Politika sprejemljive uporabe – SME

Politika sprejemljive uporabe (AUP) – različica SME (dokument P03S) je zasnovana za vzpostavitev jasnih, praktičnih in izvršljivih standardov za odgovorno uporabo IT sredstev podjetja v malih in srednje velikih podjetjih (SME). Njen primarni poudarek je zagotoviti, da vsi posamezniki, vključno z zaposlenimi, pogodbenimi izvajalci, začasnim osebjem in celo ponudniki storitev tretjih oseb, v celoti razumejo svoje obveznosti in pričakovanja glede vedenja pri dostopu do organizacijskih sistemov, bodisi na lokaciji, pri oddaljenem dostopu ali v hibridnih okoljih. Ta politika je izrecno prilagojena za SME, kar se kaže v uporabi splošnih vodstvenih vlog, kot je glavni izvršni direktor, namesto specializiranih IT- ali varnostnih funkcij, zaradi česar je dostopna organizacijam brez namenskih notranjih ekip IT ali varnosti, ki pa si prizadevajo za strogo skladnost z ISO/IEC 27001:2022. Celovita AUP opredeljuje, kaj predstavlja sprejemljivo in nesprejemljivo uporabo naprav v lasti podjetja, osebnih naprav (uporaba lastnih naprav (BYOD)), omrežja, oblačnih platform in vseh programskih orodij v uporabi. Podrobno opisuje mehanizme upravljanja, kot so odobrena strojna oprema in protokoli, popis sredstev odobrene strojne opreme in programske opreme, zahteve za predhodno odobritev in varno konfiguracijo uporabe lastnih naprav (BYOD) ter vzdrževanje dnevnikov dejavnosti za sledenje kršitvam ali incidentom. Spremljanje izvajata vodja IT ali pooblaščeni zunanji ponudnik, vendar vedno v mejah legitimnih poslovnih interesov in veljavnih zakonov o zasebnosti. Ta pristop vzpostavlja ravnotežje med varnostjo, zasebnostjo in izvedljivostjo za organizacijo. Politika določa tudi celovit okvir obravnave tveganja in upravljanje izjem: tveganja, kot so okužba z zlonamerno programsko opremo, kršitve varnosti osebnih podatkov in škoda za ugled zaradi zlorabe, se zmanjšujejo z večplastnimi tehnološkimi nadzornimi ukrepi in programi ozaveščanja uporabnikov. Zahtevki za izjemo, kot je uporaba neodobrenih orodij, morajo biti formalno dokumentirani, izvedena mora biti ocena tveganja, določena časovna omejitev in izrecna odobritev, običajno s strani glavnega izvršnega direktorja ali ponudnika IT. Močan poudarek na dokumentaciji, sprožilcih pregledov in letnem ponovnem potrjevanju politike zagotavlja, da politika ostane učinkovita, ko se tehnologije, grožnje in zakonske zahteve razvijajo. Določbe o uveljavljanju so robustne. Vse domnevne ali opažene kršitve je treba nemudoma prijaviti, z jasno eskalacijo do vodje IT ali glavnega izvršnega direktorja. Ukrepi uveljavljanja lahko vključujejo zaklep sistema ali dostopa, ustna ali pisna opozorila in celo postopek prenehanja pogodbe tako za osebje kot za ponudnike storitev tretjih oseb. Pogodbeno zavezujoča narava politike za tretje osebe zagotavlja dosledno uporabo varnostnih standardov v dobavni verigi organizacije. Nazadnje integracija AUP z drugimi ključnimi politikami SME – politika nadzora dostopa, Politika ozaveščanja in usposabljanja za informacijsko varnost, Politika dela na daljavo, politike varstva podatkov in Politika odzivanja na incidente (P30) – zagotavlja celovito pokritost varnostnih odgovornosti. Rezultat je enostavno izvedljiv, z ISO 27001:2022 usklajen okvir za podjetja, ki si prizadevajo za skladnost in zmanjšanje tveganj tudi brez velikih oddelkov IT ali varnosti.