Lubatud kasutuse poliitika – VKE

Lubatud kasutuse poliitika (AUP) – VKE versioon (dokument P03S) on loodud selleks, et kehtestada selged, praktilised ja jõustatavad standardid ettevõtte poolt pakutavate IT-ressursside vastutustundlikuks kasutamiseks väikestes ja keskmise suurusega ettevõtetes (VKE-d). Selle peamine fookus on tagada, et kõik isikud, sh töötajad, töövõtjad, ajutine personal ja ka kolmanda osapoole teenuseosutajad, mõistaksid täielikult oma kohustusi ja käitumisootusi organisatsiooni süsteemidele juurdepääsul, olgu see kohapealne, kaugjuurdepääs või hübriidne töö. See poliitika on selgesõnaliselt kohandatud VKE-dele, mida näitab üldiste juhtimisrollide (nt tegevjuht) kasutamine spetsialiseeritud IT- või turbejuhtide asemel, muutes selle kättesaadavaks organisatsioonidele, kellel puuduvad pühendunud ettevõttesisesed IT- või infoturbemeeskonnad, kuid kes soovivad ranget vastavust ISO/IEC 27001:2022-ga. AUP määratleb terviklikult, mis on lubatud ja mis keelatud ettevõtte omandis olevate seadmete, isiklike seadmete (oma seadme kasutamine (BYOD)), võrkude, pilvplatvormide ja kõigi kasutatavate tarkvaratööriistade puhul. See kirjeldab ulatuslikult juhtimismehhanisme, nagu heakskiidetud riistvara ja protokollid ning tarkvara inventarid, BYOD-i eelneva heakskiidu ja turvalise seadistamise nõuded ning tegevuslogide säilitamine rikkumiste või intsidentide jälgitavuse tagamiseks. Seiret teostab IT-juht või volitatud väline teenuseosutaja, kuid alati õigustatud äriliste huvide ja kohaldatavate andmekaitse õigusaktide piirides. See lähenemine tasakaalustab turvalisust, andmekaitset ja organisatsioonilist teostatavust. Poliitika sätestab ka tervikliku riski käsitlemise ja erandite raamistiku: väärkasutusest tulenevaid riske, nagu pahavara nakatumine, andmerikkumine ja mainekahju, maandatakse kihiliste tehniliste kontrollimeetmete ja turvateadlikkuse kaudu. Eranditaotlused, näiteks heakskiitmata tööriistade või autoriseerimata tarkvara kasutamine, peavad olema ametlikult dokumenteeritud, riskihindamise läbinud, ajaliselt piiratud ja selgesõnaliselt heaks kiidetud, tavaliselt tegevjuhi või IT-teenuseosutaja poolt. Tugev rõhk dokumentatsioonile, läbivaatamise päästikutele ja iga-aastasele poliitika kordushindamisele tagab, et poliitika püsib tõhus, kui tehnoloogiad, ohud ja õiguslikud nõuded muutuvad. Jõustamise sätted on tugevad. Kõik kahtlustatavad või täheldatud rikkumised tuleb viivitamata raporteerida, selge eskaleerimisega IT-juhi või tegevjuhi suunas. Jõustamismeetmed võivad hõlmata süsteemi või juurdepääsu lukustamist, suulisi või kirjalikke hoiatusi ning isegi lepingu lõpetamist nii personalile kui ka kolmandatele osapooltele. Poliitika lepinguliselt siduv iseloom kolmandate isikute jaoks tagab turvastandardite järjepideva rakendamise kogu organisatsiooni tarneahelas. Lõpuks tagab AUP integreeritus teiste VKE põhipoliitikatega — juurdepääsukontrolli poliitika, infoturbe teadlikkuse ja koolituse poliitika, kaugtööpoliitika, andmekaitsepoliitikad ning intsidentidele reageerimise poliitika (P30) — turvakohustuste tervikliku katvuse. Tulemuseks on lihtsasti rakendatav, ISO 27001:2022-ga kooskõlas raamistik ettevõtetele, kes soovivad vastavust ja riskide vähendamist ka ilma suurte IT- või infoturbeosakondadeta.