Mobileszköz- és BYOD-szabályzat – KKV

A Mobileszköz- és BYOD-szabályzat (P34S) kifejezetten KKV-k számára készült, biztosítva, hogy a dedikált IT Operations vagy információbiztonsági csapat nélküli szervezetek is be tudjanak vezetni robusztus, tanúsítható kontrollokat a mobil végpontokra. Egyértelmű struktúrája az elszámoltathatóságot az ügyvezető igazgatóhoz (GM) rendeli, a hagyományos IT- vagy információbiztonsági vezetői (CISO) szerepköröket a KKV-környezethez illeszkedő, gyakorlatias felügyelettel helyettesítve. A szabályzat elsődleges célja kikényszeríthető védelmek létrehozása minden olyan helyzetben, ahol vállalati vagy ügyféladatokhoz hozzáférnek, azokat feldolgozzák vagy tárolják, függetlenül attól, hogy az eszköz vállalati kiadású vagy személyes tulajdonú. Meghatározza az alapvonal technikai és eljárási védelmi intézkedéseket, például az eszköztitkosítás, a képernyőzár és a vírusirtó kötelező alkalmazását, miközben felhasználóbarát szabályokat tart fenn nem szakértő munkatársak számára. A hatókör átfogó: valamennyi munkatársra és harmadik fél szolgáltatókra vonatkozik, akik mobileszközöket (beleértve az okostelefonokat, táblagépeket vagy laptopokat) használnak üzleti célokra, helyszíntől és tulajdonjogtól függetlenül. A szigorú irányítási követelmények előírják, hogy minden BYOD (saját eszköz használata) eszközt eszközregisztráció keretében nyilvántartásba kell venni, jóvá kell hagyni, és biztonsági alkalmazásokkal kell ellátni; a regisztrált eszköznyilvántartások és a felhasználói megállapodások biztosítják az elszámoltathatóságot. Az adatvédelem gondosan védett: a vállalat kizárólag az üzleti adatokat kezeli a személyes eszközökön, és tiszteletben tartja a felhasználói határokat, összhangban a GDPR-ral. A szabályzat széles körű kontrollokat érvényesít: a vállalati és személyes eszközökön naprakész biztonsági szoftvereknek, erős hitelesítésnek és titkosításnak kell működnie, és a vállalati adatokhoz nem használhatók nem engedélyezett felhőszolgáltatások. A BYOD (saját eszköz használata) felhasználóknak megállapodásokat kell aláírniuk, és szükség szerint biztonsági alkalmazásokat vagy MDM-eszközöket kell telepíteniük. Az ügyvezető igazgató (vagy kijelölt munkatárs) felelős az eszközök jóváhagyásáért, a leltár fenntartásáért, az incidens-felülvizsgálatokért és a szabályzat érvényesítéséért, beleértve a harmadik fél IT-szolgáltatókat is. Az incidenskezelés gyakorlatias és gyors: az elveszett vagy kompromittált eszközöket egy órán belül be kell jelenteni, ami azonnali értékelést indít a távoli törlés és a hitelesítő adatok visszaállítása kapcsán. A szabályzat egyértelmű folyamatot ír le a kivételek kezelésére (BYOD kivételnapló és GM-jóváhagyás), valamint a megfelelés kikényszerítésére: időszakos felülvizsgálatok, auditok és a szabályszegések következményei, beleértve a hozzáférés visszavonását, formális figyelmeztetéseket, és szükség esetén szerződéses vagy jogi jogorvoslatokat. Mivel a dokumentum kifejezetten hivatkozik az ISO/IEC 27001:2022 5.1 (Vezetés és elkötelezettség) és 8.1 (Operatív tervezés és kontroll) záradékaira, továbbá a NIST-re, a GDPR-ra, a NIS2-re és a DORA-ra, biztosítja, hogy a KKV-k a távoli és hibrid munkavégzési forgatókönyvekben is teljesítsék a lényeges tanúsítási követelményeket. Az ügyvezető igazgató feladata az éves felülvizsgálat, az incidensek vagy szabályozási változások utáni frissítés, valamint annak biztosítása, hogy minden felhasználó értesítést kapjon és képzésben részesüljön. Összességében a szabályzat szorosan integrált a kapcsolódó KKV-szabályzatokkal, teljes keretrendszert alkotva az eszközkockázatok kezelésére, és auditálható, jogszerű, valamint ügyfélbizalmat erősítő mobilbiztonságot biztosítva a kisebb szervezetek számára.