Politika prijateľného používania – SME

Politika prijateľného používania (AUP) – verzia SME (dokument P03S) je navrhnutá na stanovenie jasných, praktických a vynútiteľných štandardov pre zodpovedné používanie podnikových IT zdrojov v malých a stredných podnikoch (SME). Jej primárnym zameraním je zabezpečiť, aby všetky osoby vrátane zamestnancov, dodávateľov, dočasných pracovníkov a aj poskytovateľov služieb tretích strán plne rozumeli svojim povinnostiam a očakávaniam správania pri prístupe k informačným systémom organizácie, či už na mieste, na diaľku alebo v hybridnom pracovnom prostredí. Táto politika je výslovne prispôsobená pre SME, čo sa prejavuje použitím všeobecných riadiacich rolí, ako je výkonný riaditeľ, namiesto špecializovaných IT alebo bezpečnostných funkcií, vďaka čomu je prístupná organizáciám bez vyhradených interných IT alebo bezpečnostných tímov, ktoré však hľadajú dôsledný súlad s ISO/IEC 27001:2022. Komplexne AUP definuje, čo predstavuje prípustné používanie podnikových aktív oproti neprípustnému používaniu podnikových zariadení, osobných zariadení (BYOD), sietí, cloudových platforiem a všetkých používaných softvérových nástrojov. Podrobne opisuje mechanizmy správy, ako sú inventarizácia aktív schváleného hardvéru a softvéru, požiadavky na predchádzajúce schválenie a bezpečnú konfiguráciu BYOD a udržiavanie auditného logovania na dohľadanie porušení alebo incidentov. Monitorovanie vykonáva manažér zmien alebo autorizovaný externý poskytovateľ, vždy však v medziach oprávnených podnikových záujmov a uplatniteľných zákonov o ochrane údajov. Tento prístup vyvažuje bezpečnosť, ochranu údajov a organizačnú realizovateľnosť. Politika tiež stanovuje komplexný rámec ošetrenia rizík a riadenia výnimiek: riziká, ako je infekcia škodlivým kódom, porušenia podliehajúce oznamovaniu a reputačná ujma vyplývajúca zo zneužitia, sa zmierňujú prostredníctvom vrstvených technologických kontrolných opatrení a školenia bezpečnostného povedomia. Žiadosti o výnimku, ako je použitie neschválených nástrojov, musia byť formálne zdokumentované, posúdené z hľadiska rizika, časovo obmedzené a výslovne schválené, typicky výkonným riaditeľom alebo poskytovateľom IT. Silný dôraz na dokumentáciu, spúšťače preskúmania a ročné opakovacie školenie politiky zabezpečuje, že politika zostáva účinná, keď sa vyvíjajú technológie, hrozby a zákonné povinnosti. Ustanovenia o vynucovaní sú robustné. Všetky podozrivé alebo pozorované porušenia musia byť bezodkladne nahlásené, s jasnou eskaláciou na manažéra zmien alebo výkonného riaditeľa. Opatrenia vynucovania môžu zahŕňať uzamknutie systému alebo prístupu, ústne alebo písomné upozornenia a dokonca ukončenie zmluvy pre personál aj poskytovateľov služieb tretích strán. Zmluvne záväzný charakter politiky pre tretie strany zabezpečuje konzistentné uplatňovanie bezpečnostných štandardov v rámci dodávateľského reťazca organizácie. Napokon, integrácia AUP s ďalšími kľúčovými politikami pre SME – Politika riadenia prístupu, Politika povedomia a školenia o informačnej bezpečnosti, Politika práce na diaľku, politiky ochrany osobných údajov a Politika reakcie na incidenty (P30) – zabezpečuje holistické pokrytie bezpečnostných zodpovedností. Výsledkom je ľahko implementovateľný rámec zosúladený s ISO 27001:2022 pre spoločnosti, ktoré hľadajú súlad a zníženie rizika aj bez veľkých IT alebo bezpečnostných oddelení.