Politika čiste mize in čistega zaslona

Politika čiste mize in čistega zaslona (P10) vzpostavlja stroge kontrole za zagotovitev, da so občutljive informacije zaščitene pred nepooblaščenim dostopom, razkritjem, izgubo ali krajo v katerem koli fizičnem ali hibridnem delovnem okolju. Podpira globalno priznane regulativne obveznosti, kot so ISO/IEC 27001:2022 (zlasti klavzule, ki obravnavajo fizično varnost in varnostno ozaveščeno vedenje), členi GDPR o varstvu podatkov in zaupnosti ter druge okvire, vključno z NIST SP 800-53, EU NIS2, EU DORA in COBIT 2019. Ta politika ima širok obseg in velja univerzalno za stalne in začasne zaposlene, pogodbene izvajalce, ponudnike storitev tretjih oseb in celo obiskovalce, ki lahko imajo dostop do zaupnih delovnih prostorov. Strogo ureja ravnanje v posameznih pisarnah, odprtih prostorih, sejnih sobah ter okoljih dela na daljavo ali hibridnega dela, kot je hot-desking. Cilj je standardizirati varno vedenje, tako da mora vse osebje, ne glede na vlogo ali lokacijo dela, upoštevati enaka pravila za varovanje informacij. Jasne zahteve so določene tako za fizične kot tehnološke načine nadzora. Uporabniki morajo ohranjati mize brez izpostavljenih občutljivih dokumentov, zaklepati zaslone pred odhodom, varno shranjevati ali odstranjevati zaupne materiale ter ne puščati poverilnic ali naprav brez nadzora. IT mora konfigurirati sisteme za časovnike zaklepa zaslona, nastavljene na največ 5 minut, uvesti filtre zasebnosti na območjih z velikim pretokom in izvajati tehnično uveljavljanje za vse končne točke. Ekipe za upravljanje objektov in sredstev ter fizična varnost zagotavljajo zaklenljive shranjevalne rešitve, uničevalnike dokumentov in jasno označevanje, hkrati pa izvajajo redne preglede skladnosti in obravnavajo kršitve. Odgovornosti za uveljavljanje in nadzor so porazdeljene med izvršno vodstvo, vodjo informacijske varnosti (CISO)/vodjo ISMS, upravljanje objektov in sredstev, IT in neposredne vodje, kar zagotavlja večplastni pristop k odgovornosti. Politika zahteva robusten program usposabljanja, uvajanje in periodično osvežitveno usposabljanje za izobraževanje vsega osebja o tveganjih, povezanih z nenadzorovanimi občutljivimi informacijami. Redne presoje, sledenje kazalnikom skladnosti (kot so opažene kršitve in zapisi o opravljenih usposabljanjih) ter stroge eskalacijske poti za neskladnost, vključno s kadrovskimi disciplinskimi ukrepi, dokazujejo zavezanost tako operativni disciplini kot pravni pripravljenosti. Vzpostavljeni so tudi procesi obravnave izjem in preostalo tveganje, ki zahtevajo napredno odobritev, dokumentacijo in dodatne kontrole za vsako odstopanje. Celovito ta politika združuje vedenje uporabnikov, zasnovo delovnega prostora, tehnično uveljavljanje in revizijske procese v ponovljiv okvir, ki je ključen za organizacijsko odpornost in skladnost s predpisi. Vse posodobitve so nadzorovane s postopki pregleda, komunicirane prek uradnih kanalov in zahtevajo ponovno potrditev seznanitve s politiko. Usklajene politike o informacijski varnosti, obvladovanju tveganj, ravnanju s sredstvi, razvrščanju podatkov, hrambi, odstranjevanju in spremljanju dodatno krepijo celoten sistem upravljanja.