Clean desk- og clear screen-politik – SMV

Clean desk- og clear screen-politikken (P10S) er en central driftsretningslinje, der er udformet til små og mellemstore virksomheder (SMV'er), som skal sikre fortrolighed og opretholde overholdelse af lovgivningen, herunder ISO/IEC 27001:2022. Da det er en SMV-politik, som angivet af 'S' i dokumentnummeret og udpegningen af den administrerende direktør som politikejer, er den særligt tilpasset organisationer, der kan mangle dedikerede IT- eller sikkerhedsstyringsteams. Politikkens kerneformål er tydeligt at beskrive praktiske, håndhævelige adfærdskrav og tekniske kontroller, der beskytter følsomme oplysninger, uanset arbejdssted eller organisatoriske ressourcer. Grundlæggende kræver denne politik, at alle medarbejdere, kontraktansatte og midlertidigt personale beskytter fysiske og digitale arbejdsområder ved at sikre, at ingen fortrolige oplysninger forbliver synlige, uden opsyn eller utilstrækkeligt sikrede. Omfanget dækker bredt fysiske kontorer, delte arbejdsområder, coworking-miljøer og fjern-/hjemmebaserede arbejdsmiljøer. Den gælder for alle papir- og digitale aktiver, såsom dokumenter, udskrifter, håndskrevne noter, flytbare medier, computere og mobile enheder. Ved at inkludere denne bredde adresserer politikken moderne arbejdsmønstre, samtidig med at den fastholder et skarpt fokus på risikoreduktion. Roller og ansvar er tydeligt strømlinet til en SMV-kontekst. Den administrerende direktør har det fulde ejerskab og er ansvarlig for politikkommunikation, træning, godkendelse af undtagelser og gennemførelse af kvartalsvise compliance-kontroller af arbejdsområder. Yderligere opgaver kan delegeres til udpeget personale, såsom opsætning af skærmlåsindstillinger eller distribution af fysiske opbevaringshjælpemidler. Designet sikrer dog effektivitet selv uden formelle IT- eller compliance-afdelinger. Alt personale holdes ansvarligt for de enkle, men væsentlige krav: at låse skærme, når de er uden opsyn, sikre alt fortroligt materiale, undgå udelukkende at basere sig på digitale kontroller og rapportere potentielle risici eller manglende overholdelse. Politikkens mål er tæt knyttet til både driftsmæssig risikoreduktion og reguleringsmæssige forpligtelser. Klare, praktiske regler etablerer et grundlag: automatisk lås af arbejdsstation efter fem minutter, sikker opbevaring af dokumenter ved arbejdsdagens afslutning, øjeblikkelig afhentning af følsomme udskrifter og skiltning, der understøtter bevidstgørelse. Den administrerende direktør er også ansvarlig for onboarding og bevidstgørelsestræning, logning af compliance-aktiviteter og eskaleringer i tilfælde af hændelse eller brud. Vigtigt er det, at politikkens udformning understøtter en kultur af årvågenhed og ansvarlighed med fokus på opnåelige kontroller inden for en ressourcebegrænset SMV's kapacitet, samtidig med at den bevarer tilpasninger, såsom Annex A-kontrol 7.7 i ISO/IEC 27001 og GDPR artikel 32. Den overordnede struktur gør det muligt for SMV'er at demonstrere leverandør-due diligence under revisioner og effektivt at afbøde fysiske og informationsmæssige risici fra intern fejlhåndtering eller eksterne trusler såsom besøgende eller kontraktansatte. Realistiske undtagelsesprocesser, tilpassede kontroller for fjernarbejdere og definerede disciplinære reaktioner sikrer både klarhed og troværdighed. Politikken indeholder koblinger til andre kritiske politikker (f.eks. Politik for informationssikkerhedsbevidsthed og -uddannelse, Adgangskontrolpolitik, Politik for hændelseshåndtering (P30)), som tilsammen udgør en kortfattet, sammenhængende ramme for cyberhygiejne, der er ideel for mindre organisationer.