policy Enterprise

Hyväksyttävän käytön politiikka

Määrittelee ja toimeenpanee IT-resurssien luvallisen käytön, suojaa tietoja ja varmistaa turvallisen, vastuullisen käyttäjäkäyttäytymisen kaikissa organisaation tietojärjestelmissä.

Yleiskatsaus

Tämä hyväksyttävän käytön politiikka määrittelee säännöt yrityksen IT-resurssien asianmukaiselle käytölle ja kattaa käyttäjäkäyttäytymisen, kielletyt toimet, teknisen täytäntöönpanon, raportoinnin ja vaatimustenmukaisuuden alan keskeisten tietoturvastandardien mukaisesti.

Kattavat käyttäjäkontrollit

Kattaa kaikki käyttäjätyypit ja laitteet minimoidakseen yrityksen IT-omaisuuserien väärinkäytön, huolimattomuuden ja väärinkäytön.

Riskiperusteinen täytäntöönpano

Yhdistää tekniset suojatoimet ja selkeät käyttäjävelvoitteet käyttäytymiseen perustuvien tietoturvariskien vähentämiseksi.

Integroitu tietoisuus ja koulutus

Edellyttää politiikan hyväksyntää ja säännöllistä koulutusta turvallisen ja eettisen järjestelmien käytön vahvistamiseksi.

Laki- ja sääntelyvaatimusten yhdenmukaisuus

Täyttää ISO/IEC 27001:n, GDPR:n, NIS2:n ja muiden vaatimukset auditointivalmiiseen vaatimustenmukaisuuteen.

Lue koko yleiskatsaus
Hyväksyttävän käytön politiikka (AUP) määrittää standardit organisaation tietojärjestelmien, teknologiaresurssien ja tietovarallisuuden vastuulliselle, turvalliselle ja lainmukaiselle käytölle. Yleistavoitteena on määritellä sekä hyväksyttävät että kielletyt toiminnot, kun käytetään yrityksen laskentaresursseja, mukaan lukien työasemat, mobiililaitteet, palvelimet, pilvipalvelut ja verkot. Tämä politiikka varmistaa, että kaikki käyttäjät – työntekijät ja urakoitsijat sekä kolmannen osapuolen toimittajat – ovat tietoisia vastuistaan organisaation tietovarallisuuden luottamuksellisuuden, eheyden ja saatavuuden suojaamisessa. Politiikan mukaan soveltamisala on kattava ja koskee jokaista henkilöä ja tahoa, jolle on myönnetty pääsy, sekä kaikkia teknologian ja yrityksen datan muotoja. Se koskee yhtä lailla yritystoimistoja, etätyöjärjestelyjä ja kenttäsijainteja. Perinteisten IT-käyttäjien lisäksi myös omien laitteiden käyttö (BYOD) -järjestelyissä tai hybridiympäristöjen kautta toimivien on noudatettava sitä. Jokaisen käyttäjän on annettava politiikan hyväksyntä järjestelmä- ja datapääsyn ennakkoehtona, ja tämä hyväksyntä säilytetään auditointi- ja vaatimustenmukaisuustarkoituksiin. Politiikan tavoitteet korostavat selkeiden rajojen asettamista sallittujen ja kiellettyjen toimien välille. Se edellyttää luvattoman pääsyn tai tietovuotojen ehkäisyä käyttäytymislähtöisten uhkien osalta, kuten huolimattoman käytön, luvattomien ohjelmistojen asennuksen tai turvakontrollien kiertämisen. Vaatimustenmukaisuuden varmistamiseksi roolit ja vastuut määritellään: ylin johto (politiikan hyväksyntä ja valvonta), IT- ja tietoturvatiimit (tekninen täytäntöönpano, seuranta, tutkinta), esihenkilöt (paikallinen valvonta, vähäisten rikkomusten käsittely), henkilöstö- ja lakiasiat (kurinpitotoimet, politiikan lainmukaisuus) sekä kaikki käyttäjät (eettinen käyttö, poikkeamien raportointi, todennustietojen suojaaminen). Hallintotapa ja täytäntöönpanotoimet on suunniteltu huolellisesti. Käyttäjien on osallistuttava muodolliseen kuittaukseen ja toistuviin koulutuksiin, mikä vahvistaa tietoisuutta ja eettistä käyttäytymistä. IT- ja tietoturvatiimit toteuttavat verkkosuodatuksen sekä verkko- ja sähköpostisuodatusjärjestelmät, päätelaitesuojaus- ja seurantajärjestelmät sääntöjen tekniseksi toimeenpanoksi, ja säännölliset katselmoinnit varmistavat kontrollien tehokkuuden. Kielletyt toiminnot on lueteltu eksplisiittisesti, mukaan lukien luvaton pääsy, haittaohjelmien käyttöönotto, henkilökohtaiseen taloudelliseen hyötyyn käyttö, liiallinen käyttö sekä yritykset ohittaa todennusmekanismit tai muut turvallisuusmekanismit. Lisäksi omien laitteiden käyttöä (BYOD), salaus- ja etätyökäytäntöjä käsitellään tiukasti, ja laite- ja tietoturvalle asetetaan tekniset ja menettelylliset vaatimukset. Tietoturvapoikkeamiin reagointimekanismit edellyttävät, että käyttäjät raportoivat tietoturvatapahtumat, luvattoman pääsyn tai laitteen katoamisen viipymättä virallisten kanavien kautta. Rikkomuksiin vastataan suhteutetuilla kurinpitotoimilla – kohdennetusta uudelleenkoulutuksesta ja käyttöoikeuksien keskeyttämisestä työsuhteen päättämiseen tai laki- ja sääntelyasioiden eskalointitoimiin – ja kaikki dokumentoidaan oikeudellisia ja auditointitarkoituksia varten. Politiikka suojaa myös väärinkäytösten ilmoitusmekanismin kautta ilmoittavien anonymiteettiä ja kieltää vastatoimet, mikä tukee vastuuvelvollisuuden kulttuuria. ISO/IEC 27001:2022:n (lauseke 5.10 ja valitut liitteen A hallintakeinot), NIST SP 800-53:n, EU GDPR:n, NIS2:n, EU DORA:n ja COBIT 2019:n kaltaisten tunnustettujen kansainvälisten standardien mukaisesti AUP on rakennettu kestämään vaatimustenmukaisuuden, oikeudellisten ja auditoinnin tarkastelun. Sitä ohjaavat määritellyt katselmointijaksot, versiointi ja dokumentaatiovaatimukset, jotta se pysyy relevanttina riskien kehittyessä ja sääntely-ympäristön muuttuessa. Lisäksi politiikka linkittyy nimenomaisesti keskeisiin liittyviin politiikkoihin, kuten pääsynhallintaan, riskienhallintaan ja etätyöhön, varmistaen kokonaisvaltaisen ja kerroksellisen lähestymistavan organisaation kyberriskien hallintotapaan.

Käytäntökaavio

Hyväksyttävän käytön politiikka -kaavio, joka havainnollistaa käyttäjän käyttöönotto-vaiheen kuittauksen, teknisten kontrollien täytäntöönpanon, poikkeamien raportoinnin, poikkeusten hallinnan hallintotavan sekä moniroolisen kurinpitotoimenpiteiden ja eskalointipolun.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja toimintaohjeet

Käyttäjäkäyttäytyminen ja käyttöoikeussäännöt

Kiellettyjen toimintojen luettelo

Omien laitteiden käyttö (BYOD) ja etäkäytön vaatimukset

Tietoturvapoikkeamiin reagointi ja poikkeamien raportointi

Poikkeus- ja kurinpitomenettely

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
5.10Annex A 6.1Annex A 6.2Annex A 8.1Annex A 8.12
ISO/IEC 27002:2022
6.16.28.18.12
NIST SP 800-53 Rev.5
AC-19AC-20PL-4AT-2AU-2AU-12
EU GDPR
Article 5(1)(f)Article 32Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5
COBIT 2019
APO07BAI05DSS05MEA01

Liittyvät käytännöt

P01 Tietoturvapolitiikka

Määrittää perustason käyttäytymisodotukset ja ylimmän johdon sitoutumisen hyväksyttävään käyttöön.

Pääsynhallintapolitiikka

Määrittää käyttäjiin, järjestelmiin ja datapääsyyn liittyvät käyttöoikeudet ja käyttöoikeudet, ja toimeenpanee suoraan hyväksyttävän käytön rajat.

Risk Management Policy

Käsittelee käyttäytymiseen liittyviä riskejä ja tukee käyttäjälähtöisiin uhkiin liittyvää seurantaa ja riskien käsittelytoimia.

Perehdytys- ja työsuhteen päättämispolitiikka

Varmistaa, että hyväksyttävän käytön ehdot kuitataan käyttöönotto-vaiheessa ja käyttöoikeuksien peruminen tehdään poistumisen yhteydessä.

Etätyöpolitiikka

Laajentaa hyväksyttävän käytön määräykset etä- ja hybridiympäristöjen työympäristöihin.

Tietoa Clarysecin käytännöistä - Hyväksyttävän käytön politiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia: se vaatii selkeyttä, vastuuvelvollisuutta ja rakennetta, joka skaalautuu organisaatiosi mukana. Geneeriset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu toimimaan tietoturvaohjelmasi operatiivisena selkärankana. Määritämme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT-turvallisuus ja asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon toimeenpanna, auditoida yksittäisiä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Monitasoinen roolivastuu

Osoittaa täytäntöönpanon, eskalointitoimet ja vaatimustenmukaisuuskatselmoinnin erillisille tiimeille: johto, IT, henkilöstöhallinto, laki- ja vaatimustenmukaisuus sekä loppukäyttäjät.

Poikkeus sisäänrakennetulla työnkululla

Määrittää yksityiskohtaiset poikkeusten käsittelyvaiheet hyväksynnällä, kontrollien määrittelyllä, auditoinnilla ja säännöllisellä katselmoinnilla turvallista ei-standardia käyttöä varten.

Automaattinen seuranta ja reagointi

Mahdollistaa politiikkarikkomusten reaaliaikaisen havaitsemisen, lokituksen ja poikkeaman käynnistämisen nopeaa rajaamista ja auditointinäytön keräämistä varten.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus Laki- ja vaatimustenmukaisuus Henkilöstöhallinto

🏷️ Aiheen kattavuus

tietoturvatietoisuus- ja koulutuspolitiikka vaatimustenmukaisuuden hallinta pääsynhallinta politiikkojen elinkaaren hallinta viestintätyökalut
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Acceptable Use Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7