Politika pre používanie zariadení v osobnom vlastníctve (BYOD: Bring your own device) – vzor

Politika pre používanie zariadení v osobnom vlastníctve (BYOD: Bring your own device)

Pozn.: Doplniť obvyklé údaje pre dokumentáciu organizácie (názov spoločnosti, vydanie, revízie, vypracoval, kontakt, schválil, podpisový hárok atď.). Je nevyhnutné, aby si každá organizácia dokumentáciu odborne prispôsobila na svoje konkrétne potreby a podmienky.

1. Účel, rozsah a užívatelia

Účelom tohto dokumentu je vymedziť, ako organizácia riadi informácie, ktoré sú uložené, spracovávané a prenášané na zariadeniach, ktoré nie sú vo vlastníctve organizácie.

Tento dokument sa vzťahuje na všetky zariadenia v osobnom vlastníctve, ktoré majú schopnosť ukladať, prenášať alebo spracovávať citlivé informácie z rozsahu Bezpečnostnej dokumentácie KB. Tieto zariadenia zahŕňajú notebooky, smart telefóny, tablety, USB pamäťové karty, digitálne fotoaparáty atď. Takéto zariadenia sa nazývajú v tejto politike BYOD (bring your own device) zariadenia.

2. Referenčné dokumenty a skratky

• ISO/IEC 27001 štandardy, časti A.6.2.1, A.6.2.2, A.13.2.1
• Bezpečnostná dokumentácia GDPR, KB

Táto bezpečnostná politika používa primárne pojmy definované v čl. 4 GDPR, pričom ich dopĺňa aj ďalšími pojmami, ktoré majú na účely tejto bezpečnostnej politiky nasledovný význam:

• „Autentizácia“ je proces overenia identity. U osôb ide o overenie totožnosti používateľa, t.j. zistenie, či identita, ktorú používateľ uviedol, je naozaj pravá (autentická);
• „Autentizačný prvok“, tiež autentizačný údaj, autentizačná informácia. V prípade údaja/informácie ide o údaj/informáciu, ktorá je známa len a výhradne jej vlastníkovi. Slúži na potvrdenie pravosti a dôveryhodnosti identity vlastníka. Takouto informáciou alebo údajom je napríklad heslo, PIN alebo grid karta. V prípade autentizačného prvku  spravidla ide o elektronické hardvérové zariadenie. Používa sa v prípadoch potreby silnej autentizácie;
• „Aktíva“ znamenajú všetko, čo má pre prevádzkovateľa nejakú hodnotu. Na účely tejto bezpečnostnej politiky sú aktívom primárne osobné údaje dotknutých osôb, ktoré spracúva Prevádzkovateľ; v širšom slova zmysle ide najmä o ďalšie dôležité informácie a dokumentáciu spoločnosti, zmluvy, ktoré uzatvorila spoločnosť, programové vybavenie a technické zariadenia spoločnosti, poskytované služby v rámci podnikateľskej činnosti, kvalifikovaných zamestnancov, dobré meno spoločnosti a jej nehmotný majetok ...