ์ในการเข้าถึงต้องได้รับการอนุมัติและทบทวนอย่างน้อยปีละ 2 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงตำแหน่งงาน

 

2. การควบคุมสภาพแวดล้อม (Environmental Controls)

อุปกรณ์ไอทีมีความอ่อนไหวต่อสภาพแวดล้อมสูง การควบคุมที่ดีจะช่วยยืดอายุการใช้งานและทำให้ระบบทำงานได้อย่างมีเสถียรภาพ

สิ่งที่ต้องตรวจสอบ:

• ระบบปรับอากาศ
  • มีระบบปรับอากาศที่ออกแบบมาสำหรับห้อง Server ซึ่งควบคุมได้ทั้งอุณหภูมิและความชื้น
  • ควรมีระบบปรับอากาศสำรอง (Redundancy, N+1) เพื่อให้ทำงานต่อเนื่องได้แม้ระบบหลักจะขัดข้อง
• การตรวจวัดอุณหภูมิและความชื้น: มีเซ็นเซอร์ตรวจวัดและบันทึกค่าอย่างต่อเนื่อง และมีระบบแจ้งเตือน (Alert) เมื่อค่าสูงหรือต่ำกว่าเกณฑ์ที่กำหนด
• ระบบตรวจจับน้ำรั่วซึม (Water Leakage Detection): ติดตั้งเซ็นเซอร์ตามจุดเสี่ยง เช่น ใต้พื้นยก (Raised Floor) หรือตามแนวท่อของระบบปรับอากาศ
• การควบคุมฝุ่นละออง: มีการรักษาความสะอาดอย่างสม่ำเสมอ และพื้นเป็นแบบป้องกันไฟฟ้าสถิต (Anti-static)

มาตรฐานที่ควรจะเป็น:

• อุณหภูมิ (Temperature): อยู่ระหว่าง 20 – 24 องศาเซลเซียส
• ความชื้นสัมพัทธ์ (Relative Humidity): อยู่ระหว่าง 40% – 55%

 

3. การป้องกันและระงับอัคคีภัย (Fire Suppression & Safety)

อัคคีภัยคือความเสี่ยงร้ายแรงที่สามารถสร้างความเสียหายทั้งหมดได้ในเวลาอันสั้น

สิ่งที่ต้องตรวจสอบ:

• ระบบตรวจจับควัน (Smoke Detection): ควรใช้ระบบตรวจจับควันที่ความไวสูงที่สามารถแจ้งเตือนได้ตั้งแต่เริ่มมีควันเพียงเล็กน้อย
• ระบบระงับอัคคีภัย: ต้องเป็นระบบที่ไม่สร้างความเสียหายแก่อุปกรณ์อิเล็กทรอนิกส์ และไม่ควรใช้ระบบ Sprinkler ที่เป็นน้ำโดยตรงเหนือตู้ Rack
• ถังดับเพลิง: ต้องเป็นชนิดที่ใช้กับอุปกรณ์ไฟฟ้าได้ และติดตั้งในจุดที่เข้าถึงง่าย มีการตรวจสอบสภาพความพร้อมใช้งานอย่างสม่ำเสมอ
• ปุ่มตัดไฟฉุกเฉิน: ติดตั้งในตำแหน่งที่เห็นชัดเจนและเข้าถึงง่ายบริเวณทางออก
• การอบรม: พนักงานที่เกี่ยวข้องต้องผ่านการอบรมเรื่องแผนฉุกเฉินและวิธีใช้อุปกรณ์ดับเพลิงเบื้องต้น

พื้นฐานของมาตรฐานที่ควรจะเป็น: มีการทดสอบระบบตรวจจับและระงับอัคคีภัยตามรอบที่ผู้ผลิต/ผู้จำหน่ายกำหนด (อย่างน้อยปีละครั้ง) และมีเอกสารบันทึกการทดสอบ

 

4. ระบบไฟฟ้าสำรอง (Power Supply)

หัวใจสำคัญของความพร้อมใช้งาน (Availability) คือระบบไฟฟ้าที่ต่อเนื่องและมีเสถียรภาพ

สิ่งที่ต้องตรวจสอบ:

• เครื่องสำรองไฟฟ้า (UPS – Uninterruptible Power Supply):
  • มีขนาดเหมาะสมกับภาระงาน (Load) และสามารถสำรองไฟได้นานเพียงพอให้เครื่องกำเนิดไฟฟ้าเริ่มทำงาน
  • มีการทดสอบและบำรุงรักษาแบตเตอรี่ตามรอบ
• เครื่องกำเนิดไฟฟ้า (Generator) (ในกรณีที่มีการใช้ Generator):
  • มีการทดสอบเดินเครื่องอย่างสม่ำเสมอ (เช่น ทุกสัปดาห์/เดือน) และมีเชื้อเพลิงเพียงพอ
  • มีสัญญาบำรุงรักษากับผู้ให้บริการภายนอก
• ระบบไฟฟ้าสำรอง (Redundancy): ควรมีแหล่งจ่ายไฟ 2 แหล่ง (A/B Feed) ไปยังตู้ Rack เพื่อป้องกันกรณีแหล่งจ่ายไฟหลักแหล่งใดแหล่งหนึ่งขัดข้อง

พื้นฐานของมาตรฐานที่ควรจะเป็น: มีการทดสอบ UPS และ Generator อย่างเป็นระบบและบันทึกผลการทดสอบทุกครั้ง การออกแบบควรเป็นแบบ N+1 เป็นอย่างน้อยเพื่อความต่อเนื่อง

 

5. การจัดการสายสัญญาณและตู้ Rack (Network Cabling & Rack Management)

ความเรียบร้อยและความเป็นระเบียบช่วยลดความผิดพลาดของมนุษย์ (Human Error) และทำให้การบำรุงรักษาง่ายขึ้น

สิ่งที่ต้องตรวจสอบ:

• การจัดวางตู้ Rack: ควรจัดวางแบบ Hot Aisle / Cold Aisle เพื่อเพิ่มประสิทธิภาพการระบายความร้อน
• การเดินสายสัญญาณ (Cabling): สายสัญญาณและสายไฟต้องถูกจัดเก็บอย่างเป็นระเบียบใน Cable Tray หรือใต้พื้นยก ไม่กีดขวางทางเดินหรือช่องลม
• การติดป้าย (Labeling): อุปกรณ์, Port, และสายสัญญาณทุกเส้นต้องมีป้ายชื่อ (Label) ที่ชัดเจนและสอดคล้องกับเอกสารประกอบ (Documentation)
• ความมั่นคงของตู้ Rack: ตู้ Rack ต้องถูกยึดติดกับพื้นอย่างมั่นคง และอุปกรณ์ภายในต้องถูกติดตั้งอย่างปลอดภัย

มาตรฐานสากลที่ทาง IT Auditor ผู้ตรวจสอบควรนำมาใช้มาตรฐาน หรือใช้เป็นเกณฑ์อ้างอิงในการประเมินความเพียงพอของการควบคุม เช่น ISO/IEC 27001 มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) โดยเฉพาะในส่วนของภาคผนวก A (Annex A) ที่ระบุการควบคุมด้าน Physical and Environmental Security