Politika čistog stola i čistog zaslona

Politika čistog stola i čistog zaslona (P10) uspostavlja rigorozne kontrole kako bi se osiguralo da su osjetljive informacije zaštićene od neovlaštenog pristupa, otkrivanja, gubitka ili krađe u bilo kojem fizičkom ili hibridnom radnom okruženju. Podržava globalno priznate regulatorne obveze kao što su ISO/IEC 27001:2022 (osobito odredbe koje se odnose na fizičku sigurnost i sigurnosno osviješteno ponašanje), članke GDPR-a o zaštiti podataka i povjerljivosti te druge okvire uključujući NIST SP 800-53, EU NIS2, EU DORA i COBIT 2019. Ova politika ima širok opseg, primjenjujući se univerzalno na stalne i privremene zaposlenike, izvođače, pružatelje usluga treće strane, pa čak i posjetitelje koji mogu imati pristup povjerljivim radnim prostorima. Strogo uređuje ponašanje u pojedinačnim uredima, otvorenim prostorima, sobama za sastanke te u udaljenim ili hibridnim radnim okruženjima poput hot-deskinga. Cilj je standardizirati sigurno ponašanje tako da se svo osoblje, neovisno o ulozi ili lokaciji rada, mora pridržavati istih pravila za zaštitu informacija. Jasni zahtjevi uspostavljeni su i za fizička i za tehnološka sredstva kontrole. Korisnici moraju držati stolove bez izloženih osjetljivih dokumenata, zaključati zaslone prije udaljavanja, sigurno pohraniti ili zbrinuti povjerljive materijale te ne ostavljati autentifikacijske vjerodajnice ili uređaje bez nadzora. IT operacije imaju obvezu konfigurirati sustave s mjeračima vremena zaključavanja zaslona postavljenima na najviše 5 minuta, uvesti filtre privatnosti u područjima s velikim prometom te provesti tehnička ograničenja za sve krajnje točke. Timovi za upravljanje objektima i imovinom te fizičku sigurnost osiguravaju zaključivu pohranu, usitnjivače i jasnu signalizaciju, uz redovite obilazne provjere usklađenosti i postupanje s kršenjima. Odgovornosti za provedbu i nadzor raspodijeljene su među izvršnim menadžmentom, glavnim službenikom za informacijsku sigurnost (CISO)/voditeljem ISMS-a, upravljanjem objektima i imovinom, IT operacijama i neposrednim rukovoditeljima, osiguravajući slojeviti pristup odgovornosti. Politika propisuje robustan program osposobljavanja, uvođenja u posao i periodične obnovne obuke kako bi se svo osoblje educiralo o rizicima povezanima s nenadziranim osjetljivim informacijama. Redovite revizije, praćenje metrika usklađenosti (kao što su uočena kršenja i zapisi o završetku obuke) te strogi putovi eskalacije za neusklađenost, uključujući disciplinske mjere od strane ljudskih resursa (HR), pokazuju predanost i operativnoj disciplini i pravnoj spremnosti. Postupanje s iznimkama i procesi preostalog rizika također su uspostavljeni, zahtijevajući napredno odobrenje, dokumentaciju i dodatne kontrole za svako odstupanje. Sveobuhvatno, ova politika objedinjuje ponašanje korisnika, dizajn radnog prostora, tehničku provedbu i revizijske procese u ponovljiv okvir ključan za organizacijsku otpornost i usklađenost s propisima. Sve izmjene podliježu kontroliranom pregledu, komuniciraju se službenim kanalima i zahtijevaju ponovno prihvaćanje. Usklađene politike o informacijskoj sigurnosti, upravljanju rizicima, postupanju s imovinom, klasifikaciji podataka, zadržavanju, zbrinjavanju te praćenju dodatno jačaju cjelokupni sustav upravljanja.