Politika čistého stola a čistej obrazovky

Politika čistého stola a čistej obrazovky (P10) zavádza prísne kontrolné opatrenia na zabezpečenie toho, aby citlivé informácie boli chránené pred neoprávneným prístupom, zverejnením, stratou alebo krádežou v akomkoľvek fyzickom alebo hybridnom pracovnom prostredí. Podporuje globálne uznávané regulačné povinnosti, ako sú ISO/IEC 27001:2022 (najmä doložky týkajúce sa fyzickej bezpečnosti a bezpečnostne uvedomelého správania), články GDPR o ochrane údajov a dôvernosti a ďalšie rámce vrátane NIST SP 800-53, EU NIS2, EU DORA a COBIT 2019. Táto politika má široký rozsah a vzťahuje sa univerzálne na stálych aj dočasných zamestnancov, dodávateľov, poskytovateľov služieb tretích strán a dokonca aj návštevníkov, ktorí môžu mať prístup k dôverným pracovným priestorom. Prísne upravuje správanie v individuálnych kanceláriách, otvorených priestoroch, zasadacích miestnostiach a v prostrediach práce na diaľku alebo hybridnej práce, ako je hot-desking. Cieľom je štandardizovať bezpečnostne uvedomelé správanie tak, aby všetok personál bez ohľadu na rolu alebo miesto výkonu práce dodržiaval rovnaké pravidlá na ochranu informácií. Jasné požiadavky sú stanovené pre fyzické bezpečnostné opatrenia aj technologické kontrolné opatrenia. Používatelia musia udržiavať stoly bez vystavených citlivých dokumentov, uzamykať obrazovky pred odchodom, bezpečne ukladať alebo likvidovať dôverné materiály a nenechávať prihlasovacie údaje alebo zariadenia bez dozoru. Prevádzka IT má povinnosť nakonfigurovať systémy na časovače uzamknutia obrazovky nastavené na maximálne 5 minút, nasadiť filtre súkromia vo vysoko frekventovaných oblastiach a implementovať technické vynucovanie pre všetky koncové body. Tímy správy zariadení a aktív a fyzickej bezpečnosti poskytujú uzamykateľné úložiská, skartovačky a jasné označenie, zároveň vykonávajú pravidelné kontrolné prechádzky súladu a riešia porušenia. Zodpovednosti za vynucovanie a dohľad sú rozdelené medzi vrcholové vedenie, riaditeľa informačnej bezpečnosti (CISO)/manažéra ISMS, správu zariadení a aktív, IT a priamych nadriadených, čím sa zabezpečuje vrstvený prístup k zodpovednosti. Politika vyžaduje robustný program školení, proces nástupu a pravidelné opakovacie školenia na vzdelávanie všetkého personálu o rizikách spojených s ponechaním citlivých informácií bez dozoru. Pravidelné audity, sledovanie metrík súladu (napr. pozorované porušenia a záznamy o absolvovaní školení) a prísne eskalačné postupy pri nesúlade vrátane disciplinárnych opatrení HR preukazujú záväzok k prevádzkovej disciplíne aj právnej pripravenosti. Ošetrenie výnimiek a procesy reziduálneho rizika sú tiež zavedené a vyžadujú pokročilé schválenie, dokumentáciu a dodatočné kontrolné opatrenia pre akúkoľvek odchýlku. Komplexne táto politika zjednocuje správanie používateľov, návrh pracovného priestoru, technické vynucovanie a auditné procesy do opakovateľného rámca, ktorý je kľúčový pre odolnosť organizácie a dodržiavanie predpisov. Všetky aktualizácie sú riadené požiadavkami na preskúmanie a aktualizáciu, komunikované prostredníctvom oficiálnych kanálov a vyžadujú opätovné potvrdenie oboznámenia sa s politikou. Zosúladené politiky v oblasti politiky informačnej bezpečnosti, riadenia rizík, prípustného používania podnikových aktív, klasifikácie údajov, uchovávania a likvidácie a monitorovania ďalej posilňujú celkový systém správy a riadenia.