Politika prihvatljivog korištenja (AUP) - SME

Politika prihvatljivog korištenja (AUP) – SME verzija (dokument P03S) osmišljena je kako bi uspostavila jasne, praktične i provedive standarde za odgovornu uporabu informatičkih resursa koje osigurava organizacija unutar malih i srednjih poduzeća (SME). Primarni fokus je osigurati da sve osobe, uključujući zaposlenike, izvođače, privremeno osoblje i čak pružatelje usluga treće strane, u potpunosti razumiju svoje obveze i očekivana ponašanja pri pristupu organizacijskim sustavima, bilo na lokaciji, na daljinu ili u hibridnim okruženjima. Ova politika je izričito prilagođena za SME, što je vidljivo kroz korištenje općih upravljačkih uloga kao što je glavni izvršni direktor umjesto specijaliziranih IT ili sigurnosnih službenika, čime je pristupačna organizacijama bez namjenskih internih IT ili sigurnosnih timova, a koje ipak traže rigoroznu usklađenost s ISO/IEC 27001:2022. Sveobuhvatno, Politika prihvatljivog korištenja (AUP) definira što predstavlja prihvatljivu naspram neprihvatljive uporabe uređaja u vlasništvu organizacije, osobnih uređaja (korištenje vlastitih uređaja (BYOD)), mreže, oblačnih platformi i svih softverskih alata u uporabi. Detaljno opisuje mehanizme upravljanja, kao što su popisi odobrenog hardvera i softvera, zahtjevi za prethodno odobrenje i sigurnu konfiguraciju BYOD uređaja te održavanje log-zapisa aktivnosti radi praćenja kršenja ili incidenata. Praćenje provodi voditelj informacijske sigurnosti ili ovlašteni vanjski pružatelj, ali uvijek unutar granica legitimnih poslovnih interesa i primjenjivih zakona o privatnosti. Ovaj pristup uspostavlja ravnotežu između sigurnosti, privatnosti i organizacijske izvedivosti. Politika također utvrđuje sveobuhvatan okvir obrade rizika i upravljanja iznimkama: rizici poput infekcije zlonamjernim softverom, povrede podataka i reputacijske štete zbog zlouporabe ublažavaju se slojevitim tehnološkim kontrolama i podizanjem svijesti korisnika. Zahtjevi za iznimkom, poput uporabe neodobrenog softvera, moraju biti formalno dokumentirani, procijenjeni kroz procjenu rizika, vremenski ograničeni i izričito odobreni, tipično od strane glavnog izvršnog direktora ili IT pružatelja. Snažan fokus na dokumentaciju, okidače pregleda i godišnju ponovnu procjenu politike osigurava da politika ostane učinkovita kako se tehnologije, prijetnje i pravne obveze razvijaju. Odredbe provedbe su robusne. Sva sumnjana ili uočena kršenja moraju se odmah prijaviti, uz jasnu eskalaciju prema voditelju informacijske sigurnosti ili glavnom izvršnom direktoru. Mjere provedbe mogu uključivati zaključavanje sustava ili pristupa, usmena ili pisana upozorenja te čak raskid ugovora za osoblje i pružatelje usluga treće strane. Ugovorno obvezujuća priroda politike za treće strane osigurava dosljednu primjenu sigurnosnih standarda kroz opskrbni lanac organizacije. Konačno, integracija Politike prihvatljivog korištenja (AUP) s drugim ključnim SME politikama—Politikom kontrole pristupa, Politikom podizanja svijesti i osposobljavanja o informacijskoj sigurnosti, Politikom rada na daljinu, Politikom zaštite podataka i Politikom odgovora na incidente (P30)—osigurava cjelovitu pokrivenost sigurnosnih odgovornosti. Rezultat je jednostavan za implementaciju, s ISO 27001:2022 usklađen okvir za organizacije koje traže usklađenost i smanjenje rizika čak i bez velikih IT ili sigurnosnih odjela.