Πολιτική καθαρού γραφείου και καθαρής οθόνης

Η Πολιτική καθαρού γραφείου και καθαρής οθόνης (P10) θεσπίζει αυστηρούς ελέγχους ώστε οι ευαίσθητες πληροφορίες να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, αποκάλυψη, απώλεια ή κλοπή σε οποιοδήποτε φυσικό ή υβριδικό περιβάλλον χώρου εργασίας. Υποστηρίζει παγκοσμίως αναγνωρισμένες υποχρεώσεις κανονιστικής συμμόρφωσης όπως ISO/IEC 27001:2022 (ιδίως ρήτρες που αφορούν τη φυσική ασφάλεια και τη συμπεριφορά), άρθρα του GDPR για προστασία δεδομένων και εμπιστευτικότητα, καθώς και άλλα πλαίσια, συμπεριλαμβανομένων των NIST SP 800-53, EU NIS2, EU DORA και COBIT 2019. Η πολιτική έχει ευρύ πεδίο εφαρμογής και εφαρμόζεται καθολικά σε μόνιμους και προσωρινούς εργαζομένους, αναδόχους, τρίτους παρόχους υπηρεσιών και ακόμη και επισκέπτες που ενδέχεται να έχουν πρόσβαση σε εμπιστευτικούς χώρους εργασίας. Ρυθμίζει αυστηρά τη συμπεριφορά σε ατομικά γραφεία, ανοικτούς χώρους, αίθουσες συσκέψεων και απομακρυσμένα ή υβριδικά περιβάλλοντα εργασίας όπως το hot-desking. Στόχος είναι η τυποποίηση της ασφαλούς συμπεριφοράς ώστε όλο το προσωπικό, ανεξαρτήτως ρόλου ή τοποθεσίας εργασίας, να τηρεί τους ίδιους κανόνες για τη διαφύλαξη των πληροφοριών. Καθορίζονται σαφείς απαιτήσεις τόσο για φυσικά όσο και για τεχνολογικά μέσα ελέγχου. Οι χρήστες πρέπει να διατηρούν τα γραφεία χωρίς εκτεθειμένα ευαίσθητα έγγραφα, να κλειδώνουν τις οθόνες πριν απομακρυνθούν, να αποθηκεύουν ή να διαθέτουν με ασφάλεια εμπιστευτικό υλικό και να μην αφήνουν διαπιστευτήρια ή συσκευές χωρίς επίβλεψη. Οι Λειτουργίες Πληροφορικής υποχρεούνται να διαμορφώνουν τα συστήματα με χρονοδιακόπτες κλειδώματος οθόνης έως μέγιστο 5 λεπτά, να αναπτύσσουν φίλτρα ιδιωτικότητας σε περιοχές υψηλής κυκλοφορίας και να εφαρμόζουν τεχνική επιβολή για όλα τα τερματικά σημεία. Οι ομάδες Διαχείρισης Εγκαταστάσεων και Περιουσιακών Στοιχείων και φυσικής ασφάλειας παρέχουν κλειδωμένο αποθηκευτικό χώρο, καταστροφείς εγγράφων και σαφή σήμανση, ενώ διενεργούν επίσης τακτικούς ελέγχους συμμόρφωσης και χειρίζονται παραβιάσεις. Οι αρμοδιότητες επιβολής και εποπτείας κατανέμονται μεταξύ της Εκτελεστικής διοίκησης, του Επικεφαλής Ασφάλειας Πληροφοριών (CISO)/Υπεύθυνου ISMS, της Διαχείρισης Εγκαταστάσεων και Περιουσιακών Στοιχείων, των Λειτουργιών Πληροφορικής και των άμεσων προϊσταμένων, διασφαλίζοντας μια πολυεπίπεδη προσέγγιση λογοδοσίας. Η πολιτική επιβάλλει ένα ισχυρό πρόγραμμα εκπαίδευσης, διαδικασία ένταξης και περιοδική επανεκπαίδευση για την εκπαίδευση όλου του προσωπικού σχετικά με τους κινδύνους που συνδέονται με την αφύλακτη έκθεση ευαίσθητων πληροφοριών. Τακτικοί έλεγχοι, παρακολούθηση μετρήσεων συμμόρφωσης (όπως παρατηρούμενες παραβιάσεις και αρχεία ολοκλήρωσης εκπαίδευσης) και αυστηρές διαδρομές κλιμάκωσης για μη συμμόρφωση, συμπεριλαμβανομένων πειθαρχικών μέτρων από το Ανθρώπινο Δυναμικό (HR), αποδεικνύουν δέσμευση τόσο στην επιχειρησιακή πειθαρχία όσο και στη νομική ετοιμότητα. Η διαχείριση εξαιρέσεων και οι διαδικασίες αποδοχής υπολειπόμενου κινδύνου είναι επίσης σε ισχύ, απαιτώντας προηγμένη έγκριση, τεκμηρίωση και πρόσθετους ελέγχους για οποιαδήποτε απόκλιση. Συνολικά, η πολιτική ενοποιεί τη συμπεριφορά χρηστών, τον σχεδιασμό χώρου εργασίας, την τεχνική επιβολή και τις διαδικασίες ελέγχου σε ένα επαναλήψιμο πλαίσιο ζωτικής σημασίας για την οργανωτική ανθεκτικότητα και την κανονιστική συμμόρφωση. Όλες οι ενημερώσεις υπόκεινται σε απαιτήσεις ανασκόπησης και επικαιροποίησης, κοινοποιούνται μέσω επίσημων διαύλων και απαιτούν εκ νέου βεβαίωση αποδοχής πολιτικής. Ευθυγραμμισμένες πολιτικές για την Πολιτική Ασφάλειας Πληροφοριών, τη Διαχείριση κινδύνων, τον χειρισμό περιουσιακών στοιχείων, την ταξινόμηση δεδομένων, τη διατήρηση, τη διάθεση και την παρακολούθηση ενισχύουν περαιτέρω το συνολικό σύστημα διακυβέρνησης.