Priimtino naudojimo politika – SVV

Priimtino naudojimo politika (AUP) – SVV versija (dokumentas P03S) skirta nustatyti aiškius, praktiškus ir vykdytinus standartus atsakingam organizacijos teikiamų IT išteklių naudojimui mažose ir vidutinėse įmonėse (SVV). Pagrindinis tikslas – užtikrinti, kad visi asmenys, įskaitant darbuotojus, rangovus, laikinąjį personalą ir net trečiųjų šalių paslaugų teikėjus, visiškai suprastų savo įsipareigojimus ir elgsenos lūkesčius, kai naudojasi organizacijos sistemomis – vietoje, nuotoliniu būdu ar hibridinėje darbo aplinkoje. Ši politika aiškiai pritaikyta SVV: joje naudojami apibendrinti valdymo vaidmenys, tokie kaip Vyriausiasis vykdomasis pareigūnas, o ne specializuoti IT ar saugumo pareigūnai, todėl ji prieinama organizacijoms be dedikuotų vidinių IT ar saugumo komandų, tačiau siekiančioms griežtos atitikties ISO/IEC 27001:2022. Išsamiai AUP apibrėžia, kas laikoma priimtinu ir nepriimtinu organizacijai priklausančių įrenginių, asmeninių įrenginių (nuosavų įrenginių naudojimas (BYOD)), tinklų, debesijos platformų ir visų naudojamų programinės įrangos įrankių naudojimu. Ji detaliai aprašo valdysenos mechanizmus, pvz., patvirtintą aparatinę įrangą ir protokolus bei programinės įrangos inventorių, reikalavimus dėl išankstinio BYOD patvirtinimo ir saugaus konfigūravimo, taip pat veiklos žurnalų palaikymą, kad būtų galima atsekti pažeidimus ar incidentus. Stebėsena vykdoma IT vadovo arba įgalioto išorinio paslaugų teikėjo, tačiau visada laikantis teisėtų verslo interesų ribų ir taikytinų privatumo teisės aktų. Toks požiūris subalansuoja saugumą, privatumą ir organizacinį įgyvendinamumą. Politika taip pat nustato išsamią rizikos tvarkymo ir išimčių sistemą: tokios rizikos kaip kenkėjiškos programinės įrangos infekcija, duomenų saugumo pažeidimas ir reputacijos žala dėl netinkamo naudojimo mažinamos taikant sluoksniuotas technologines kontrolės priemones ir saugumo informuotumo mokymus. Išimčių prašymai, pvz., nepatvirtintų įrankių naudojimas, turi būti formaliai dokumentuojami, atliekamas rizikos vertinimas, nustatoma ribotos trukmės prieiga ir aiškiai patvirtinama – paprastai Vyriausiojo vykdomojo pareigūno arba IT paslaugų teikėjo. Didelis dėmesys dokumentacijai, peržiūros paleidikliams ir kasmetiniam pakartotiniam patvirtinimui užtikrina, kad politika išliktų veiksminga kintant technologijoms, grėsmėms ir teisiniams reikalavimams. Vykdymo užtikrinimo nuostatos yra tvirtos. Visi įtariami ar pastebėti pažeidimai turi būti nedelsiant pranešami, aiškiai eskaluojant IT vadovui arba Vyriausiajam vykdomajam pareigūnui. Vykdymo priemonės gali apimti sistemos ar prieigos blokavimą, žodinius ar rašytinius įspėjimus ir net sutarties nutraukimą tiek personalui, tiek trečiųjų šalių paslaugų teikėjams. Sutartinė politikos privalomumo trečiosioms šalims prigimtis užtikrina nuoseklų saugumo standartų taikymą visoje organizacijos tiekimo grandinėje. Galiausiai AUP integracija su kitomis pagrindinėmis SVV politikomis – Prieigos kontrolės politika, Informacijos saugos sąmoningumo ir mokymų politika, Nuotolinio darbo politika, Duomenų apsaugos politika ir reagavimo į incidentus politika – užtikrina holistinę saugumo atsakomybių aprėptį. Rezultatas – lengvai įgyvendinama, ISO 27001:2022 suderinta sistema įmonėms, siekiančioms atitikties ir rizikos mažinimo net ir neturint didelių IT ar saugumo padalinių.