policy Enterprise

Etätyöpolitiikka

Määritä turvallinen etätyö vahvoilla hallintakeinoilla: pääsynhallinta, tietosuoja, laitteiden koventaminen, vaatimustenmukaisuus ja seuranta kaikissa etäympäristöissä.

Yleiskatsaus

Etätyöpolitiikka määrittää pakolliset vaatimukset turvalliselle ja vaatimustenmukaiselle etäkäytölle ja tietojen käsittelylle koko henkilöstön osalta. Se varmistaa vahvat hallintakeinot laitteille, todennukselle, seurannalle sekä sääntelyvaatimusten noudattamiselle kaikissa etäympäristöissä.

Kattava etäturvallisuus

Varmistaa organisaation tietojen luottamuksellisuuden, eheyden ja saatavuuden etätyötä tekeville työntekijöille ja urakoitsijoille.

Tiukat pääsynhallinta- ja laitekontrollit

Edellyttää Yritys-VPN:n, monivaiheisen todennuksen, laitteiden koventamisen ja omaisuuden rekisteröinnin kaikille etäyhteyksille.

Laaja soveltuvuus

Kattaa työntekijät, toimittajat, kolmannen osapuolen palveluntarjoajat ja määräaikaisen henkilöstön, jotka tekevät etätyötä.

Vaatimustenmukaisuus ensin -lähestymistapa

Yhdenmukaistuu ISO/IEC 27001:n, GDPR:n, NIS2:n, DORA:n ja alan standardien kanssa sääntelyvarmuuden varmistamiseksi.

Lue koko yleiskatsaus
Etätyöpolitiikka (P09) tarjoaa kattavan viitekehyksen turvallisen etäkäytön hallintaan ja hajautettuihin työympäristöihin liittyvien erityisriskien lieventämiseen. Se on suunniteltu koko henkilöstölle, mukaan lukien kokoaikaiset, osa-aikaiset, sopimussuhteiset työntekijät, kolmannen osapuolen palveluntarjoajat, konsultit, kolmannen osapuolen toimittajat ja projektiryhmät, joilla on valtuutus hoitaa työtehtäviä yrityksen toimitilojen ulkopuolelta. Politiikka on voimassa kaikilla maantieteellisillä alueilla ja aikavyöhykkeillä, joilla organisaatio toimii, ja varmistaa yhtenäisen tietoturvan perustason riippumatta siitä, missä tai milloin etätyötä tehdään. Sen keskeinen tarkoitus on ylläpitää organisaation tietovarallisuuden luottamuksellisuutta, eheyttä ja saatavuutta, kun sitä käytetään tai käsitellään toimipaikan ulkopuolella. Politiikka toteuttaa tämän ottamalla käyttöön vahvat tekniset ja menettelylliset suojatoimet, kuten pakollisen salauksen, vahvan todennuksen (mukaan lukien monivaiheinen todennus), päätelaitesuojaus sekä suojatut pääsykanavat, kuten VPN tai etätyöpöydät. Se yhdenmukaistuu tiiviisti ISO/IEC 27001:2022 -vaatimusten kanssa, mukaan lukien Annex A -hallintakeino 6.7, joka keskittyy turvallisiin etätyöskentelyolosuhteisiin ja varmistaa, että sekä fyysiset että loogiset suojaukset huomioidaan. Kontrollit vastaavat myös alan sääntelyihin, kuten NIST SP 800-53:een (pääsynhallinta ja kryptografiset suojaukset), GDPR:ään ja NIS2:een (tietoturva ja tietosuoja) sekä DORA:an (talouden ICT-toimintavarmuus). Politiikan osiot määrittelevät roolit ja vastuut ylimmän johdon, tietoturvajohtajan (CISO)/ISMS-päällikön, IT-toimintojen, henkilöstöhallinnon, lähiesihenkilöiden, laki- ja vaatimustenmukaisuus -toiminnon sekä etätyötä tekevien henkilöiden kesken. Esimerkiksi IT vastaa turvallisen infrastruktuurin käyttöönotosta ja tuesta, laitteiden vaatimustenmukaisuuden seurannasta sekä tapahtumalokien ylläpidosta. Työntekijöiden ja sopimussuhteisten etätyöntekijöiden on noudatettava turvallista laitteiden käyttöä, hyväksyttyjä pääsymenetelmiä, tietojen käsittelykäytäntöjä sekä raportoitava viipymättä tietoturvapoikkeamat tai laitteen katoaminen. Politiikka kieltää etäkäytön muilla kuin valtuutetuilla kokoonpanoilla ja edellyttää, että kaikki laitteet, olivatpa ne yrityksen omistamia tai omien laitteiden käyttö (BYOD) -mallin mukaisia, täyttävät perustason tietoturvan (kokoonpanoasetukset, paikkaus, salaus, haittaohjelmien torjunta) sekä rekisteröintivaatimukset. Politiikan hallintotapamekanismit käsittelevät riskien käsittelyä, poikkeusten hallintaa ja täytäntöönpanoa tiukasti. Riskiluokat, kuten tunnistetietojen varkaus, tietojen eksfiltraatio, sisäpiiriuhat, sääntelyrikkomukset ja haittaohjelmakompromissit, käsitellään kerroksellisilla kontrolleilla: roolipohjainen käyttöoikeus, SIEM-hälytykset, päätelaiteturvallisuus, tietojen käsittelykäytännöt ja käyttäjäkoulutus. Lisäksi kaikki poikkeukset on hyväksytettävä tietoturvajohtajalla (CISO), dokumentoitava ja katselmoitava säännöllisesti. Jatkuva valvonta varmistetaan seurannalla, keskistetyllä lokituksella ja määritellyillä auditointiprosesseilla. Politiikan rikkomuksiin sovelletaan käyttöoikeuksien perumista, kurinpitotoimenpiteitä, sopimuksen päättämistä tai oikeudellisia toimia. Politiikka integroituu tiiviisti siihen liittyviin politiikkoihin, mukaan lukien P01 Tietoturvapolitiikka, Hyväksyttävän käytön politiikka (AUP), pääsynhallintapolitiikka, riskienhallintapolitiikka, omaisuudenhallintapolitiikka, tietojen säilytyspolitiikka sekä lokitus- ja valvontapolitiikka, muodostaen päästä päähän -mallin etätyön hallintotavalle. Sen vuosittainen tai tapahtumaperusteinen katselmointisykli varmistaa reagointikyvyn kehittyviin uhkiin, sääntelymuutoksiin tai teknologian kehitykseen, ja kaikki päivitykset viestitään ja kuitataan muodollisesti. Tämä varmistaa johdonmukaisesti turvalliset, vaatimustenmukaiset ja luotettavat toiminnot kaikissa etätyötilanteissa.

Käytäntökaavio

Etätyöpolitiikan kaavio, joka havainnollistaa valtuutuksen, suojatun pääsyn, tietojen käsittelyn, seurannan, poikkeusten hallinnan ja vaatimustenmukaisuuden katselmoinnin vaiheet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja toimintaperiaatteet

Kelpoisuus, valtuutus ja roolivastuut

Omien laitteiden käyttö (BYOD) ja laitehallinnan vaatimukset

Salaus ja suojattu yhteys

Seuranta, lokitus ja poikkeamien käsittely

Kolmansien osapuolten ja toimittajien etätyön vaatimustenmukaisuus

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
6.1.38.1Annex A 6.7
ISO/IEC 27002:2022
6
NIST SP 800-53 Rev.5
AC-17AC-2SC-12SC-13MP-5PE-18AU-2AU-6
EU GDPR
Article 32Article 5(1)(f)Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(d)Article 21(3)
EU DORA
Article 5Article 8Article 9
COBIT 2019
DSS01BAI06BAI09APO13MEA03

Liittyvät käytännöt

P01 Tietoturvapolitiikka

Määrittää perustason omaisuuserien turvalliselle käsittelylle ja koskee kaikkia työympäristöjä, mukaan lukien etätyö.

Hyväksyttävän käytön politiikka (AUP)

Ohjaa organisaation laitteiden ja järjestelmien asianmukaista käyttöä etätyöistuntojen aikana.

Pääsynhallintapolitiikka

Varmistaa, että etäkäytön käyttöoikeudet noudattavat vähimmän etuoikeuden periaatetta ja asianmukaisia todennusmekanismeja.

Riskienhallintapolitiikka

Määrittää, miten etätyön riskit tunnistetaan, käsitellään ja seurataan tietoturvallisuuden hallintajärjestelmässä.

Omaisuudenhallintapolitiikka

Edellyttää omaisuusluetteloa ja konfiguraationhallintaa kaikille etäkäytössä käytettäville laitteille.

Lokitus- ja valvontapolitiikka

Varmistaa, että etäistuntoja valvotaan ja auditoidaan sekä että lokit säilytetään vaatimustenmukaisuusvaatimusten mukaisesti.

Tietojen säilytys- ja hävityspolitiikka

Määrittää etätyöhön liittyvät tietojen käsittelysäännöt, mukaan lukien siirrettävät tallennusvälineet ja laitteiden hävittäminen.

Tietoa Clarysecin käytännöistä - Etätyöpolitiikka

Tehokas tietoturvan hallintotapa edellyttää enemmän kuin pelkkiä sanoja; se vaatii selkeyttä, vastuuvelvollisuutta ja rakenteen, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida yksittäisiä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Täysi elinkaaren aikainen täytäntöönpano

Määrittää seurannan, poikkeamien käsittelyn, koulutuksen ja auditointikontrollit etätyölle, mukaan lukien versiointi ja vuosittainen katselmointi.

Vahvat tietojen käsittely- ja laitesäännöt

Edellyttää salausta, kieltää luvattoman tulostamisen tai jakamisen ja määrää nopeat menettelyt laitteen etätyhjennykseen/katoamistilanteisiin.

Poikkeus- ja hätätilanteiden hallinta

Tarjoaa selkeät, riskiperusteiset kontrollit politiikkapoikkeuksille, väliaikaiselle etäkäytölle ja liiketoiminnan jatkuvuuden tapahtumille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva vaatimustenmukaisuus riski johto

🏷️ Aiheen kattavuus

pääsynhallinta vaatimustenmukaisuuden hallinta riskienhallinta tietojen käsittely tietoturvatietoisuus- ja koulutuspolitiikka liiketoiminnan jatkuvuuden hallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Remote work policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7