Zásady přípustného užívání (AUP) – SME

Zásady přípustného užívání (AUP) – verze SME (dokument P03S) jsou navrženy tak, aby stanovily jasné, praktické a vymahatelné standardy pro odpovědné užívání firemních IT zdrojů v rámci malých a středních podniků (SME). Jejich hlavním cílem je zajistit, aby všechny osoby, včetně zaměstnanců, dodavatelů, dočasných pracovníků a dokonce i poskytovatelů služeb třetích stran, plně rozuměly svým povinnostem a očekávanému chování při přístupu k informačním systémům organizace, ať už na pracovišti, na dálku nebo v hybridním pracovním prostředí. Tato politika je výslovně přizpůsobena pro SME, což je patrné z použití obecných manažerských rolí, jako je generální ředitel, namísto specializovaných IT nebo bezpečnostních funkcionářů. Díky tomu je přístupná organizacím bez vyhrazených interních týmů IT nebo bezpečnosti, které přesto usilují o důsledný soulad s ISO/IEC 27001:2022. AUP komplexně vymezuje, co představuje přípustné versus nepřípustné používání zařízení ve vlastnictví společnosti, osobních zařízení (využívání soukromých zařízení (BYOD)), sítí, cloudových platforem a všech používaných softwarových nástrojů. Podrobně popisuje mechanismy správy, jako jsou inventáře schváleného hardwaru, protokolů a softwaru, požadavky na předchozí schválení a bezpečnou konfiguraci BYOD a vedení záznamů aktivit pro dohledání porušení nebo incidentů. Monitorování provádí manažer IT nebo autorizovaný externí poskytovatel, vždy však v mezích legitimních obchodních zájmů a platných právních předpisů na ochranu soukromí. Tento přístup vyvažuje bezpečnost, soukromí a organizační proveditelnost. Politika dále stanoví komplexní rámec ošetření rizik a správy výjimek: rizika, jako je infekce malwarem, porušení zabezpečení dat a poškození dobré pověsti v důsledku zneužití, jsou zmírňována prostřednictvím vrstvených technických opatření a programů zvyšování povědomí uživatelů. Žádosti o výjimku, například pro použití neschválených nástrojů, musí být formálně dokumentované, podrobené posouzení rizik, časově omezené a výslovně schválené, typicky generálním ředitelem nebo poskytovatelem IT. Silný důraz na dokumentaci, spouštěče přezkumu a každoroční přezkoumání politiky zajišťuje, že politika zůstává účinná s vývojem technologií, hrozeb a právních požadavků. Ustanovení o vynucování jsou robustní. Všechna podezření nebo pozorovaná porušení musí být neprodleně hlášena, s jasnou eskalací na manažera IT nebo generálního ředitele. Opatření vynucování mohou zahrnovat uzamčení systému nebo přístupu, ústní nebo písemná varování a dokonce i ukončení smlouvy jak pro personál, tak pro poskytovatele služeb třetích stran. Smluvně závazná povaha politiky pro třetí strany zajišťuje konzistentní uplatňování bezpečnostních standardů napříč dodavatelským řetězcem organizace. Nakonec integrace AUP s dalšími klíčovými politikami pro SME – Politika řízení přístupu, Politika povědomí o bezpečnosti informací a školení, Politika práce na dálku, Ochrana údajů a Politika reakce na incidenty (P30) – zajišťuje komplexní pokrytí bezpečnostních odpovědností. Výsledkem je snadno implementovatelný rámec sladěný s ISO 27001:2022 pro společnosti usilující o soulad a snižování rizik i bez rozsáhlých útvarů IT nebo bezpečnosti.