policy Enterprise

Távmunkaszabályzat

Határozza meg a biztonságos távmunkát robusztus kontrollokkal: hozzáférés-ellenőrzés, adatvédelem, végpontbiztonság, megfelelés és monitorozás valamennyi távoli környezetben.

Áttekintés

A Távmunkaszabályzat kötelező követelményeket határoz meg a biztonságos, megfelelő távoli hozzáférés és adatkezelés érdekében valamennyi munkatárs számára, biztosítva a robusztus kontrollokat az eszközökre, a hitelesítésre, a monitorozásra és a jogszabályi megfelelésre vonatkozóan valamennyi távoli környezetben.

Átfogó távoli biztonság

Biztosítja a szervezeti adatok bizalmasságát, sértetlenségét és rendelkezésre állását a távoli munkát végző munkatársak és vállalkozók számára.

Szigorú hozzáférés- és eszközkontrollok

Előírja a virtuális magánhálózat (VPN), a többtényezős hitelesítés, az eszközök biztonsági megerősítése és az eszközregisztráció alkalmazását minden távoli kapcsolathoz.

Széles körű alkalmazhatóság

Kiterjed a munkavállalókra, harmadik fél beszállítókra, harmadik fél szolgáltatókra és a távmunkában részt vevő ideiglenes munkatársakra.

Megfelelés-központú megközelítés

Összhangban van az ISO/IEC 27001, a GDPR, a NIS2, a DORA és az iparági szabványok követelményeivel a jogszabályi megfelelés biztosítása érdekében.

Teljes áttekintés olvasása
A Távmunkaszabályzat (P09) átfogó keretrendszert biztosít a távoli hozzáférés biztonságos kezeléséhez és az elosztott munkakörnyezetekhez kapcsolódó egyedi kockázatok mérsékléséhez. Valamennyi munkatárs számára készült, beleértve a teljes munkaidős, részmunkaidős, szerződéses munkavállalókat, harmadik fél szolgáltatókat, tanácsadókat, harmadik fél beszállítókat és projektalapú munkatársakat, akik jogosultak a munkaköri feladataikat a vállalati telephelyen kívülről ellátni. A szabályzat a szervezet működési területén belül valamennyi földrajzi régióban és időzónában hatályos, egységes biztonsági alapvonalat biztosítva függetlenül attól, hogy hol és mikor történik a távoli munkavégzés. Alapvető célja a szervezeti információs vagyonelemek bizalmasságának, sértetlenségének és rendelkezésre állásának fenntartása, amikor azokat telephelyen kívülről érik el vagy kezelik. Ezt robusztus technikai és eljárási védelmi intézkedések bevezetésével éri el, mint például a kötelező titkosítás, az erős hitelesítés (beleértve a többtényezős hitelesítést), a végpontvédelem, valamint a biztonságos hozzáférési csatornák, például a virtuális magánhálózat (VPN) vagy a távoli asztalok. Szorosan igazodik az ISO/IEC 27001:2022 követelményeihez, beleértve az Annex A 6. kontroll 6.7 pontját, amely a biztonságos távoli munkavégzési feltételekre összpontosít, biztosítva, hogy mind a fizikai, mind a logikai védelmek kezelve legyenek. A kontrollok emellett reagálnak iparági szabályozásokra is, mint például a NIST SP 800-53 (a hozzáférés és kriptográfiai védelmek tekintetében), a GDPR és a NIS2 (az adatbiztonság és adatvédelem tekintetében), valamint a DORA (a pénzügyi ICT-ellenállóképesség tekintetében). A szabályzat konkrét fejezetei meghatározzák a szerepköröket és felelősségeket a felső vezetés, az információbiztonsági vezető (CISO/IBIR-vezető), az informatikai üzemeltetés, az emberi erőforrások, a közvetlen felettesek, a jogi és megfelelési funkció, valamint maguk a távoli munkát végző munkatársak között. Például az IT feladata a biztonságos infrastruktúra telepítése és támogatása, az eszközmegfelelőség nyomon követése, valamint az eseménynaplók fenntartása. A munkavállalóknak és a szerződéses távmunkásoknak be kell tartaniuk a biztonságos eszközhasználatra, a jóváhagyott hozzáférési módszerekre, az adatkezelés szabályaira vonatkozó előírásokat, és haladéktalanul jelenteniük kell bármely információbiztonsági incidenst vagy eszközvesztést. A szabályzat szigorúan tiltja a távoli hozzáférést az engedélyezett konfigurációkon kívül, és előírja, hogy minden eszköznek – legyen az vállalati tulajdonú vagy BYOD (saját eszköz használata) – meg kell felelnie az alapvonal-biztonsági követelményeknek (konfigurációkezelés, javítások telepítése, titkosítás, kártevők elleni védelem) és az eszközregisztráció követelményeinek. A szabályzat irányítási mechanizmusai szigorúan kezelik a kockázatkezelést, a kivételkezelést és az érvényesítés és megfelelés kérdéseit. Olyan kockázati kategóriák, mint a hitelesítő adatok ellopása, adat-exfiltráció, belső fenyegetések, szabályozási kötelezettségek megsértése és kártékony kód miatti kompromittálódás, közvetlenül kezelve vannak rétegzett kontrollokkal: szerepköralapú hozzáférés-szabályozás, SIEM-riasztások, végpontbiztonság, adatkezelési szabályok és felhasználói képzés. Továbbá minden kivételt a CISO-nak jóvá kell hagynia, dokumentálni kell, és időszakosan felül kell vizsgálni. A folyamatos felügyelet monitorozás, központosított naplózás és meghatározott auditfolyamatok révén valósul meg. A szabályzat megsértése a hozzáférés visszavonásának, fegyelmi intézkedéseknek, a szerződés megszüntetésének vagy jogi eljárásnak lehet alávetve. A szabályzat szorosan integrálódik a kapcsolódó szabályzatokhoz, beleértve az információbiztonsági politika, az elfogadható használati szabályzat, a hozzáférés-vezérlési szabályzat, a kockázatkezelési keretrendszer, az eszközgazdálkodás, az adatmegőrzési szabályzat, valamint a Naplózási és monitorozási szabályzat területeit, hogy egy végponttól végpontig terjedő távmunkairányítási modellt alkosson. Éves vagy eseményvezérelt felülvizsgálati ciklusa biztosítja a reagálóképességet a változó fenyegetésekre, szabályozási változásokra vagy technológiai fejlődésre, és minden frissítést formálisan kommunikálnak, és a szabályzat tudomásulvétele útján visszaigazoltatnak. Ez következetesen kikényszeríti a biztonságos, megfelelő és megbízható működést valamennyi távmunkaforgatókönyvben.

Irányelv-diagram

Távmunkaszabályzat-diagram, amely szemlélteti az engedélyezést, a biztonságos hozzáférést, az adatkezelést, a monitorozást, a kivételkezelést és a megfelelőségi felülvizsgálati lépéseket.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Jogosultság, engedélyezés és szerepköri feladatok

BYOD (saját eszköz használata) és eszközkezelési követelmények

Titkosítás és biztonságos kapcsolódás

Monitorozás, auditnaplózás és incidenskezelés

Harmadik fél és beszállítói távoli megfelelés

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
6.1.38.1Annex A 6.7
ISO/IEC 27002:2022
6
NIST SP 800-53 Rev.5
AC-17AC-2SC-12SC-13MP-5PE-18AU-2AU-6
EU GDPR
Article 32Article 5(1)(f)Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(d)Article 21(3)
EU DORA
Article 5Article 8Article 9
COBIT 2019
DSS01BAI06BAI09APO13MEA03

Kapcsolódó irányelvek

Információbiztonsági politika

Meghatározza az eszközök biztonságos kezelésének alapvonalát, amely minden munkakörnyezetre – beleértve a távoli munkavégzést is – alkalmazandó.

Elfogadható használati szabályzat

Szabályozza a szervezeti eszközök és rendszerek megfelelő használatát távmunkamenetek során.

Hozzáférés-vezérlési szabályzat

Biztosítja, hogy a hozzáférési jogosultságok a legkisebb jogosultság elve és a megfelelő hitelesítési mechanizmusok szerint kerüljenek kiosztásra.

Kockázatkezelési szabályzat

Meghatározza, hogyan kerülnek a távmunkával kapcsolatos kockázatok azonosításra, kockázatkezelésre és a kockázatok nyomon követésére az információbiztonsági irányítási rendszer keretében.

Eszközgazdálkodási szabályzat

Előírja az eszközleltár és a konfigurációkezelés követelményeit minden távolról használt eszközre.

Naplózási és monitorozási szabályzat

Biztosítja, hogy a távoli munkamenetek monitorozása, auditálása és megőrzése a megfelelési követelmények szerint történjen.

Adatmegőrzési szabályzat

Meghatározza a távmunkához kapcsolódó adatkezelés szabályait, beleértve a cserélhető adathordozókat és az eszközök selejtezését.

A Clarysec irányelveiről - Távmunkaszabályzat

A hatékony biztonsági irányítás többet igényel puszta megfogalmazásnál; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázható struktúrát követel. Az általános sablonok gyakran kudarcot vallanak, mert kétértelműséget teremtenek hosszú bekezdésekkel és nem definiált szerepkörökkel. Ez a szabályzat úgy készült, hogy a biztonsági program operatív gerince legyen. A felelősségeket a modern vállalatokban megtalálható konkrét szerepkörökhöz rendeljük, beleértve a CISO-t, az informatikai és biztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedileg számozott záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a szabályzat bevezetését, az auditálhatóságot konkrét kontrollok mentén, és a biztonságos testreszabást a dokumentum integritásának sérülése nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Teljes életciklusú érvényesítés

Meghatározza a monitorozás, az incidenskezelés, a képzés és az audit kontrolljait a távmunkára, beleértve a verziókezelést és az éves felülvizsgálatot.

Robusztus adatkezelés és eszközszabályok

Kikényszeríti a titkosítást, tiltja a jogosulatlan nyomtatást vagy megosztást, és előírja a gyors eszköztörlés/eszközvesztésre adott válasz eljárásait.

Kivétel- és sürgősségi kezelés

Egyértelmű, kockázatalapú kontrollokat biztosít a szabályzati kivételekhez, az ideiglenes távoli hozzáféréshez és az üzletmenet-folytonossági eseményekhez.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT biztonság megfelelés kockázat felső vezetés

🏷️ Témafedezet

hozzáférés-ellenőrzés megfelelés-kezelés kockázatkezelés adatkezelés biztonságtudatossági képzés üzletmenet-folytonosság-kezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Remote work policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7