Politica biroului curat și a ecranului curat

Politica biroului curat și a ecranului curat (P10) stabilește controale riguroase pentru a se asigura că informațiile sensibile sunt protejate împotriva accesului neautorizat, divulgării, pierderii sau furtului în orice mediu de lucru fizic sau hibrid. Aceasta sprijină obligații de reglementare recunoscute la nivel global, precum ISO/IEC 27001:2022 (în special clauzele care abordează securitatea fizică și comportamentală), articolele GDPR privind protecția datelor și confidențialitatea, precum și alte cadre, inclusiv NIST SP 800-53, EU NIS2, EU DORA și COBIT 2019. Această politică are un domeniu de aplicare larg, aplicându-se universal angajaților permanenți și temporari, contractanților, furnizorilor de servicii terți și chiar vizitatorilor care pot avea acces la spații de lucru confidențiale. Ea guvernează strict conduita în birouri individuale, spații deschise, săli de ședință și medii de lucru la distanță sau hibride, precum hot-desking. Scopul este standardizarea comportamentului securizat astfel încât întregul personal, indiferent de rol sau locația de lucru, să respecte aceleași reguli pentru protejarea informațiilor. Sunt stabilite cerințe clare atât pentru mijloacele fizice, cât și pentru cele tehnice de control. Utilizatorii trebuie să păstreze birourile fără documente sensibile expuse, să blocheze ecranele înainte de a se îndepărta, să stocheze sau să elimine în siguranță materialele confidențiale și să nu lase credențiale sau dispozitive nesupravegheate. IT are obligația de a configura sistemele pentru temporizatoare de blocare a ecranului setate la maximum 5 minute, de a implementa filtre de confidențialitate în zonele cu trafic intens și de a aplica măsuri tehnice pentru toate punctele terminale. Echipele de management al facilităților și al activelor și securitate fizică furnizează spații de stocare încuiabile, tocătoare și semnalistică clară, efectuând totodată verificări periodice de conformitate și gestionând încălcările. Responsabilitățile pentru aplicare și supraveghere sunt distribuite între conducerea executivă, ofițerul-șef pentru securitatea informațiilor (CISO)/managerul SMSI, managementul facilităților și al activelor, operațiuni IT și managerii direcți, asigurând o abordare stratificată a responsabilității. Politica impune un program robust de instruire, înrolare și instruire periodică de reîmprospătare pentru a educa întregul personal cu privire la riscurile asociate informațiilor sensibile lăsate nesupravegheate. Audituri regulate, urmărirea metricilor de conformitate (cum ar fi încălcările observate și înregistrări privind finalizarea instruirii) și căi stricte de escaladare pentru neconformitate, inclusiv măsuri disciplinare HR, demonstrează un angajament atât față de disciplina operațională, cât și față de pregătirea juridică. Gestionarea excepțiilor și procesele de risc rezidual sunt, de asemenea, în vigoare, necesitând aprobare avansată, documentație și controale suplimentare pentru orice abatere. În mod cuprinzător, această politică unifică comportamentul utilizatorilor, proiectarea spațiului de lucru, aplicarea tehnică și procesele de audit într-un cadru repetabil, vital pentru reziliența organizațională și conformitatea cu reglementările. Toate actualizările sunt controlate prin revizuire, comunicate prin canale oficiale și necesită confirmarea luării la cunoștință a politicii. Politicile aliniate privind securitatea informației, managementul riscului, gestionarea activelor, clasificarea datelor, păstrarea, eliminarea și monitorizarea consolidează în continuare sistemul general de guvernanță.