policy Enterprise

Nuotolinio darbo politika

Apibrėžia saugų nuotolinį darbą taikant patikimas kontrolės priemones: prieigos kontrolę, duomenų apsaugą, galinių įrenginių saugumą, atitiktį ir stebėseną visose nuotolinėse aplinkose.

Apžvalga

Nuotolinio darbo politika nustato privalomuosius reikalavimus saugiai, atitinkančiai nuotolinei prieigai ir duomenų tvarkymui visam organizacijos personalui, užtikrinant patikimas kontrolės priemones įrenginiams, autentifikavimui, stebėsenai ir atitikčiai reglamentavimo reikalavimams visose nuotolinėse aplinkose.

Išsamus nuotolinio darbo saugumas

Užtikrina organizacijos duomenų konfidencialumą, vientisumą ir prieinamumą nuotoliniam personalui ir rangovams.

Griežta prieigos ir įrenginių kontrolė

Reikalauja organizacijos patvirtinto virtualiojo privataus tinklo (VPN), kelių veiksnių autentifikavimo (MFA), įrenginių saugumo stiprinimo ir turto registravimo visiems nuotoliniams prisijungimams.

Platus taikymas

Apima darbuotojus, trečiųjų šalių paslaugų teikėjus, tiekėjus ir laikiną personalą, dirbantį nuotoliniu būdu.

Atitiktis – pirmiausia

Suderinta su ISO/IEC 27001, BDAR, NIS2, DORA ir pramonės standartais, siekiant užtikrinti atitiktį.

Skaityti visą apžvalgą
Nuotolinio darbo politika (P09) pateikia išsamią sistemą, skirtą valdyti saugią nuotolinę prieigą ir mažinti unikalią riziką, susijusią su paskirstytomis darbo aplinkomis. Ji skirta visam personalui, įskaitant visą darbo laiką dirbančius, ne visą darbo laiką dirbančius, sutartinius darbuotojus, trečiųjų šalių paslaugų teikėjus, konsultantus, tiekėjus ir projektų komandas, kuriems suteikta teisė vykdyti darbo pareigas už įmonės patalpų ribų. Politika galioja visose geografinėse vietovėse ir laiko juostose, kuriose veikia organizacija, užtikrindama vienodą bazinį saugumo lygį nepriklausomai nuo to, kur ir kada vyksta nuotolinis darbas. Pagrindinis jos tikslas – išlaikyti organizacijos informacinio turto konfidencialumą, vientisumą ir prieinamumą, kai jis pasiekiamas ar tvarkomas ne vietoje. Politika tai pasiekia įdiegdama patikimas technologines ir procedūrines apsaugos priemones, tokias kaip privalomas šifravimas, stiprus autentifikavimas (įskaitant kelių veiksnių autentifikavimą (MFA)), galinių įrenginių apsauga ir saugūs prieigos kanalai, pvz., virtualusis privatusis tinklas (VPN) arba nuotoliniai darbalaukiai. Ji glaudžiai suderinta su ISO/IEC 27001:2022 reikalavimais, įskaitant A priedo kontrolę 6.7, kuri orientuota į saugias nuotolinio darbo sąlygas, užtikrinant, kad būtų sprendžiamos tiek fizinės, tiek loginės prieigos apsaugos. Kontrolės priemonės taip pat atliepia pramonės reglamentus, tokius kaip NIST SP 800-53 (prieigos ir kriptografinėms apsaugoms), BDAR ir NIS2 (duomenų saugumui ir duomenų privatumui) bei DORA (finansų IRT atsparumui). Konkrečiuose politikos skyriuose apibrėžiami vaidmenys ir atsakomybės tarp aukščiausiosios vadovybės, informacijos saugumo vadovybės (vyriausiojo informacijos saugumo pareigūno (CISO) / ISVS vadovo), IT operacijų, Personalo skyriaus, tiesioginių vadovų, Teisės ir atitikties bei pačių nuotolinių darbuotojų. Pavyzdžiui, IT atsakinga už saugios infrastruktūros diegimą ir palaikymą, įrenginių atitikties sekimą ir įvykių žurnalų palaikymą. Darbuotojai ir sutartiniai nuotoliniai darbuotojai privalo laikytis saugaus įrenginių naudojimo, patvirtintų prieigos metodų, duomenų tvarkymo taisyklių ir nedelsdami pranešti apie bet kokius saugumo incidentus ar įrenginio praradimą. Politika griežtai draudžia nuotolinę prieigą, išskyrus autorizuotas konfigūracijas, ir reikalauja, kad visi įrenginiai – tiek įmonės, tiek nuosavų įrenginių naudojimo (BYOD) atveju – atitiktų bazinį saugumą (konfigūraciją, pataisų diegimą, šifravimą, apsaugą nuo kenkėjiškos programinės įrangos) ir turto registravimo reikalavimus. Politikoje numatyti valdysenos mechanizmai griežtai apima rizikos tvarkymą, išimčių valdymą ir vykdymo užtikrinimą. Rizikos kategorijos, tokios kaip kredencialų vagystė, duomenų eksfiltracija, vidinės grėsmės, reglamentavimo pažeidimai ir kenkėjiškos programinės įrangos kompromitavimas, tiesiogiai sprendžiamos taikant sluoksniuotas kontrolės priemones: vaidmenimis grindžiamą prieigos kontrolę, SIEM įspėjimus, galinių įrenginių saugumą, duomenų tvarkymo taisykles ir naudotojų mokymus. Be to, visos išimtys turi būti patvirtintos CISO, dokumentuotos ir periodiškai peržiūrimos. Nuolatinė priežiūra užtikrinama per stebėseną, centralizuotą žurnalinimą ir apibrėžtus audito procesus. Politikos pažeidimams taikomas prieigos teisių atšaukimas, drausminės priemonės, sutarties nutraukimas arba teisiniai veiksmai. Politika taip pat glaudžiai integruojama su susijusiomis politikomis, įskaitant Informacijos saugumo politiką, Priimtino naudojimo politiką, Prieigos kontrolės politiką, rizikos valdymo politiką, turto valdymo politiką, Duomenų saugojimo politiką ir Žurnalinimo ir stebėsenos politiką, kad sudarytų visapusišką nuotolinio darbo valdysenos modelį. Metinis arba įvykiais grindžiamas peržiūros ciklas užtikrina reagavimą į kintančias grėsmes, reglamentavimo pokyčius ar technologinę pažangą, o visi atnaujinimai formaliai komunikuojami ir patvirtinami. Taip nuosekliai užtikrinamos saugios, atitinkančios ir patikimos operacijos visais nuotolinio darbo scenarijais.

Politikos diagrama

Nuotolinio darbo politikos diagrama, iliustruojanti autorizavimą, saugią prieigą, duomenų tvarkymą, stebėseną, išimčių valdymą ir atitikties peržiūros žingsnius.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įsitraukimo taisyklės

Tinkamumas, autorizavimas ir vaidmenų pareigos

Nuosavų įrenginių naudojimas (BYOD) ir įrenginių valdymo reikalavimai

Šifravimas ir saugus ryšys

Stebėsena, žurnalinimas ir incidentų valdymas

Trečiųjų šalių ir tiekėjų nuotolinės atitikties užtikrinimas

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
6.1.38.1Annex A 6.7
ISO/IEC 27002:2022
6
NIST SP 800-53 Rev.5
AC-17AC-2SC-12SC-13MP-5PE-18AU-2AU-6
EU GDPR
Article 32Article 5(1)(f)Recital 39
EU NIS2
Article 21(2)(a)Article 21(2)(b)Article 21(2)(d)Article 21(3)
EU DORA
Article 5Article 8Article 9
COBIT 2019
DSS01BAI06BAI09APO13MEA03

Susijusios politikos

Informacijos saugumo politika

Nustato bazinį saugaus turto tvarkymo lygį, taikomą visoms darbo aplinkoms, įskaitant nuotolinę.

Priimtino naudojimo politika

Reglamentuoja organizacijos įrenginių ir sistemų bei organizacijos turto priimtiną naudojimą nuotolinio darbo sesijų metu.

Prieigos kontrolės politika

Užtikrina, kad nuotolinės prieigos teisės atitiktų mažiausių privilegijų principą ir tinkamus autentifikavimo mechanizmus.

Rizikos valdymo politika

Apibrėžia, kaip nuotolinio darbo rizikos identifikuojamos, tvarkomos ir stebimos Informacijos saugumo valdymo sistemos (ISVS) kontekste.

Turto valdymo politika

Reikalauja turto inventoriaus ir konfigūracijų valdymo visiems nuotoliniu būdu naudojamiems įrenginiams.

Žurnalinimo ir stebėsenos politika

Užtikrina, kad nuotolinės sesijos būtų stebimos, audituojamos ir saugomos pagal atitikties reikalavimus.

Duomenų saugojimo ir šalinimo politika

Apibrėžia duomenų tvarkymo taisykles, aktualias nuotoliniam darbui, įskaitant keičiamąsias laikmenas ir įrenginių šalinimą.

Apie Clarysec politikas - Nuotolinio darbo politika

Veiksminga saugumo valdysena reikalauja daugiau nei tik žodžių; ji reikalauja aiškumo, atskaitomybės ir struktūros, kuri gali augti kartu su organizacija. Bendriniai šablonai dažnai nepasiteisina, sukurdami dviprasmybes dėl ilgų pastraipų ir neapibrėžtų vaidmenų. Ši politika sukurta kaip jūsų saugumo programos operacinis pagrindas. Atsakomybes priskiriame konkretiems vaidmenims, būdingiems šiuolaikinei įmonei, įskaitant vyriausiąjį informacijos saugumo pareigūną (CISO), IT ir saugumo komandas bei atitinkamus komitetus, užtikrinant aiškią atskaitomybę. Kiekvienas reikalavimas yra unikaliu numeriu pažymėta nuostata (pvz., 5.1.1, 5.1.2). Ši atominė struktūra leidžia politiką lengvai įgyvendinti, audituoti pagal konkrečias kontrolės priemones ir saugiai pritaikyti nepaveikiant dokumento vientisumo, paverčiant ją iš statinio dokumento į dinamišką, įgyvendinamą sistemą.

Viso gyvavimo ciklo vykdymo užtikrinimas

Apibrėžia stebėseną, incidentų valdymą, mokymus ir audito kontrolės priemones nuotoliniam darbui, įskaitant versijavimą ir metinę peržiūrą.

Patikimos duomenų tvarkymo ir įrenginių taisyklės

Užtikrina šifravimą, draudžia nesankcionuotą spausdinimą ar bendrinimą ir reikalauja greitų nuotolinio duomenų ištrynimo / praradimo reagavimo procedūrų.

Išimčių ir skubos valdymas

Pateikia aiškias, rizika pagrįstas kontrolės priemones politikos išimtims, laikinai nuotolinei prieigai ir veiklos tęstinumo įvykiams.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Rizika Vykdomoji vadovybė

🏷️ Teminė aprėptis

Prieigos kontrolė Atitikties valdymas Rizikos valdymas Duomenų tvarkymas Informacijos saugumo sąmoningumo ir mokymų politika Veiklos tęstinumo valdymas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Remote work policy

Produkto informacija

Tipas: policy
Kategorija: Enterprise
Standartai: 7