Politika práce na diaľku

Politika práce na diaľku (P09) poskytuje komplexný rámec na riadenie bezpečného vzdialeného prístupu a zmierňovanie jedinečných rizík spojených s distribuovanými pracovnými prostrediami. Je určená pre všetok personál vrátane zamestnancov na plný úväzok, na čiastočný úväzok, zmluvných zamestnancov, poskytovateľov služieb tretích strán, konzultantov, dodávateľov a personálu pracujúceho na projektoch, ktorí sú oprávnení vykonávať pracovné povinnosti mimo priestorov organizácie. Politika je účinná vo všetkých geografických oblastiach a časových pásmach, v ktorých organizácia pôsobí, a zabezpečuje jednotný základný súbor kontrolných opatrení bez ohľadu na to, kde alebo kedy sa práca na diaľku vykonáva. Jej hlavným účelom je udržiavať dôvernosť, integritu a dostupnosť informačných aktív organizácie, ku ktorým sa pristupuje alebo s ktorými sa nakladá mimo pracoviska. Politika to dosahuje zavedením robustných technologických kontrolných opatrení a postupov, ako sú povinné šifrovanie, silná autentifikácia (vrátane viacfaktorovej autentifikácie), ochrana koncových bodov a bezpečné prístupové kanály, ako je virtuálna privátna sieť (VPN) alebo vzdialené pracovné plochy. Je úzko zosúladená s požiadavkami ISO/IEC 27001:2022 vrátane Prílohy A, kontroly 6.7, ktorá sa zameriava na bezpečné podmienky práce na diaľku a zabezpečuje, že sú riešené fyzické aj logické ochrany. Kontroly tiež reagujú na odvetvové predpisy, ako sú NIST SP 800-53 (pre riadenie prístupu a kryptografické ochrany), GDPR a NIS2 (pre bezpečnosť údajov a ochranu údajov) a DORA (pre odolnosť finančných IKT). Konkrétne časti politiky vymedzujú roly a zodpovednosti naprieč výkonným manažmentom, vedením informačnej bezpečnosti (riaditeľ informačnej bezpečnosti (CISO)/manažér ISMS), prevádzkou IT, ľudskými zdrojmi (HR), priamymi nadriadenými, právnymi záležitosťami a súladom s predpismi a samotným personálom pracujúcim na diaľku. Napríklad IT má za úlohu nasadzovať a podporovať bezpečnú infraštruktúru, sledovať súlad zariadení a udržiavať záznamy o udalostiach. Zamestnanci a zmluvní pracovníci pracujúci na diaľku musia dodržiavať bezpečné používanie zariadení, schválené metódy prístupu, pravidlá nakladania s údajmi a bezodkladne nahlasovať akékoľvek bezpečnostné incidenty alebo stratu zariadenia. Politika prísne zakazuje vzdialený prístup inak ako prostredníctvom autorizovaných konfigurácií a vyžaduje, aby všetky zariadenia, či už podnikové alebo používané v rámci používania vlastných zariadení (BYOD), spĺňali základné bezpečnostné požiadavky (konfigurácia, záplatovanie, šifrovanie, ochrana pred škodlivým kódom) a požiadavky inventarizácie aktív. Mechanizmy správy v rámci politiky riešia ošetrenie rizík, riadenie výnimiek a prísne vynucovanie. Rizikové kategórie, ako je krádež poverení, exfiltrácia údajov, vnútorné hrozby, regulačné porušenia a kompromitácia škodlivým kódom, sú priamo riešené vrstvenými kontrolami: riadenie prístupu na základe rolí, upozorňovanie SIEM, zabezpečenie koncových bodov, pravidlá nakladania s údajmi a školenie používateľov. Okrem toho musia byť všetky výnimky schválené CISO, zdokumentované a pravidelne preskúmavané. Nepretržitý dohľad sa udržiava prostredníctvom monitorovania, centralizovaného auditného logovania a definovaných auditných procesov. Porušenia politiky podliehajú zrušeniu prístupových oprávnení, disciplinárnym opatreniam, ukončeniu zmluvy alebo právnym krokom. Politika sa tiež úzko integruje so súvisiacimi politikami vrátane Politiky informačnej bezpečnosti, Politiky prijateľného používania, Politiky riadenia prístupu, rámca riadenia rizík, správy aktív, Politiky uchovávania údajov a likvidácie a Politiky zaznamenávania a monitorovania, aby vytvorila end-to-end model správy práce na diaľku. Jej ročný alebo udalosťami riadený cyklus preskúmania zabezpečuje reakcieschopnosť na vyvíjajúce sa hrozby, regulačné zmeny alebo technologický pokrok, pričom všetky aktualizácie sú formálne komunikované a vyžaduje sa potvrdenie oboznámenia sa s politikou. Tým sa konzistentne vynucuje bezpečná, súladná a spoľahlivá prevádzka vo všetkých scenároch práce na diaľku.