Politika dela na daljavo

Politika dela na daljavo (P09) zagotavlja celovit okvir za upravljanje varnega oddaljenega dostopa in zmanjševanje edinstvenih tveganj, povezanih z razpršenimi delovnimi okolji. Namenjena je vsemu osebju, vključno s polno zaposlenimi, delno zaposlenimi, pogodbenimi zaposlenimi, ponudniki storitev, svetovalci, dobavitelji in osebjem na projektih, ki so pooblaščeni za opravljanje delovnih nalog zunaj prostorov podjetja. Politika velja v vseh geografskih območjih in časovnih pasovih, kjer organizacija deluje, ter zagotavlja enoten osnovni nabor kontrol ne glede na to, kje ali kdaj poteka delo na daljavo. Njen osrednji namen je ohranjati zaupnost, celovitost in razpoložljivost organizacijskih informacijskih sredstev, do katerih se dostopa ali se z njimi ravna izven lokacije. Politika to dosega z uvedbo robustnih tehnoloških in postopkovnih varovalnih ukrepov, kot so obvezno šifriranje, močna avtentikacija (vključno z večfaktorsko avtentikacijo (MFA)), zaščita končnih točk in varni kanali dostopa, kot so navidezno zasebno omrežje (VPN) ali oddaljena namizja. Tesno je usklajena z zahtevami ISO/IEC 27001:2022, vključno s Prilogo A, kontrolo 6.7, ki se osredotoča na varne pogoje dela na daljavo ter zagotavlja, da so obravnavane tako fizične kot logične zaščite dostopa. Kontrole se odzivajo tudi na industrijske predpise, kot je NIST SP 800-53 (za nadzor dostopa in kriptografske zaščite), GDPR in NIS2 (za varnost podatkov in zasebnost podatkov) ter DORA (za odpornost finančnih IKT). Posamezni deli politike opredeljujejo vloge in odgovornosti v okviru najvišjega vodstva, vodstva informacijske varnosti (vodja informacijske varnosti (CISO)/vodja ISMS), IT-operacij, človeških virov (HR), neposrednih vodij, prava in skladnosti ter oddaljenega osebja. Na primer, IT je zadolžen za uvajanje in podporo varne infrastrukture, sledenje skladnosti naprav in vzdrževanje dnevnikov dogodkov. Zaposleni in pogodbeni oddaljeni delavci morajo upoštevati pravila varne uporabe naprav, odobrene metode dostopa, pravila ravnanja s podatki ter nemudoma poročati o vseh incidentih informacijske varnosti ali izgubi naprave. Politika strogo prepoveduje oddaljeni dostop, razen prek pooblaščenih konfiguracij, in zahteva, da vse naprave, v lasti podjetja ali za uporabo lastnih naprav (BYOD), izpolnjujejo osnovno varnost (konfiguracija, nameščanje popravkov, šifriranje, zaščita pred zlonamerno programsko opremo) ter zahteve glede registracije. Mehanizmi upravljanja v politiki strogo obravnavajo obravnavo tveganj, upravljanje izjem in uveljavljanje. Kategorije tveganj, kot so kraja poverilnic, iznos podatkov, notranje grožnje, regulativne kršitve in kompromitacija z zlonamerno programsko opremo, so neposredno obravnavane z večplastnimi kontrolami: nadzor dostopa na podlagi vlog, opozarjanje SIEM, varnost končnih točk, pravila ravnanja s podatki in usposabljanje uporabnikov. Poleg tega morajo biti vse izjeme odobrene s strani vodje informacijske varnosti (CISO), dokumentirane in periodično pregledane. Stalni nadzor se zagotavlja prek spremljanja, centraliziranega revizijskega beleženja in opredeljenih postopkov presoje. Kršitve politike so predmet preklica dostopa, disciplinskih ukrepov, prenehanja pogodbe ali pravnih ukrepov. Politika se tesno integrira tudi s povezanimi politikami, vključno s Politiko informacijske varnosti, Politiko sprejemljive uporabe, politiko nadzora dostopa, okvirom za obvladovanje tveganj, upravljanjem sredstev, politiko hrambe podatkov ter Politiko beleženja in spremljanja, da tvori celovit model upravljanja dela na daljavo. Letni ali dogodkovno sprožen cikel pregleda zagotavlja odzivnost na razvijajoče se grožnje, regulativne spremembe ali tehnološki napredek, pri čemer so vse posodobitve formalno sporočene in potrjene. To dosledno uveljavlja varno, skladno in zanesljivo delovanje v vseh scenarijih dela na daljavo.