Политика за чисто бюро и чист екран

Политиката за чисто бюро и чист екран (P10) установява строги контроли, за да гарантира, че чувствителната информация е защитена от неоторизиран достъп, разкриване, загуба или кражба във всяка физическа или хибридна работна среда. Тя подпомага глобално признати регулаторни задължения като ISO/IEC 27001:2022 (особено клаузи, свързани с физическа сигурност и поведение), членове на GDPR относно защита на данните и поверителност, както и други рамки, включително NIST SP 800-53, EU NIS2, EU DORA и COBIT 2019. Тази политика има широк обхват и се прилага универсално за постоянни и временни служители, изпълнители, доставчици на услуги на трети страни и дори посетители, които могат да имат достъп до поверителни работни пространства. Тя строго управлява поведението в индивидуални офиси, открити пространства, заседателни зали и дистанционни или хибридни работни среди като hot-desking. Целта е да се стандартизира поведение, съобразено със сигурността, така че целият персонал, независимо от ролята или местоположението на работа, да спазва едни и същи правила за защита на информацията. Установени са ясни изисквания както за физически, така и за технологични средства за контрол. Потребителите трябва да поддържат бюрата без изложени чувствителни документи, да заключват екрани, преди да се отдалечат, да съхраняват или унищожават сигурно поверителни материали и да не оставят удостоверителни данни или устройства без надзор. За ИТ е задължително да конфигурира системите за таймери за заключване на екрана с максимум 5 минути, да внедри филтри за поверителност в зони с интензивен трафик и да приложи техническо прилагане за всички крайни точки. Екипите по управление на съоръжения и активи и физическа сигурност осигуряват заключващо се съхранение, шредери и ясна сигнализация, като също така провеждат регулярни обходи за съответствие и обработват нарушения. Отговорностите за прилагане и надзор са разпределени между висше ръководство, директор по информационна сигурност (CISO)/мениджър на СУИС, управление на съоръжения и активи, ИТ операции и преките ръководители, което осигурява многослоен подход към отчетността. Политиката изисква надеждна програма за обучение, въвеждане и периодични опреснителни обучения, за да обучи целия персонал относно рисковете, свързани с оставена без надзор чувствителна информация. Регулярни одити, проследяване на показатели за съответствие (като наблюдавани нарушения и записи за завършено обучение) и строги пътища за ескалация при несъответствие, включително разследване от отдел „Човешки ресурси“ и дисциплинарни мерки, демонстрират ангажимент както към оперативната дисциплина, така и към правната готовност. Налице са и процеси за обработка на изключения и остатъчен риск, които изискват предварително одобрение, документация и допълнителни контроли за всяко отклонение. В обобщение, тази политика обединява поведение на потребителите, дизайн на работното пространство, техническо прилагане и одитни процеси в повторяема рамка, жизненоважна за организационната устойчивост и регулаторното съответствие. Всички актуализации са под контрол на прегледа, комуникират се чрез официални канали и изискват повторно потвърждение за запознаване с политиката. Съгласувани политики за информационна сигурност, управление на риска, боравене с активи, класификация на данни, съхранение, унищожаване и мониторинг допълнително укрепват цялостната система за управление.