Tīra galda un tīra ekrāna politika

Tīra galda un tīra ekrāna politika (P10) nosaka stingrus kontroles pasākumus, lai nodrošinātu, ka sensitīva informācija ir aizsargāta pret nesankcionētu piekļuvi, izpaušanu, zudumu vai zādzību jebkurā fiziskā vai hibrīd darba vietas vidē. Tā atbalsta globāli atzītus regulatīvos pienākumus, piemēram, ISO/IEC 27001:2022 (īpaši klauzulas, kas attiecas uz fizisko un uzvedības drošību), GDPR pantus par datu aizsardzību un konfidencialitāti, kā arī citus ietvarus, tostarp NIST SP 800-53, ES NIS2, ES DORA un COBIT 2019. Šai politikai ir plaša darbības joma, un tā universāli attiecas uz pastāvīgiem un pagaidu darbiniekiem, līgumslēdzējiem, trešo pušu pakalpojumu sniedzējiem un pat apmeklētājiem, kuriem var būt piekļuve konfidenciālām darba vietām. Tā stingri regulē uzvedību individuālos birojos, atvērtās telpās, sanāksmju telpās un attālinātā vai hibrīd darba vidē, piemēram, hot-desking. Mērķis ir standartizēt drošu uzvedību, lai viss personāls neatkarīgi no lomas vai darba vietas ievērotu vienādus noteikumus informācijas aizsardzībai. Ir noteiktas skaidras prasības gan fiziskajiem, gan tehniskajiem kontroles līdzekļiem. Lietotājiem jāuztur galdi bez atklātiem sensitīviem dokumentiem, jābloķē ekrāni pirms aiziešanas, droši jāglabā vai jālikvidē konfidenciāli materiāli un nedrīkst atstāt autentifikācijas datus vai ierīces bez uzraudzības. IT ir noteikts pienākums konfigurēt sistēmas ar ekrāna bloķēšanas taimeriem, kas iestatīti ne vairāk kā uz 5 minūtēm, izvietot privātuma filtrus intensīvas plūsmas zonās un ieviest tehnisko piespiedu izpildi visiem galapunktiem. Objektu un fiziskās drošības komandas nodrošina slēdzamu glabāšanu, smalcinātājus un skaidru marķējumu, kā arī veic regulāras atbilstības pārbaudes un apstrādā pārkāpumus. Izpildes un uzraudzības pienākumi ir sadalīti starp augstāko vadību, galveno informācijas drošības vadītāju (CISO)/informācijas drošības pārvaldības sistēmas vadītāju, objektu un aktīvu pārvaldību, IT operācijām un tiešajiem vadītājiem, nodrošinot slāņainu pieeju pārskatatbildībai. Politika nosaka stabilu apmācību programmu, ievadīšanu un periodisku atkārtotu apmācību, lai izglītotu visu personālu par riskiem, kas saistīti ar neatstātu sensitīvu informāciju. Regulāri auditi, atbilstības metrikas izsekošana (piemēram, novērotie pārkāpumi un apmācību pabeigšanas ieraksti) un stingri eskalācijas ceļi neatbilstības gadījumā, tostarp novirzīšana personāla dienestam disciplināriem pasākumiem, apliecina apņemšanos gan operatīvai disciplīnai, gan juridiskai gatavībai. Ir ieviesti arī izņēmumu apstrādes un atlikušā riska procesi, kas prasa iepriekšēju apstiprinājumu, dokumentēšanu un papildu kontroles pasākumus jebkurai novirzei. Kopumā šī politika apvieno lietotāju uzvedību, darba vietas dizainu, tehnisko piespiedu izpildi un audita procesus atkārtojamā ietvarā, kas ir būtisks organizācijas noturībai un regulatīvajai atbilstībai. Visi atjauninājumi tiek kontrolēti pārskatīšanas procesā, paziņoti oficiālos kanālos un prasa atkārtotu politikas iepazīšanās apliecinājumu. Saskaņotās politikas par informācijas drošību, risku pārvaldību, aktīvu klasifikāciju, datu klasifikāciju, uzglabāšanu, likvidēšanu un uzraudzību vēl vairāk nostiprina kopējo pārvaldības sistēmu.