Tiszta asztal és tiszta képernyő szabályzat

A Tiszta asztal és tiszta képernyő szabályzat (P10) szigorú kontrollokat határoz meg annak biztosítására, hogy az érzékeny információk védettek legyenek a jogosulatlan hozzáféréssel, közzététellel, elvesztéssel vagy lopással szemben bármely fizikai vagy hibrid munkahelyi környezetben. Támogatja a világszerte elismert szabályozási kötelezettségeket, például az ISO/IEC 27001:2022-t (különösen a fizikai és magatartásalapú biztonságot érintő záradékokat), a GDPR adatvédelemre és bizalmasságra vonatkozó cikkei, valamint további keretrendszereket, beleértve a NIST SP 800-53-at, az EU NIS2-t, az EU DORA-t és a COBIT 2019-et. A szabályzat hatóköre széles, és egyetemesen vonatkozik az állandó és ideiglenes munkavállalókra, vállalkozókra, harmadik fél szolgáltatókra, sőt a látogatókra is, akik hozzáférhetnek bizalmas munkaterületekhez. Szigorúan szabályozza a magatartást egyéni irodákban, nyitott terekben, tárgyalókban, valamint távoli vagy hibrid munkakörnyezetekben, például a hot-desking esetén. A cél a biztonságos magatartás egységesítése, hogy valamennyi munkatárs – szerepkörétől és munkavégzési helyétől függetlenül – ugyanazokat a szabályokat kövesse az információk védelme érdekében. Egyértelmű követelmények kerülnek meghatározásra mind a fizikai, mind a technikai kontrolleszközökre. A felhasználóknak az asztalokat mentesen kell tartaniuk a szabadon hagyott érzékeny dokumentumoktól, távozás előtt zárolniuk kell a képernyőket, a bizalmas anyagokat biztonságosan kell tárolniuk vagy selejtezniük, és nem hagyhatnak felügyelet nélkül hitelesítő adatokat vagy eszközöket. Az Informatikai üzemeltetés feladata, hogy a rendszereket legfeljebb 5 perces képernyőzár-időzítőkkel konfigurálja, nagy forgalmú területeken adatvédelmi szűrőket telepítsen, és technikai kikényszerítést valósítson meg valamennyi végponton. A létesítmény- és eszközgazdálkodás és a fizikai biztonság csapatok zárható tárolókat, iratmegsemmisítőket és egyértelmű jelöléseket biztosítanak, továbbá rendszeres megfelelőségi bejárásokat végeznek és kezelik a szabálysértéseket. A kikényszerítés és felügyelet felelőssége a felső vezetés, az információbiztonsági vezető (CISO)/IBIR-vezető, a létesítmény- és eszközgazdálkodás, az Informatikai üzemeltetés és a közvetlen felettesek között oszlik meg, biztosítva a rétegzett elszámoltathatósági megközelítést. A szabályzat robusztus képzési programot, beléptetést és időszakos ismétlő képzést ír elő annak érdekében, hogy valamennyi munkatárs megértse a felügyelet nélkül hagyott érzékeny információkhoz kapcsolódó kockázatokat. Rendszeres auditok, megfelelőségi mutatók nyomon követése (például megfigyelt szabálysértések és képzési teljesítés nyilvántartása), valamint szigorú eszkalációs útvonalak a meg nem felelés esetére – beleértve a Humánerőforrás osztály fegyelmi intézkedéseit – igazolják az operatív fegyelem és a jogi felkészültség iránti elkötelezettséget. A kivételkezelés és a maradék kockázat folyamatai is rendelkezésre állnak, amelyek bármely eltérés esetén emelt szintű jóváhagyást, dokumentálást és további kontrollokat követelnek meg. Összességében ez a szabályzat a felhasználói magatartást, a munkaterület kialakítását, a technikai kikényszerítést és az auditfolyamatokat egy ismételhető keretrendszerbe foglalja, amely létfontosságú a szervezeti ellenálló képesség és a jogszabályi megfelelés szempontjából. Minden frissítés felülvizsgálat-vezérelt, hivatalos csatornákon kerül kommunikálásra, és újabb szabályzat tudomásulvételét igényli. Az információbiztonságra, kockázatkezelésre, adatkezelésre, adatosztályozásra, adatmegőrzésre, selejtezésre és naplózási és monitorozási szabályzatokra vonatkozó kapcsolódó szabályzatok tovább erősítik az átfogó irányítási rendszert.