Hyväksyttävän käytön politiikka – SME

Hyväksyttävän käytön politiikka (AUP) – SME-versio (asiakirja P03S) on suunniteltu luomaan selkeät, käytännölliset ja täytäntöönpantavat standardit yrityksen tarjoamien IT-resurssien vastuulliselle käytölle pienissä ja keskisuurissa yrityksissä (SME). Sen ensisijainen tavoite on varmistaa, että kaikki henkilöt – mukaan lukien työntekijät ja urakoitsijat, määräaikainen henkilöstö ja jopa kolmannen osapuolen palveluntarjoajat – ymmärtävät velvoitteensa ja käyttäytymisodotukset käyttäessään organisaation järjestelmiä omissa tiloissa, etänä tai hybridiympäristöissä. Politiikka on nimenomaisesti räätälöity pk-yrityksille: siinä hyödynnetään yleisiä johtamisrooleja, kuten toimitusjohtajaa, erikoistuneiden IT- tai tietoturvajohtajien sijaan. Tämä tekee politiikasta saavutettavan organisaatioille, joilla ei ole omistautuneita sisäisiä IT- tai tietoturvatiimejä, mutta jotka tavoittelevat tiukkaa ISO/IEC 27001:2022 -vaatimustenmukaisuutta. Kokonaisuutena AUP määrittää, mikä on hyväksyttävää ja mikä ei ole hyväksyttävää käyttöä yrityksen omistamille laitteille, henkilökohtaisille laitteille omien laitteiden käyttö (BYOD) -järjestelyissä, verkoille, pilvialustoille ja kaikille käytössä oleville ohjelmistotyökaluille. Se kuvaa laajasti hallintotavan mekanismeja, kuten hyväksyttyjen laitteistojen ja protokollien sekä ohjelmistojen luettelot, BYOD-laitteiden ennakkohyväksynnän ja Turvallinen konfigurointi -vaatimukset sekä toimintalokit rikkomusten tai poikkeamien jäljittämiseksi. Seuranta toteutetaan IT Managerin tai valtuutetun ulkoisen palveluntarjoajan toimesta, mutta aina oikeutettujen liiketoimintaetujen ja sovellettavien tietosuojalakien rajoissa. Tämä lähestymistapa tasapainottaa turvallisuuden, tietosuojan ja organisaation toteutettavuuden. Politiikka määrittää myös kattavan riskien käsittely- ja poikkeuskehyksen: väärinkäytöstä aiheutuvia riskejä, kuten haittaohjelmatartunta, tietoturvaloukkaukset ja mainevahinko, lievennetään kerroksellisilla teknologiset hallintakeinot -ratkaisuilla ja tietoturvatietoisuuskoulutus-toimilla. Poikkeuspyynnöt, kuten luvattomien ohjelmistojen käyttö, on dokumentoitava muodollisesti, arvioitava riskien arviointi -menettelyllä, rajattava aikarajoitetun käyttöoikeuden -periaatteella ja hyväksyttävä nimenomaisesti, tyypillisesti toimitusjohtajan tai IT-palveluntarjoajan toimesta. Vahva painotus dokumentaatioon, katselmointi- ja päivitysvaatimukset -laukaisimiin sekä vuosittaiseen uudelleenarviointiin varmistaa, että politiikka pysyy tehokkaana teknologioiden, uhkien ja lakisääteiset velvoitteet -vaatimusten kehittyessä. Täytäntöönpano on vahvaa. Kaikki epäillyt tai havaitut rikkomukset on raportoitava viipymättä, ja eskalointi on selkeä IT Managerille tai toimitusjohtajalle. Täytäntöönpanotoimet voivat sisältää järjestelmän tai pääsynhallinta -lukituksen, suulliset tai kirjalliset varoitukset sekä sopimuksen päättämisen sekä henkilöstölle että kolmannen osapuolen palveluntarjoajille. Politiikan sopimuksenmukaisuus-luonne kolmansille osapuolille varmistaa tietoturvastandardien johdonmukaisen soveltamisen organisaation toimitusketjussa. Lopuksi AUP:n integraatio muihin pk-yrityksen ydinpolitiikkoihin – pääsynhallintapolitiikka, tietoturvatietoisuus- ja koulutuspolitiikka, etätyöpolitiikka, tietosuojapolitiikat ja Tietoturvapoikkeamiin reagoinnin politiikka (P30) – varmistaa kokonaisvaltaisen kattavuuden tietoturvavastuista. Tuloksena on helposti käyttöönotettava, ISO 27001:2022 -linjattu viitekehys organisaatioille, jotka tavoittelevat vaatimustenmukaisuutta ja riskien vähentämistä myös ilman suuria IT- tai tietoturvaosastoja.