Policy för rent skrivbord och ren skärm

Policy för rent skrivbord och ren skärm (P10) fastställer rigorösa kontroller för att säkerställa att känslig information skyddas mot obehörig åtkomst, röjande, förlust eller stöld i alla fysiska eller hybridarbetsmiljöer. Den stödjer globalt erkända regulatoriska skyldigheter såsom ISO/IEC 27001:2022 (särskilt klausuler som behandlar fysisk säkerhet och säkerhetsmedvetet beteende), GDPR-artiklar om dataskydd och konfidentialitet samt andra ramverk inklusive NIST SP 800-53, EU NIS2, EU DORA och COBIT 2019. Denna policy har en bred ISMS-omfattning och gäller universellt för tillsvidareanställda och tillfälligt anställda, uppdragstagare, tredjepartstjänsteleverantörer och även besökare som kan ha tillgång till konfidentiella arbetsytor. Den styr strikt uppförande i enskilda kontor, öppna ytor, mötesrum samt distans- eller hybridarbetsmiljöer såsom hot-desking. Syftet är att standardisera säkert beteende så att all personal, oavsett roll eller arbetsplats, måste följa samma regler för att skydda information. Tydliga krav fastställs för både fysiska och tekniska kontrollmedel. Användare måste hålla skrivbord fria från exponerade känsliga dokument, låsa skärmar innan de lämnar platsen, förvara eller bortskaffa konfidentiellt material på ett säkert sätt och inte lämna autentiseringsuppgifter eller enheter utan uppsikt. IT åläggs att konfigurera system med skärmlåstimers inställda på högst 5 minuter, distribuera sekretessfilter i högtrafikerade områden och implementera tekniskt genomdrivande för alla slutpunkter. Fastighets- och tillgångsförvaltning och fysisk säkerhet tillhandahåller låsbara förvaringslösningar, dokumentförstörare och tydlig skyltning samt genomför regelbundna efterlevnadsrundor och hanterar överträdelser. Ansvar för genomdrivande och tillsyn fördelas mellan högsta ledningen, informationssäkerhetschef (CISO)/ISMS-ansvarig, fastighets- och tillgångsförvaltning, IT-drift och linjechefer, vilket säkerställer ett lagerindelat angreppssätt för ansvarsskyldighet. Policyn kräver ett robust medvetenhets- och utbildningsramverk, introduktion och återkommande repetitionsutbildning för att utbilda all personal om riskerna med obevakad känslig information. Regelbundna revisioner, statusuppföljning av kampanjmätetal för efterlevnad (såsom observerade överträdelser och register över genomförda utbildningar) samt strikta eskaleringsvägar vid bristande efterlevnad, inklusive disciplinära åtgärder via HR, visar ett åtagande för både operativ disciplin och rättslig beredskap. Undantagshantering och processer för kvarstående risk finns också på plats och kräver avancerat godkännande, dokumenterade undantag och ytterligare kontroller vid varje avvikelse. Sammanfattningsvis förenar denna policy användarbeteende, arbetsytedesign, tekniskt genomdrivande och revisionsprocesser i ett repeterbart ramverk som är avgörande för organisatorisk motståndskraft och regelefterlevnad. Alla uppdateringar är översyns- och uppdateringskontrollerade, kommuniceras via officiella kanaler och kräver policybekräftelse på nytt. Anpassade policyer för informationssäkerhet, informationssäkerhetsriskhantering, tillgångshantering, dataklassificering, datalagringspolicy, bortskaffning och övervakning förstärker ytterligare det övergripande styrningssystemet.