Mobilo ierīču un BYOD politika – MVU

Mobilo ierīču un BYOD politika (P34S) ir izstrādāta īpaši MVU, nodrošinot, ka organizācijas bez specializēta IT vai drošības personāla joprojām var ieviest stingrus, sertificējamus kontroles pasākumus mobilajiem galapunktiem. Tās skaidrā struktūra piešķir pārskatatbildību galvenajam izpilddirektoram (GM), aizstājot tradicionālās IT vai galvenā informācijas drošības vadītāja (CISO) lomas ar praktisku, pieejamu uzraudzību, kas atbilst MVU kontekstam. Politikas primārais mērķis ir izveidot izpildāmu aizsardzību visur, kur tiek piekļūts, apstrādāti vai glabāti uzņēmuma vai klientu dati, neatkarīgi no tā, vai ierīces ir uzņēmuma izsniegtas vai personīgi piederošas. Tā nosaka bāzlīnijas tehniskos un procesuālos drošības pasākumus, piemēram, prasību pēc ierīču šifrēšanas, ekrāna bloķēšanas un antivīrusu programmatūras, vienlaikus saglabājot lietotājam draudzīgus noteikumus, kas piemēroti personālam bez ekspertīzes. Darbības joma ir visaptveroša, attiecināma uz visu personālu un trešo pušu pakalpojumu sniedzējiem, kuri izmanto mobilās ierīces (tostarp viedtālruņus, planšetdatorus vai klēpjdatorus) biznesa vajadzībām, neatkarīgi no atrašanās vietas vai ierīces īpašumtiesībām. Stingras pārvaldības prasības nosaka, ka visas BYOD ierīces ir jāreģistrē, jāapstiprina un tajās jābūt drošības lietotnēm, savukārt reģistrēto ierīču ieraksti un lietotāju vienošanās nodrošina pārskatatbildību. Privātums tiek rūpīgi aizsargāts: uzņēmums pārvalda tikai biznesa datus personīgajās ierīcēs un ievēro lietotāju robežas, saskaņojoties ar juridiskajām prasībām, piemēram, GDPR. Politika ievieš plašu kontroles pasākumu kopumu: uzņēmuma un personīgajām ierīcēm jābūt ar aktuālu drošības programmatūru, spēcīgu autentifikāciju, šifrēšanu, un tās nedrīkst izmantot nesankcionētus mākoņpakalpojumus uzņēmuma datiem. BYOD lietotājiem ir jāparaksta vienošanās un jāinstalē drošības lietotnes vai MDM rīki, ja nepieciešams. Galvenais izpilddirektors (vai norīkotais personāls) ir atbildīgs par ierīču apstiprināšanu, aktīvu uzskaites uzturēšanu, incidentu pārskatīšanu un politikas izpildes nodrošināšanu, arī attiecībā uz ārpakalpojuma IT pakalpojumu sniedzējiem. Incidentu pārvaldība ir pragmatiska un ātra, nosakot prasību par pazaudētu vai kompromitētu ierīču ziņošanu vienas stundas laikā, kas iedarbina tūlītēju izvērtēšanu par attālinātu datu dzēšanu un akreditācijas datu atiestatīšanu. Ir skaidri aprakstīts process gan izņēmumu apstrādei, izmantojot BYOD izņēmumu žurnālu un galvenā izpilddirektora apstiprinājumu, gan atbilstības izpildei: periodiskas pārskatīšanas, auditi un sekas par pārkāpumiem, tostarp piekļuves tiesību atsaukšana, formāli brīdinājumi un, ja nepieciešams, līgumiski vai tiesiski tiesiskās aizsardzības līdzekļi. Kā politika, kas tieši atsaucas uz ISO/IEC 27001:2022 5.1. klauzulu (Līderība un apņemšanās) un 8.1. klauzulu (Operatīvā plānošana un kontrole), kā arī NIST, GDPR, NIS2 un DORA, šis dokuments nodrošina, ka MVU izpilda būtiskās sertifikācijas prasības arī attālināta darba un hibrīdvides scenārijos. Galvenais izpilddirektors ir atbildīgs par ikgadējām pārskatīšanām, atjauninājumiem pēc incidentiem vai normatīvo prasību izmaiņām, kā arī par to, lai visi lietotāji tiktu informēti un apmācīti. Kopumā politika ir cieši integrēta ar saistītajiem MVU politikas dokumentiem, veidojot pilnīgu ietvaru ierīču risku pārvaldībai un nodrošinot auditējamu, tiesiski atbilstošu un klientu uzticību veicinošu mobilo drošību mazākām organizācijām.