Polityka czystego biurka i czystego ekranu

Polityka czystego biurka i czystego ekranu (P10) ustanawia rygorystyczne środki kontroli, aby zapewnić ochronę informacji wrażliwych przed nieuprawnionym dostępem, ujawnieniem, utratą lub kradzieżą w dowolnym fizycznym lub hybrydowym środowisku pracy. Wspiera globalnie uznane obowiązki regulacyjne, takie jak ISO/IEC 27001:2022 (w szczególności klauzule dotyczące bezpieczeństwa fizycznego i zachowań), artykuły GDPR dotyczące ochrony danych i poufności oraz inne ramy, w tym NIST SP 800-53, EU NIS2, EU DORA i COBIT 2019. Niniejsza polityka ma szeroki zakres, obejmując powszechnie stałych i tymczasowych pracowników, wykonawców, dostawców usług stron trzecich, a nawet odwiedzających, którzy mogą mieć dostęp do poufnych przestrzeni pracy. Ściśle reguluje zachowanie w indywidualnych biurach, przestrzeniach otwartych, salach spotkań oraz w środowiskach pracy zdalnej lub hybrydowej, takich jak hot-desking. Celem jest standaryzacja bezpiecznych zachowań tak, aby cały personel, niezależnie od roli lub miejsca pracy, przestrzegał tych samych zasad ochrony informacji. Ustanowiono jasne wymagania zarówno dla fizycznych, jak i technicznych środków kontroli. Użytkownicy muszą utrzymywać biurka wolne od pozostawionych na widoku dokumentów wrażliwych, blokować ekrany przed odejściem, bezpiecznie przechowywać lub utylizować poufne materiały oraz nie pozostawiać bez nadzoru poświadczeń ani urządzeń. Operacje IT mają obowiązek skonfigurować systemy z timerami blokady ekranu ustawionymi na maksymalnie 5 minut, wdrożyć filtry prywatności w obszarach o dużym natężeniu ruchu oraz wdrożyć wymuszenie techniczne dla wszystkich punktów końcowych. Zespoły zarządzania obiektami i aktywami oraz bezpieczeństwa fizycznego zapewniają zamykane schowki, niszczarki i czytelne oznakowanie, a także prowadzą regularne obchody zgodności i obsługują naruszenia. Odpowiedzialności za egzekwowanie i nadzór są rozdzielone pomiędzy kierownictwo wykonawcze, dyrektora ds. bezpieczeństwa informacji (CISO)/menedżera systemu zarządzania bezpieczeństwem informacji, zarządzanie obiektami i aktywami, IT oraz bezpośrednich przełożonych, zapewniając warstwowe podejście do rozliczalności. Polityka wymaga solidnego programu szkoleń, wdrażania oraz okresowych szkoleń przypominających, aby edukować cały personel o ryzykach związanych z pozostawianiem bez nadzoru informacji wrażliwych. Regularne audyty, śledzenie wskaźników zgodności (takich jak zaobserwowane naruszenia i ukończenie szkoleń) oraz rygorystyczne ścieżki eskalacji dla niezgodności, w tym środki dyscyplinarne HR, potwierdzają zaangażowanie zarówno w dyscyplinę operacyjną, jak i gotowość prawną. Obsługa wyjątków oraz procesy ryzyka szczątkowego są również wdrożone, wymagając zaawansowanej akceptacji, dokumentacji oraz dodatkowych środków kontroli dla każdego odstępstwa. Kompleksowo, niniejsza polityka łączy zachowania użytkowników, projekt przestrzeni pracy, wymuszenie techniczne oraz procesy audytowe w powtarzalne ramy kluczowe dla odporności organizacyjnej i zgodności regulacyjnej. Wszystkie aktualizacje podlegają kontrolowanemu przeglądowi, są komunikowane oficjalnymi kanałami i wymagają ponownego potwierdzenia. Polityki powiązane dotyczące bezpieczeństwa informacji, zarządzania ryzykiem, postępowania z aktywami, klasyfikacji danych, retencji, utylizacji oraz monitorowania dodatkowo wzmacniają ogólny system zarządzania.