Politika čistého stolu a čisté obrazovky

Politika čistého stolu a čisté obrazovky (P10) zavádí přísná opatření k zajištění, aby byly citlivé informace chráněny před neoprávněným přístupem, zveřejněním, ztrátou nebo krádeží v jakémkoli fyzickém nebo hybridním pracovním prostředí. Podporuje globálně uznávané regulační povinnosti, jako je ISO/IEC 27001:2022 (zejména ustanovení týkající se fyzické bezpečnosti a bezpečnostně uvědomělého chování), články GDPR o ochraně údajů a důvěrnosti a další rámce včetně NIST SP 800-53, EU NIS2, EU DORA a COBIT 2019. Tato politika má široký rozsah a vztahuje se univerzálně na stálé i dočasné zaměstnance, dodavatele, poskytovatele služeb třetích stran a dokonce i návštěvníky, kteří mohou mít přístup do důvěrných pracovních prostor. Přísně upravuje chování v individuálních kancelářích, otevřených prostorech, zasedacích místnostech a v prostředích práce na dálku nebo hybridní práce, jako je hot-desking. Cílem je standardizovat bezpečné chování tak, aby veškerý personál bez ohledu na roli nebo místo výkonu práce dodržoval stejná pravidla pro ochranu informací. Jsou stanoveny jasné požadavky jak pro fyzická, tak pro technická opatření. Uživatelé musí udržovat stoly bez vystavených citlivých dokumentů, uzamykat obrazovky před odchodem, bezpečně ukládat nebo likvidovat důvěrné materiály a nenechávat přihlašovací údaje ani zařízení bez dozoru. Provoz IT má povinnost konfigurovat systémy tak, aby časovače uzamčení obrazovky byly nastaveny na maximálně 5 minut, nasazovat filtry soukromí ve vysoce frekventovaných oblastech a zavést technické vynucování pro všechny koncové body. Týmy správy budov a majetku a fyzická bezpečnost poskytují uzamykatelné úložiště, skartovačky a jasné značení a zároveň provádějí pravidelné kontrolní průchody souladu a řeší porušení. Odpovědnosti za vynucování a dohled jsou rozděleny mezi vrcholové vedení, ředitele informační bezpečnosti (CISO)/manažera ISMS, správu budov a majetku, provoz IT a přímé nadřízené, což zajišťuje vrstvený přístup k odpovědnosti. Politika nařizuje robustní program školení, onboardingu a pravidelného opakovacího školení, aby vzdělávala veškerý personál o rizicích spojených s ponecháním citlivých informací bez dozoru. Pravidelné audity, sledování metrik souladu (např. pozorovaná porušení a záznamy o absolvování školení) a přísné eskalační cesty pro nesoulad, včetně disciplinárních opatření HR, prokazují závazek k provozní disciplíně i právní připravenosti. Ošetření výjimek a procesy zbytkového rizika jsou rovněž zavedeny a vyžadují pokročilé schválení, dokumentaci a dodatečná opatření pro jakoukoli odchylku. Komplexně tato politika sjednocuje chování uživatelů, návrh pracoviště, technické vynucování a auditní procesy do opakovatelného rámce, který je zásadní pro odolnost organizace a soulad s právními předpisy. Všechny aktualizace podléhají řízení přezkumu, jsou komunikovány prostřednictvím oficiálních kanálů a vyžadují opětovné potvrzení seznámení s politikou. Navazující politiky v oblasti politiky bezpečnosti informací, řízení rizik bezpečnosti informací, nakládání s aktivy, klasifikace dat, uchovávání, likvidace a monitorování dále posilují celkový systém správy a řízení.