Beleid inzake aanvaardbaar gebruik - SME

Het beleid inzake aanvaardbaar gebruik (AUP) – SME-versie (document P03S) is ontworpen om duidelijke, praktische en afdwingbare normen vast te stellen voor het verantwoord gebruik van door de organisatie geleverde IT-middelen binnen kleine en middelgrote ondernemingen (SME's). De primaire focus is om te waarborgen dat alle personen, inclusief werknemers, contractanten, tijdelijk personeel en zelfs dienstverleners van derde partijen, hun verplichtingen en gedragsverwachtingen volledig begrijpen bij toegang tot informatiesystemen van de organisatie, ongeacht of dit on-site, op afstand of in een hybride werkomgeving gebeurt. Dit beleid is expliciet afgestemd op SME's, wat blijkt uit het gebruik van algemene managementrollen zoals de algemeen directeur in plaats van gespecialiseerde IT- of beveiligingsfunctionarissen. Hierdoor is het toegankelijk voor organisaties zonder toegewijde interne IT- of beveiligingsteams, maar die wel streven naar strikte naleving van ISO/IEC 27001:2022. Het AUP definieert uitgebreid wat aanvaardbaar gebruik van bedrijfsmiddelen is versus onaanvaardbaar gebruik van bedrijfsmiddelen, voor bedrijfseigen apparaten, persoonlijke apparaten (Bring Your Own Device (BYOD)), netwerken, cloudplatformen en alle softwaretools die in gebruik zijn. Het beschrijft governance-mechanismen, zoals inventarissen van goedgekeurde hardware en protocollen en goedgekeurde software, vereisten voor voorafgaande goedkeuring en beveiligde configuratie van Bring Your Own Device (BYOD), en het bijhouden van activiteitenlogs om overtredingen of incidenten te kunnen herleiden. Monitoring wordt uitgevoerd door de IT-manager of een geautoriseerde externe provider, maar altijd binnen de grenzen van legitieme bedrijfsbelangen en toepasselijke privacywetgeving. Deze aanpak brengt een evenwicht aan tussen beveiliging, gegevensprivacy en organisatorische haalbaarheid. Het beleid bevat ook een uitgebreid kader voor risicobehandeling en uitzonderingsbeheer: risico's zoals malware-infectie, datalekken en reputatieschade als gevolg van misbruik worden beperkt via gelaagde technische beheersmaatregelen en bewustwording van gebruikers. Uitzonderingsaanvragen, zoals het gebruik van niet-goedgekeurde tools, moeten formeel worden gedocumenteerd, risicobeoordeeld, tijdgebonden en expliciet worden goedgekeurd, doorgaans door de algemeen directeur of de IT-provider. De sterke focus op documentatie, herzieningstriggers en jaarlijkse herbeoordeling van het beleid zorgt ervoor dat het beleid doeltreffend blijft naarmate technologieën, dreigingen en wettelijke vereisten evolueren. Handhavingsbepalingen zijn robuust. Alle vermoedelijke of waargenomen overtredingen moeten onmiddellijk worden gemeld, met duidelijke escalatie naar de IT-manager of de algemeen directeur. Handhavingsmaatregelen kunnen bestaan uit het vergrendelen van systemen of toegang, mondelinge of schriftelijke waarschuwingen en zelfs beëindiging van het contract voor zowel personeel als dienstverleners van derde partijen. Het contractueel bindende karakter van het beleid voor derde partijen waarborgt een consistente toepassing van beveiligingsnormen in de toeleveringsketen van de organisatie. Tot slot zorgt de integratie van het AUP met andere kernbeleidslijnen voor SME's—beleid inzake toegangscontrole, informatiebeveiligingsbewustzijns- en opleidingsbeleid, beleid inzake werken op afstand, gegevensbeschermingsbeleid en incidentresponsbeleid (P30)—voor een holistische dekking van beveiligingsverantwoordelijkheden. Het resultaat is een eenvoudig te implementeren, ISO 27001:2022-uitgelijnd kader voor organisaties die naleving en risicoreductie nastreven, ook zonder grote IT- of beveiligingsafdelingen.