Puhtaan pöydän ja puhtaan näytön käytäntö

Puhtaan pöydän ja puhtaan näytön käytäntö (P10) määrittää tiukat hallintakeinot sen varmistamiseksi, että arkaluonteiset tiedot suojataan luvattomalta pääsyltä, paljastumiselta, katoamiselta tai varkaudelta kaikissa fyysisissä tai hybridiympäristöissä. Se tukee maailmanlaajuisesti tunnustettuja sääntelyvelvoitteita, kuten ISO/IEC 27001:2022:ta (erityisesti fyysistä turvallisuutta ja tietoturvatietoista käyttäytymistä koskevia vaatimuksia), GDPR:n tietosuojaa ja luottamuksellisuutta koskevia artikloja sekä muita viitekehyksiä, mukaan lukien NIST SP 800-53, EU NIS2, EU DORA ja COBIT 2019. Käytännön soveltamisala on laaja: se koskee pysyviä ja määräaikaisia työntekijöitä, urakoitsijoita, kolmannen osapuolen palveluntarjoajia sekä myös vierailijoita, joilla voi olla pääsy luottamuksellisiin työtiloihin. Se ohjaa toimintaa yksittäisissä toimistoissa, avotiloissa, neuvotteluhuoneissa sekä etä- tai hybridityöympäristöissä, kuten hot-deskingissä. Tavoitteena on standardoida turvallinen toiminta siten, että koko henkilöstö roolista tai työskentelypaikasta riippumatta noudattaa samoja sääntöjä tietojen suojaamiseksi. Selkeät vaatimukset määritetään sekä fyysisille että teknisille hallintakeinoille. Käyttäjien on pidettävä työpöydät vapaina näkyville jätetyistä arkaluonteisista asiakirjoista, lukittava näytöt ennen poistumista, säilytettävä tai hävitettävä luottamukselliset materiaalit turvallisesti sekä vältettävä tunnistetietojen tai laitteiden jättämistä valvomatta. IT-toiminnot velvoitetaan määrittämään järjestelmiin näytön lukitusajastimet enintään 5 minuuttiin, ottamaan käyttöön yksityisyyssuodattimet vilkkailla alueilla ja toteuttamaan tekninen täytäntöönpano kaikissa päätelaitteissa. Toimitilojen ja omaisuuden hallinta sekä fyysisen turvallisuuden tiimit tarjoavat lukittavan säilytyksen, silppurit ja selkeän opastuksen sekä suorittavat säännöllisiä vaatimustenmukaisuuskierroksia ja käsittelevät rikkomuksia. Täytäntöönpanon ja valvonnan vastuut jaetaan ylimmän johdon, tietoturvajohtajan (CISO)/ISMS-päällikön, toimitilojen, IT-toimintojen ja lähiesihenkilöiden kesken, mikä varmistaa kerroksellisen vastuuvelvollisuuden. Käytäntö edellyttää vahvaa koulutusohjelmaa, käyttöönottoa ja säännöllistä kertauskoulutusta, jotta koko henkilöstö ymmärtää valvomatta jätettyihin arkaluonteisiin tietoihin liittyvät riskit. Säännölliset auditoinnit, vaatimustenmukaisuusmittareiden seuranta (kuten havaitut rikkomukset ja koulutussuoritustiedot) sekä tiukat eskalointipolut vaatimustenvastaisuuksissa, mukaan lukien henkilöstöhallinnon kurinpitotoimet, osoittavat sitoutumista sekä operatiiviseen kurinalaisuuteen että oikeudelliseen valmiuteen. Poikkeusten käsittely ja jäännösriskin prosessit ovat myös käytössä, ja ne edellyttävät ennakkohyväksyntää, dokumentointia ja lisähallintakeinoja kaikille poikkeamille. Kokonaisuutena tämä käytäntö yhdistää käyttäjien toiminnan, työtilojen suunnittelun, teknisen täytäntöönpanon ja auditointiprosessit toistettavaksi viitekehykseksi, joka on olennainen organisaation resilienssille ja sääntelyvaatimusten noudattamiselle. Kaikki päivitykset ovat katselmointi- ja päivitysvaatimusten mukaisia, ne viestitään virallisten kanavien kautta ja edellyttävät uudelleenkuittausta. Yhdenmukaiset politiikat tietoturvasta, riskienhallinnasta, omaisuuden käsittelystä, tietojen luokittelusta, säilytyksestä, hävittämisestä sekä seurannasta vahvistavat kokonaisvaltaista hallintotapaa.