Clean desk-politik og clear screen-politik

Clean desk-politik og clear screen-politik (P10) etablerer strenge kontroller for at sikre, at følsomme oplysninger beskyttes mod uautoriseret adgang, videregivelse, tab eller tyveri i ethvert fysisk eller hybrid arbejdsmiljø. Den understøtter globalt anerkendte reguleringsmæssige forpligtelser såsom ISO/IEC 27001:2022 (især klausuler, der adresserer fysisk sikkerhed og sikkerhedsbevidst adfærd), GDPR-artikler om databeskyttelse og fortrolighed samt andre rammeværk, herunder NIST SP 800-53, EU NIS2, EU DORA og COBIT 2019. Denne politik har et bredt ISMS-omfang og gælder universelt for faste og midlertidige medarbejdere, kontrahenter, tredjepartstjenesteudbydere og endda besøgende, der kan have adgang til fortrolige arbejdsområder. Den regulerer adfærd i enkeltkontorer, åbne områder, mødelokaler og fjern- eller hybridarbejdsmiljøer såsom hot-desking. Formålet er at standardisere sikkerhedsbevidst adfærd, så alt personale – uanset rolle eller arbejdssted – skal overholde de samme regler for at beskytte oplysninger. Der fastsættes klare krav til både fysiske kontroller og tekniske kontroller. Brugere skal holde skriveborde fri for synlige følsomme dokumenter, låse skærme, før de forlader pladsen, opbevare eller bortskaffe fortroligt materiale sikkert og ikke efterlade legitimationsoplysninger eller enheder uden opsyn. IT-drift skal konfigurere systemer med skærmlåstimer på maksimalt 5 minutter, udrulle privacy-filtre i områder med høj trafik og implementere teknisk håndhævelse på alle endepunkter. Facilitets- og aktivstyring samt fysisk sikkerhed leverer aflåselig opbevaring, makulatorer og tydelig skiltning og gennemfører regelmæssige compliance-gennemgange samt håndterer overtrædelser. Ansvar for håndhævelse og juridisk tilsyn fordeles mellem øverste ledelse, informationssikkerhedschef (CISO)/ISMS-ansvarlig, faciliteter, IT-drift og linjeleder, hvilket sikrer en lagdelt tilgang til beføjelser og ansvarlighed. Politikken kræver et robust program for sikkerhedsbevidsthedstræning, onboarding og periodisk genopfriskningstræning for at uddanne alt personale om risici ved uovervågede følsomme oplysninger. Regelmæssige audits, sporing af effektivitetsmålinger (såsom observerede overtrædelser og registreringer af gennemført træning) og klare eskaleringskanaler for manglende overholdelse, herunder HR-disciplinære foranstaltninger, demonstrerer en forpligtelse til både driftsdisciplin og juridisk parathed. Undtagelseshåndtering og processer for restrisiko er også etableret og kræver avanceret godkendelse, dokumentation og yderligere kontroller ved enhver afvigelse. Samlet set forener denne politik brugeradfærd, arbejdsområdedesign, teknisk håndhævelse og revisionsprocesser i et gentageligt rammeværk, der er afgørende for organisatorisk robusthed og overholdelse af lovgivningen. Alle opdateringer er underlagt krav til gennemgang og opdatering, kommunikeres via officielle kanaler og kræver fornyet bekræftelse af politik. Relaterede politikker om informationssikkerhedspolitik, informationssikkerhedsrisikostyring, datahåndtering, dataklassificering, dataopbevaringspolitik, bortskaffelse og overvågning styrker yderligere det samlede styringssystem.