سياسة المكتب و سطح المكتب النظيف

تخيل هذا المشهد: موظف في مكتبه ، في مكتب مفتوح ، يراجع في دفتر ملاحظاته بعض البيانات لإعداد تقرير عن النتائج المالية للربع الأخير. يتلقى مكالمة هاتفية من رئيسه حول اجتماع سريع في اللحظة الأخيرة ، أو ببساطة يذهب في استراحة لشرب القهوة ، ويترك مكتبه.

هذا الموقف أكثر شيوعًا مما تتخيله ، وقد يمثل مخاطرة كبيرة للمعلومات ، لأنه بدون التدابير المناسبة ، يمكن الوصول إلى جميع المعلومات والأصول التي يتركها الموظف على المكتب أو رؤيتها أو أخذها من قبل شخص غير مصرح له. وإذا كان هناك نظام معلومات تم تسجيل دخوله ، فيمكن لأي شخص لديه إمكانية الوصول إلى المكتب القيام بأنشطة باسم الموظف الغائب.

يمكن أن يوفر ISO 27001 ، وهو إطار عمل شائع لأمن المعلومات ، و ISO 27002 ، رمز ممارسة مفصل ، توجيهًا جيدًا حول كيفية التعامل مع هذه المخاطر ، عن طريق التحكم الأمني A.7.7 - مكتب واضح وشاشة واضحة. دعونا نلقي نظرة فاحصة عليه.

مكتب واضح وشاشة واضحة ISO 27001 - أفضل الممارسات

استخدام المناطق المغلقة
حماية الأجهزة وأنظمة المعلومات
تقييد استخدام تقنية النسخ والطباعة
اعتماد الثقافة اللاورقية
التخلص من المعلومات المتبقية في غرف الاجتماعات

ما هو المكتب الواضح والشاشة الواضحة؟

إذن ، ما هي الشاشة الواضحة ، وما هو المكتب الواضح ، وما الذي يدور حوله كل شيء؟ يشير المكتب الواضح والشاشة الواضحة إلى الممارسات المتعلقة بضمان عدم ترك المعلومات الحساسة ، في كل من الأشكال الرقمية والمادية ، والأصول (على سبيل المثال ، أجهزة الكمبيوتر المحمولة ، والهواتف المحمولة ، والأجهزة اللوحية ، وأنظمة المعلومات ، وما إلى ذلك) دون حماية في أماكن العمل الشخصية والعامة عندما ليست قيد الاستخدام ، أو عندما يغادر شخص ما مكان عمله ، إما لفترة قصيرة أو في نهاية اليوم.
لماذا تعتبر سياسة المكتب الواضحة وسياسة الشاشة الواضحة مهمة؟

تعد سياسة المكتب الواضحة وسياسة الشاشة الواضحة أدوات لتوضيح كيفية التعامل مع معلوماتها وأصولها للموظفين وغيرهم من الأشخاص.

إنها إرشادات حول كيفية المتابعة بشكل صحيح فيما يتعلق بالمعلومات والمواد الأخرى المحفوظة في مساحة العمل.

ما الذي يتطلبه المكتب الواضح وسياسة الشاشة الواضحة المتوافقة مع ISO 27001؟

الامتثال لمعيار ISO 27001  رقم  A.7.7- مكتب واضح وشاشة واضحة يتطلبان إجراءات ذات تقنية منخفضة جدًا:

يجب تأمين الأصول بعيدًا عند عدم الحاجة إليها
يجب ترك أجهزة الكمبيوتر والمحطات الطرفية في وضع تسجيل الخروج أو حمايتها بآلية قفل الشاشة ، أو ما شابه ذلك ، عندما تكون غير مراقبة أو لا تكون قيد الاستخدام
لا يجوز استخدام آلات التصوير وما يماثلها إلا عندما يُصرح بذلك
يجب إزالة الوسائط من الطابعات على الفور

يجب تطبيق هذه الإجراءات على المعلومات مع مراعاة:

مستوى المعلومات (على سبيل المثال ، الحساسة أو السرية) التي تتطلب معالجة آمنة
المتطلبات القانونية والتعاقدية التي تتطلب حماية المعلومات
تحديد المخاطر التنظيمية
الجانب الثقافي
التدابير التي ينبغي اعتمادها لتأمين المكاتب والأجهزة والوسائط (كما رأينا في القسم السابق)

استخدام المناطق المقفلة: يجب أن تكون الأدراج القابلة للقفل ، وخزانات الأرشيف ، والخزائن ، وغرف الملفات متاحة لتخزين وسائط المعلومات (على سبيل المثال ، المستندات الورقية ، ومحركات أقراص USB المحمولة ، وبطاقات الذاكرة ، وما إلى ذلك) أو الأجهزة القابلة للنقل بسهولة (مثل الهواتف المحمولة والأجهزة اللوحية ، وأجهزة الكمبيوتر المحمولة) عندما لا تكون مطلوبة ، أو عندما لا يكون هناك من يعتني بها.

حماية الأجهزة وأنظمة المعلومات: يجب وضع أجهزة الكمبيوتر والأجهزة المماثلة بطريقة تتجنب الأشخاص المارة لإتاحة الفرصة لهم للنظر إلى شاشاتهم ، وتهيئتها لاستخدام حافظات الشاشة التي يتم تنشيطها بالوقت والحماية بكلمة مرور لتقليل فرص ذلك شخص ما يستفيد من المعدات غير المراقبة. بالإضافة إلى ذلك ، يجب تسجيل خروج أنظمة المعلومات عندما لا تكون قيد الاستخدام. في نهاية اليوم ، يجب إغلاق الأجهزة ، خاصة تلك المتصلة بالشبكة (كلما قل وقت تشغيل الجهاز ، قل الوقت المتاح لشخص ما لمحاولة الوصول إليه).

القيود المفروضة على استخدام تقنية النسخ والطباعة: يجب التحكم في استخدام الطابعات وآلات التصوير والماسحات الضوئية والكاميرات ، على سبيل المثال ، عن طريق تقليل كميتها (كلما قل عدد الوحدات المتاحة ، قل عدد نقاط تسرب البيانات المحتملة) أو عن طريق استخدام وظائف التعليمات البرمجية التي تسمح فقط للأشخاص المصرح لهم بالوصول إلى المواد المرسلة إليهم. وأي معلومات يتم إرسالها إلى الطابعات يجب استعادتها في أقرب وقت ممكن عمليًا.

اعتماد ثقافة غير ورقية: يجب عدم طباعة المستندات دون داع ، وعدم ترك الملاحظات اللاصقة على الشاشات أو أسفل لوحات المفاتيح. تذكر أنه حتى المعلومات الصغيرة قد تكون كافية للمخالفين لاكتشاف جوانب من حياتك ، أو من عمليات المؤسسات ، التي يمكن أن تساعدهم على تعريض المعلومات للخطر.

التخلص من المعلومات المتبقية في غرف الاجتماعات: يجب محو جميع المعلومات الموجودة على السبورة البيضاء ويجب التخلص من جميع قطع الأوراق المستخدمة أثناء الاجتماع (على سبيل المثال ، باستخدام آلة تمزيق الورق).

بالإضافة إلى ذلك ، يجب على المنظمة أيضًا مراعاة ما يلي بشكل دوري:

فعاليات التدريب والتوعية للتواصل مع الموظفين والأشخاص الآخرين المشاركين في جوانب السياسة. من الأمثلة الجيدة الملصقات وتنبيهات البريد الإلكتروني والتذكيرات في توقيعات البريد الإلكتروني والرسائل الإخبارية وما إلى ذلك.
تقييمات امتثال الموظفين لممارسات السياسة (دعنا نقول ، مرتين في السنة) ، من خلال تضمين هذه السياسة في عمليات التدقيق الداخلية ، أو ببساطة عن طريق النظر حول محطات العمل بشكل عشوائي لمعرفة ما إذا كان يتم اتباع السياسة.

ما هو التدقيق المكتبي النظيف؟ إنها طريقة منهجية لتقييم ما إذا كان يتم تنفيذ القواعد المخططة والتدابير المادية والتكنولوجية واتباعها من قبل الموظفين.

لا تكن ضحية لأعين المتطفلين والوصول غير المصرح به

يمكن أن يؤدي نقص العناية بمساحة العمل إلى تعرض المعلومات الشخصية أو التنظيمية للخطر. يمكن الكشف عن كلمات المرور والبيانات المالية ورسائل البريد الإلكتروني الحساسة ، مما يؤثر على الخصوصية أو الميزة التنافسية. يمكن أن يتسبب المستند المفقود الذي يحتوي على معلومات حول تاريخ استحقاق العقد / العرض في ضياع عطاء وانخفاض في الإيرادات المتوقعة.

سواء كان ذلك بسبب حوادث أو خطأ بشري أو إجراءات خبيثة ، يمكن تجنب هذه النتائج السلبية من خلال اعتماد ومراجعة التدابير منخفضة التقنية التي يمكن الوصول إليها والمتعلقة بمكتب واضح وسياسة شاشة واضحة. لذلك ، لا تنتظر حدوث هذه المواقف قبل اتخاذ أي إجراء. في هذه الحالة ، لن تكون تكلفة الحل ذريعة لعدم التصرف بشكل وقائي.