Puhta laua ja puhta ekraani poliitika

Puhta laua ja puhta ekraani poliitika (P10) kehtestab ranged kontrollimeetmed, et tagada tundliku teabe kaitse volitamata juurdepääsu, avalikustamise, kaotsimineku või varguse eest mis tahes füüsilises või hübriidses töökeskkonnas. See toetab ülemaailmselt tunnustatud regulatiivseid kohustusi, nagu ISO/IEC 27001:2022 (eriti sätted, mis käsitlevad füüsilist turvet ja turvateadlikku käitumist), GDPR-i artiklid andmekaitse ja konfidentsiaalsuse kohta ning muud raamistikud, sh NIST SP 800-53, EL NIS2, EL DORA ja COBIT 2019. Selle poliitika kohaldamisala on lai, hõlmates universaalselt alalisi ja ajutisi töötajaid, töövõtjaid, kolmanda osapoole teenuseosutajaid ning isegi külastajaid, kellel võib olla juurdepääs konfidentsiaalsetele tööruumidele. See reguleerib rangelt käitumist individuaalkabinettides, avatud kontorites, koosolekuruumides ning kaug- või hübriidtöökeskkondades, nagu hot-desking. Eesmärk on standardida turvateadlik käitumine nii, et kogu personal peab sõltumata rollist või tööasukohast järgima samu reegleid teabe kaitsmiseks. Selged nõuded on kehtestatud nii füüsiliste kui ka tehniliste kontrollimeetmete jaoks. Kasutajad peavad hoidma töölauad vabana nähtavale jäetud tundlikest dokumentidest, lukustama ekraanid enne eemale astumist, hoiustama või kõrvaldama konfidentsiaalseid materjale turvaliselt ning mitte jätma autentimistunnuseid või seadmeid järelevalveta. IT-operatsioonid on kohustatud seadistama süsteemid nii, et ekraaniluku taimer oleks maksimaalselt 5 minutit, juurutama privaatsusfiltrid suure liiklusega alades ning rakendama tehnilist jõustamist kõigis lõppseadmetes. Rajatiste ja varade haldus ning füüsilise turbe meeskonnad tagavad lukustatava hoiustamise, purustid ja selge märgistuse, teostavad regulaarseid vastavuse kontrollkäike ning käsitlevad rikkumisi. Jõustamise ja järelevalve vastutused on jaotatud juhtkonna, infoturbejuhi/ISMS-i juhi, rajatiste, IT ning vahetute juhtide vahel, tagades kihilise lähenemise volitustele ja aruandekohustusele. Poliitika nõuab tugevat teadlikkuse ja koolituse raamistikku, sisseelamist ning perioodilist täiendkoolitust, et harida kogu personali järelevalveta jäetud tundliku teabega seotud riskidest. Regulaarsed auditid, vastavuse mõõdikute jälgimine (nt täheldatud rikkumised ja koolituse läbimise kirjed) ning ranged eskalatsioonikanalid mittevastavuse korral, sh personali (HR) distsiplinaarmeetmed, näitavad pühendumust nii operatiivsele distsipliinile kui ka õiguslikule kaitsele. Erandite käsitlemine ja jääkriski protsessid on samuti paigas, nõudes eelnevat heakskiitu, dokumentatsiooni ja täiendavaid kontrollimeetmeid mis tahes kõrvalekalde korral. Kokkuvõttes ühendab see poliitika kasutajakäitumise, tööruumi kujunduse, tehnilise jõustamise ja auditeerimisprotsessid korratavaks raamistikuks, mis on oluline organisatsiooni vastupidavuse ja õigusnormidele vastavuse jaoks. Kõik uuendused on läbivaatamise ja ajakohastamise nõuete alusel kontrollitud, edastatud ametlike kanalite kaudu ning nõuavad poliitikaga tutvumise kinnituse uuendamist. Kooskõlas olevad poliitikad, nagu infoturbepoliitika, riskijuhtimise protsess, varade käitlemine, andmete klassifitseerimine, säilitamine, kõrvaldamine ning logimis- ja seirepoliitika, tugevdavad veelgi üldist juhtimissüsteemi.