Tiszta asztal és tiszta képernyő szabályzat – KKV

A Tiszta asztal és tiszta képernyő szabályzat (P10S) egy kulcsfontosságú operatív iránymutatás, amelyet kis- és középvállalkozások (KKV-k) számára terveztek az adatok bizalmasságának biztosítására és a jogszabályi megfelelés fenntartására, beleértve az ISO/IEC 27001:2022-t. Mivel ez egy KKV-szabályzat – amit a dokumentumszámban szereplő „S” jelöl, valamint az, hogy a szabályzat gazdája az ügyvezető igazgató –, kifejezetten olyan szervezetekre van adaptálva, amelyeknél hiányozhatnak a dedikált IT- vagy biztonságirányítási csapatok. A szabályzat alapvető célja, hogy egyértelműen meghatározza azokat a gyakorlati, kikényszeríthető magatartásokat és technikai kontrollokat, amelyek az érzékeny információkat védik, függetlenül a munkavégzés helyétől vagy a szervezet erőforrásaitól. A szabályzat alapja, hogy valamennyi munkatárs, vállalkozó és ideiglenes munkavállaló köteles a fizikai és digitális munkaterületeket úgy védeni, hogy semmilyen bizalmas információ ne maradjon látható, felügyelet nélkül vagy nem megfelelően biztosítva. A hatókör kiterjed a fizikai irodákra, megosztott munkaterületekre, coworking környezetekre, valamint a távoli/otthoni munkavégzésre. Valamennyi papír- és digitális eszközre vonatkozik, például dokumentumokra, nyomtatványokra, kézzel írt jegyzetekre, cserélhető adathordozókra, számítógépekre és mobileszközökre. Ezzel a széles lefedettséggel a szabályzat kezeli a modern munkavégzési mintákat, miközben élesen a kockázatcsökkentésre fókuszál. A szerepkörök és felelősségek KKV-környezetre egyszerűsítettek. Az ügyvezető igazgató teljes körű tulajdonosi felelősséget kap: felel a szabályzat kommunikációjáért, a képzésért, a kivételek jóváhagyásáért, valamint a negyedéves munkaterületi megfelelőségi ellenőrzések végrehajtásáért. További feladatok delegálhatók kijelölt munkatársaknak, például a képernyőzárolási beállítások konfigurálása vagy fizikai tárolási segédeszközök kiosztása. A kialakítás ugyanakkor biztosítja a hatékonyságot formális IT- vagy megfelelési szervezeti egységek nélkül is. Valamennyi munkatárs elszámoltatható az egyszerű, de alapvető követelményekért: a képernyők zárolása felügyelet nélkül, minden bizalmas anyag biztosítása, a kizárólag digitális kontrollokra való támaszkodás elkerülése, valamint a lehetséges kockázatok vagy meg nem felelés bejelentése. A szabályzat célkitűzései szorosan kapcsolódnak az operatív kockázatcsökkentéshez és a szabályozási kötelezettségekhez. Egyértelmű, gyakorlati szabályok rögzítenek egy alapvonalat: automatikus munkaállomás-zárolás öt perc után, dokumentumok biztonságos tárolása a munkanap végén, érzékeny nyomatok azonnali átvétele, valamint a tudatosságot erősítő jelzések. Az ügyvezető igazgató felel továbbá a beléptetési és tudatossági képzésért, a megfelelőségi tevékenységek naplózásáért, valamint az eszkalációkért incidens vagy megsértés esetén. Fontos, hogy a szabályzat kialakítása támogatja az éberség és elszámoltathatóság kultúráját, a korlátozott erőforrású KKV-k képességein belül megvalósítható kontrollokra összpontosítva, miközben fenntartja az összhangot például az ISO/IEC 27001 A melléklet 7.7 kontrolljával és a GDPR 32. cikkével. Az összstruktúra felkészíti a KKV-kat arra, hogy auditok során igazolják a kellő gondosságot, és hatékonyan mérsékeljék a fizikai és információs kockázatokat belső helytelen kezelésből vagy külső fenyegetésekből (például látogatók vagy vállalkozók) eredően. A reális kivételkezelési folyamatok, a távoli munkavégzőkre szabott kontrollok és a meghatározott fegyelmi válaszok egyaránt biztosítják az egyértelműséget és a hitelességet. A szabályzat kapcsolódik más kritikus szabályzatokhoz (pl. Információbiztonsági tudatossági és képzési szabályzat, hozzáférés-vezérlési szabályzat, Incidenskezelési szabályzat), és egy tömör, koherens kiberhigiéniai keretrendszer részeként szolgál, amely ideális kisebb szervezetek számára.