Polityka dopuszczalnego użytkowania – MŚP

Polityka dopuszczalnego użytkowania (AUP) – wersja MŚP (dokument P03S) została opracowana w celu ustanowienia jasnych, praktycznych i egzekwowalnych standardów odpowiedzialnego korzystania z firmowych zasobów IT w małych i średnich przedsiębiorstwach (MŚP). Jej głównym celem jest zapewnienie, aby wszystkie osoby, w tym pracownicy, wykonawcy, personel tymczasowy, a także dostawcy usług stron trzecich, w pełni rozumiały swoje obowiązki oraz oczekiwania dotyczące zachowań podczas uzyskiwania dostępu do systemów informatycznych organizacji — na miejscu, zdalnie lub w środowiskach hybrydowych. Polityka jest wyraźnie dostosowana do MŚP, co widać w zastosowaniu uogólnionych ról zarządczych, takich jak dyrektor generalny, zamiast wyspecjalizowanych oficerów IT lub bezpieczeństwa, dzięki czemu jest dostępna dla organizacji bez dedykowanych wewnętrznych zespołów IT lub bezpieczeństwa, a jednocześnie dążących do rygorystycznej zgodności z ISO/IEC 27001:2022. Kompleksowo AUP definiuje, co stanowi dopuszczalne użytkowanie aktywów organizacji w porównaniu z niedopuszczalnym użytkowaniem urządzeń należących do firmy, urządzeń prywatnych (wykorzystywanie prywatnych urządzeń (BYOD)), sieci, platform chmurowych oraz wszystkich używanych narzędzi programowych. Szczegółowo opisuje mechanizmy zarządzania, takie jak wykazy zatwierdzonego sprzętu i oprogramowania, wymagania dotyczące wcześniejszego zatwierdzenia i bezpiecznej konfiguracji BYOD oraz utrzymywanie dzienników aktywności w celu śledzenia naruszeń lub incydentów. Monitorowanie jest realizowane przez Kierownika ds. IT lub upoważnionego zewnętrznego dostawcę, zawsze jednak w granicach uzasadnionych interesów biznesowych oraz obowiązujących przepisów dotyczących prywatności danych. Takie podejście równoważy bezpieczeństwo, prywatność danych i wykonalność organizacyjną. Polityka ustanawia również kompleksowe ramy postępowania z ryzykiem i wyjątkami: ryzyka takie jak infekcja złośliwym oprogramowaniem, naruszenia ochrony danych oraz szkoda reputacyjna wynikające z nadużyć są ograniczane poprzez warstwowe zabezpieczenia techniczne i podnoszenie świadomości użytkowników. Wnioski o odstępstwo, takie jak użycie nieautoryzowanego oprogramowania, muszą być formalnie udokumentowane, poddane ocenie ryzyka, ograniczone czasowo i jednoznacznie zatwierdzone — zazwyczaj przez dyrektora generalnego lub dostawcę IT. Silny nacisk na dokumentację, wyzwalacze przeglądu oraz coroczna ponowna walidacja polityki zapewnia, że pozostaje ona skuteczna wraz z ewolucją technologii, zagrożeń i wymogów prawnych. Postanowienia dotyczące egzekwowania są rozbudowane. Wszystkie podejrzewane lub zaobserwowane naruszenia muszą być niezwłocznie zgłaszane, z jasną eskalacją do Kierownika ds. IT lub dyrektora generalnego. Środki egzekwowania mogą obejmować blokadę systemu lub dostępu, ustne lub pisemne ostrzeżenia, a nawet zakończenie umowy zarówno dla personelu, jak i dostawców usług stron trzecich. Umowny charakter wiążący polityki dla stron trzecich zapewnia spójne stosowanie standardów bezpieczeństwa w całym łańcuchu dostaw organizacji. Na koniec integracja AUP z innymi kluczowymi politykami MŚP — Polityką kontroli dostępu, Polityką świadomości i szkoleń w zakresie bezpieczeństwa informacji, Polityką pracy zdalnej, politykami ochrony danych oraz Polityką reagowania na incydenty (P30) — zapewnia całościowe pokrycie obowiązków w zakresie bezpieczeństwa. Rezultatem są łatwe do wdrożenia, zgodne z ISO 27001:2022 ramy dla firm dążących do zgodności i redukcji ryzyka nawet bez dużych działów IT lub bezpieczeństwa.