policy Enterprise

Elfogadható használati szabályzat

Meghatározza és érvényesíti az IT-erőforrások engedélyezett használatát, védi az adatokat, és biztosítja a biztonságos, felelős felhasználói magatartást valamennyi szervezeti információs rendszerben.

Áttekintés

Ez az Elfogadható használati szabályzat meghatározza a vállalati IT-erőforrások megfelelő használatának szabályait, lefedve a felhasználói magatartást, a tiltott tevékenységeket, a technikai kikényszerítést, a bejelentést és a megfelelést a vezető biztonsági szabványokkal összhangban.

Átfogó felhasználói kontrollok

Valamennyi felhasználótípusra és eszközre kiterjed a vállalati informatikai eszközök nem rendeltetésszerű használatának, gondatlanságának és visszaélésének minimalizálása érdekében.

Kockázatalapú érvényesítés

A technikai védelmi intézkedéseket egyértelmű felhasználói kötelezettségekkel kombinálja a magatartásalapú biztonsági kockázatok csökkentése érdekében.

Integrált tudatosság és képzés

Kötelezővé teszi a szabályzat tudomásulvételét és a rendszeres képzést a biztonságos, etikus rendszerhasználat megerősítése érdekében.

Jogi és szabályozási összehangolás

Teljesíti az ISO/IEC 27001, a GDPR, a NIS2 és további követelmények elvárásait az auditálható megfelelés érdekében.

Teljes áttekintés olvasása
Az Elfogadható használati szabályzat (AUP) meghatározza a szervezet információs rendszereinek, technológiai erőforrásainak és információs vagyonelemeinek felelős, biztonságos és jogszerű használatára vonatkozó standardokat. Átfogó célja, hogy rögzítse a vállalat számítási infrastruktúrájával való interakció során megengedett és tiltott tevékenységeket, beleértve a munkaállomásokat, mobileszközöket, kiszolgálókat, felhőszolgáltatásokat és hálózatokat. A szabályzat biztosítja, hogy valamennyi felhasználó – a munkavállalóktól és vállalkozóktól a harmadik fél beszállítókig – tisztában legyen a szervezeti információs vagyonelemek bizalmasságának, sértetlenségének és rendelkezésre állásának védelmében viselt felelősségével. A szabályzat szerint a hatókör átfogó: érinti minden olyan személyt és szervezetet, amely hozzáférést kap, valamint a technológia és a vállalati adatok minden formáját. Egyaránt alkalmazandó vállalati irodákban, távmunkában és terepi helyszíneken. Nemcsak a hagyományos IT-felhasználóknak kell megfelelniük, hanem mindenkinek, aki BYOD (saját eszköz használata) keretében vagy hibrid környezetekben dolgozik. Minden felhasználónak a rendszer- és adathozzáférés előfeltételeként tudomásul kell vennie a szabályzatot, és ezt a tudomásulvételt audit- és megfelelési célból meg kell őrizni. A szabályzat célkitűzései hangsúlyozzák a megengedett és tiltott tevékenységek egyértelmű határainak fontosságát. Előírja a jogosulatlan hozzáférés vagy adatvédelmi incidens megelőzését olyan magatartásvezérelt fenyegetések esetén, mint a gondatlan használat, nem engedélyezett szoftver telepítése vagy a biztonsági kontrollok megkerülése. A megfelelés biztosítása érdekében a szerepek és felelősségek meghatározásra kerülnek a felső vezetés (a szabályzat jóváhagyása és felügyelete), az informatikai és biztonsági csapatok (technikai kikényszerítés, monitorozás, vizsgálat), a vezetők (helyi felügyelet, kisebb szabálysértések kezelése), az emberi erőforrások és jogi ügyek (fegyelmi intézkedések, a szabályzat jogszerűsége), valamint valamennyi felhasználó (etikus használat, incidensek bejelentése, hitelesítő adatok védelme) számára. Az irányítási és érvényesítési intézkedések tudatosan kerültek kialakításra. A felhasználóknak formális tudomásulvételben és ismétlő képzésben kell részt venniük, erősítve a tudatosságot és az etikus magatartást. Az IT- és információbiztonsági csapatok web- és e-mail-szűrőrendszerek, végpontvédelem, valamint monitorozási és fenyegetésészlelési megoldások bevezetésével technikailag érvényesítik a szabályokat, míg az időszakos felülvizsgálatok biztosítják, hogy a kontrollok hatékonyak maradjanak. A tiltott tevékenységek kifejezetten felsorolásra kerülnek, beleértve a jogosulatlan hozzáférést, kártevők telepítését, személyes haszonszerzés célú felhasználást, a túlzott használatot és a biztonsági mechanizmusok megkerülésére irányuló kísérleteket. A BYOD-használat, a titkosítás és a távmunkagyakorlatok szigorú kezelése is szerepel, eszköz- és adatbiztonsági technikai és eljárási követelményekkel. Az incidensreagálás mechanizmusai megkövetelik, hogy a felhasználók a biztonsági eseményeket, a jogosulatlan hozzáférést vagy az eszközvesztést haladéktalanul jelentsék a hivatalos csatornákon. A szabálysértések arányos fegyelmi intézkedéseket vonnak maguk után – a célzott továbbképzéstől és a hozzáférés felfüggesztésétől a megszüntetésig vagy jogi eljárásig –, mindezt jogi és auditcélokra dokumentálva. Fontos, hogy a szabályzat védi a visszaélés-bejelentési mechanizmus anonimitását, és tiltja a megtorlást, elősegítve az elszámoltathatóság kultúráját. Az ISO/IEC 27001:2022 (5.10 záradék és kiválasztott A melléklet kontrollok), a NIST SP 800-53, az EU GDPR, a NIS2, az EU DORA és a COBIT 2019 elismert nemzetközi standardokkal összhangban az AUP úgy került kialakításra, hogy megfelelési, jogi és audit szempontból is ellenálljon a vizsgálatnak. Meghatározott felülvizsgálati ciklusok, verziókezelés és dokumentumtárolási követelmények irányítják, hogy a kockázatok változásával és a szabályozási környezet módosulásával is releváns maradjon. Emellett a szabályzat kifejezetten kapcsolódik a hozzáférés-vezérlési szabályzathoz, a kockázatkezelési keretrendszerhez és a távmunkaszabályzathoz jellegű kapcsolódó kulcsszabályzatokhoz, biztosítva a szervezeti kiberkockázat-irányítás holisztikus, rétegzett megközelítését.

Irányelv-diagram

Elfogadható használati szabályzat ábra, amely bemutatja a felhasználói beléptetéskori tudomásulvételt, a technikai kontrollok érvényesítését, az incidensbejelentést, a kivételkezelési irányítást és a többszereplős fegyelmi eszkalációt.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Felhasználói magatartás és hozzáférési szabályok

Tiltott tevékenységek listája

BYOD és távoli használati követelmények

Incidensreagálás és incidensbejelentés

Szabályzati kivételek és fegyelmi eljárások

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
5.10Annex A 6.1Annex A 6.2Annex A 8.1Annex A 8.12
ISO/IEC 27002:2022
6.16.28.18.12
NIST SP 800-53 Rev.5
AC-19AC-20PL-4AT-2AU-2AU-12
EU GDPR
Article 5(1)(f)Article 32Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5
COBIT 2019
APO07BAI05DSS05MEA01

Kapcsolódó irányelvek

Információbiztonsági politika

Meghatározza az elfogadható használatra vonatkozó alapvető magatartási elvárásokat és a felső vezetés elkötelezettségét.

Hozzáférés-vezérlési szabályzat

Meghatározza a felhasználókhoz, rendszerekhez és adathozzáféréshez kapcsolódó engedélyeket és hozzáférési jogosultságokat, közvetlenül érvényesítve az elfogadható használat határait.

Kockázatkezelési szabályzat

Kezeli a magatartással összefüggő kockázatokat, és támogatja a felhasználóvezérelt fenyegetésekhez kapcsolódó kockázatok nyomon követését és kockázatkezelési tevékenységek végrehajtását.

Beléptetési és kiléptetési szabályzat

Biztosítja, hogy az elfogadható használat feltételeit beléptetéskor tudomásul vegyék, kiléptetéskor pedig a hozzáféréseket visszavonják.

Távmunkaszabályzat

Kiterjeszti az elfogadható használat rendelkezéseit a távoli és hibrid munkakörnyezetekre.

A Clarysec irányelveiről - Elfogadható használati szabályzat

A hatékony biztonsági irányítás több mint puszta megfogalmazás; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran kudarcot vallanak: hosszú bekezdésekkel és meghatározatlan szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy a biztonsági program működési gerincét adja. A felelősségeket a modern vállalatokban ténylegesen meglévő szerepkörökhöz rendeljük, beleértve az információbiztonsági vezető (CISO) szerepét, az IT- és információbiztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedi sorszámozású záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok mentén, valamint a biztonságos testreszabást a dokumentum sértetlenségének megőrzése mellett, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Többrétegű szerepkör-elszámoltathatóság

Az érvényesítést, az eszkalációt és a megfelelőségi felülvizsgálatot elkülönült csapatokhoz rendeli: vezetés, IT, HR, jogi és végfelhasználók.

Beépített kivételkezelési munkafolyamat

Meghatározza a részletes kivételkezelés lépéseit jóváhagyással, kontrollokkal, audittal és időszakos felülvizsgálattal a biztonságos, nem standard használat érdekében.

Automatizált monitorozás és reagálás

Lehetővé teszi a szabályzatsértések valós idejű észlelését, auditnaplózását és az incidens indítását a gyors elszigetelés és auditbizonyíték gyűjtése érdekében.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Jogi Emberi erőforrások

🏷️ Témafedezet

Biztonságtudatossági képzés Megfeleléskezelés hozzáférés-ellenőrzés Szabályzat-életciklus-kezelés Kommunikáció és érdekelt felek értesítése
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Acceptable Use Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7