Pieļaujamās izmantošanas politika – MVU

Pieļaujamās izmantošanas politika (AUP) – MVU versija (dokuments P03S) ir izstrādāta, lai noteiktu skaidrus, praktiskus un izpildāmus standartus uzņēmuma nodrošināto IT resursu atbildīgai izmantošanai mazajos un vidējos uzņēmumos (MVU). Tās galvenais mērķis ir nodrošināt, ka visas personas, tostarp darbinieki, līgumslēdzēji, pagaidu darbinieki un pat trešo pušu pakalpojumu sniedzēji, pilnībā izprot savus pienākumus un uzvedības gaidas, piekļūstot organizācijas sistēmām — uz vietas, attālināti vai hibrīdvides darba vidē. Šī politika ir tieši pielāgota MVU, izmantojot vispārīgas vadības lomas, piemēram, galveno izpilddirektoru, nevis specializētus IT vai drošības amatus, tādējādi padarot to pieejamu organizācijām bez iekšējām IT vai drošības komandām, bet ar mērķi nodrošināt stingru atbilstību ISO/IEC 27001:2022. Visaptveroši AUP definē, kas ir pieļaujama un nepieļaujama uzņēmumam piederošu ierīču, personīgo ierīču izmantošana (BYOD), tīklu, mākoņplatformu un visu izmantoto programmatūras rīku lietošana. Tā detalizēti apraksta pārvaldības mehānismus, piemēram, apstiprinātu aparatūru un protokolus un programmatūras uzskaites prasības, BYOD iepriekšējās apstiprināšanas un drošas konfigurācijas prasības, kā arī darbību žurnālu uzturēšanu, lai izsekotu pārkāpumus vai incidentus. Uzraudzība tiek veikta IT vadītāja vai pilnvarota ārēja pakalpojumu sniedzēja, taču vienmēr likumīgu biznesa interešu un piemērojamo privātuma tiesību aktu ietvaros. Šī pieeja nodrošina līdzsvaru starp drošību, privātumu un organizācijas īstenojamību. Politika nosaka arī visaptverošu riska apstrādes un izņēmumu ietvaru: tādi riski kā ļaunprogrammatūras inficēšanās, datu aizsardzības pārkāpums un reputācijas kaitējums, kas rodas ļaunprātīgas izmantošanas rezultātā, tiek mazināti ar aizsardzības dziļumā tehnoloģiskajiem kontrolpasākumiem un lietotāju informētību. Izņēmumu pieprasījumi, piemēram, neapstiprinātu rīku izmantošana, ir formāli jādokumentē, jāveic riska novērtēšana, jānosaka termiņš un tieši jāapstiprina, parasti galvenajam izpilddirektoram vai IT pakalpojumu sniedzējam. Spēcīgais uzsvars uz dokumentāciju, pārskatīšanas trigeriem un ikgadēju politikas atkārtotu novērtēšanu nodrošina, ka politika saglabā efektivitāti, attīstoties tehnoloģijām, draudiem un juridiskajām prasībām. Izpildes noteikumi ir stingri. Par visiem aizdomīgiem vai novērotiem pārkāpumiem nekavējoties jāziņo, ar skaidru eskalāciju uz IT vadītāju vai galveno izpilddirektoru. Izpildes pasākumi var ietvert sistēmas vai piekļuves bloķēšanu, mutiskus vai rakstiskus brīdinājumus un pat līguma izbeigšanu gan personālam, gan trešo pušu pakalpojumu sniedzējiem. Politikas līgumiski saistošais raksturs trešajām pusēm nodrošina konsekventu drošības standartu piemērošanu visā organizācijas piegādes ķēdē. Visbeidzot, AUP integrācija ar citām MVU pamatpolitikām — Piekļuves kontroles politika, Informācijas drošības informētības un apmācības politika, Attālinātā darba politika, Datu aizsardzības politikas un Incidentu reaģēšanas politika (P30) — nodrošina holistisku drošības pienākumu pārklājumu. Rezultāts ir viegli ieviešams, ISO 27001:2022 saskaņots ietvars uzņēmumiem, kas vēlas atbilstību un riska samazināšanu pat bez lielām IT vai drošības struktūrvienībām.