Politika práce na dálku

Politika práce na dálku (P09) poskytuje komplexní rámec pro řízení vzdáleného přístupu a zmírňování jedinečných rizik spojených s distribuovanými pracovními prostředími. Je určena pro veškerý personál, včetně zaměstnanců na plný úvazek, na částečný úvazek, smluvních pracovníků, poskytovatelů služeb třetích stran, konzultantů, dodavatelů a projektových týmů, kteří jsou oprávněni vykonávat pracovní povinnosti mimo podnikové prostory. Politika je účinná napříč všemi geografickými oblastmi a časovými pásmy, kde organizace působí, a zajišťuje jednotný základní soubor bezpečnostních opatření bez ohledu na to, kde a kdy práce na dálku probíhá. Jejím hlavním účelem je udržet důvěrnost, integritu a dostupnost organizačních informačních aktiv, ke kterým se přistupuje nebo se s nimi nakládá mimo pracoviště. Politika toho dosahuje zavedením robustních technických a procesních kontrolních opatření, jako je povinné šifrování, silná autentizace (včetně vícefaktorové autentizace), ochrana koncových bodů a zabezpečené přístupové kanály, jako je virtuální soukromá síť (VPN) nebo vzdálené plochy. Je úzce sladěna s požadavky ISO/IEC 27001:2022, včetně Přílohy A, opatření 6.7, které se zaměřuje na bezpečné podmínky práce na dálku, a zajišťuje, že jsou řešeny fyzický přístup i logický přístup. Kontroly rovněž reagují na odvětvové regulace, jako je NIST SP 800-53 (pro řízení přístupu a kryptografické ochrany), GDPR a NIS2 (pro zabezpečení dat a ochranu osobních údajů) a DORA (pro odolnost finančních ICT). Konkrétní části politiky vymezují pravomoci a odpovědnosti napříč výkonným vedením, vedením informační bezpečnosti (ředitel informační bezpečnosti (CISO)/manažer ISMS), provozem IT, HR, přímými nadřízenými, právním a compliance a samotným personálem pracujícím na dálku. Například IT má za úkol nasazovat a podporovat bezpečnou infrastrukturu, sledovat soulad zařízení a udržovat auditní záznamy. Zaměstnanci a smluvní pracovníci pracující na dálku musí dodržovat pravidla bezpečného používání zařízení, schválené metody přístupu, pravidla nakládání s daty a neprodleně hlásit jakékoli incidenty informační bezpečnosti nebo ztrátu zařízení. Politika přísně zakazuje vzdálený přístup jinak než prostřednictvím autorizovaných konfigurací a vyžaduje, aby všechna zařízení, podniková i soukromá zařízení (BYOD), splňovala základní bezpečnost (konfigurace, záplatování, šifrování, ochrana proti malwaru) a požadavky na registraci. Mechanismy správy v rámci politiky řeší ošetření rizik, správu výjimek a vynucování přísně. Kategorie rizik, jako je krádež přihlašovacích údajů, exfiltrace dat, vnitřní hrozby, regulační porušení a kompromitace malwarem, jsou přímo řešeny vrstvenými kontrolami: řízením přístupu na základě rolí, upozorňováním SIEM, zabezpečením koncových bodů, pravidly nakládání s daty a školením uživatelů. Dále musí být všechny výjimky schváleny CISO, zdokumentovány a pravidelně přezkoumávány. Průběžný dohled je udržován prostřednictvím monitorování, centralizovaného protokolování a definovaných auditních procesů. Porušení politiky podléhá odebrání přístupu, disciplinárním opatřením, ukončení smlouvy nebo právním krokům. Politika se také úzce integruje se souvisejícími politikami, včetně politiky bezpečnosti informací, zásad přípustného užívání, politiky řízení přístupu, rámce pro řízení rizik, správy aktiv, politiky uchovávání údajů a likvidace a politiky protokolování a monitorování, aby vytvořila end-to-end model správy práce na dálku. Její každoroční nebo událostmi řízený cyklus přezkumu zajišťuje reakceschopnost na vyvíjející se hrozby, regulační změny nebo technologický pokrok, přičemž všechny aktualizace jsou formálně komunikovány a potvrzení seznámení s politikou je vyžadováno. Tím se konzistentně vynucuje bezpečný, vyhovující a spolehlivý provoz napříč všemi scénáři práce na dálku.