ISO 27001 munca la distanță: politica și controlul A.6.7

Din cele 93 de controale din Anexa A a ISO 27001:2022, unul se ocupă exclusiv de munca la distanță: controlul A.6.7. Odată ce munca iese din sediu, perimetrul clasic de securitate, biroul, dispare, iar regulile trebuie scrise explicit.

Munca la distanță sub ISO 27001 cere o politică scrisă care stabilește ce dispozitive sunt permise, cum se conectează angajatul (VPN, autentificare multifactor), cum se protejează datele în afara sediului și ce reguli se aplică echipamentelor personale. Controlul A.6.7 cere politica, iar A.8.1 acoperă securitatea laptopurilor și telefoanelor folosite de acasă.

Această politică este distinctă de politica de control acces, care reglementează cine primește acces la ce, și de politica generală de securitate a informației cerută de clauza 5.2. Toate trei sunt obligatorii și acoperă lucruri diferite.

De ce munca la distanță schimbă regulile de securitate

La birou, datele stau pe servere pe care le controlezi, în spatele unui firewall, într-o clădire cu acces restricționat. Angajatul lucrează pe rețeaua firmei, cu echipamente administrate de IT.

Acasă sau la o cafenea, nimic din toate astea nu mai e adevărat. Laptopul se conectează prin Wi-Fi-ul vecinului sau printr-o rețea publică. Documentele ajung pe dispozitive pe care nimeni nu le-a configurat. Ecranul cu date de client e vizibil oricui trece prin spatele angajatului.

Trei riscuri apar concret când munca iese din sediu:

• Interceptarea traficului pe rețele Wi-Fi nesecurizate
• Pierderea sau furtul laptopului cu date necriptate pe el
• Accesul neautorizat de pe dispozitive personale fără antivirus sau actualizări

Controlul A.6.7 nu cere să interzici munca la distanță. Cere să o reglementezi, astfel încât nivelul de securitate să fie comparabil cu cel din sediu.

Ce cere controlul A.6.7 din ISO 27001:2022

Controlul A.6.7 este un control de tip oameni din Anexa A. Cere o politică documentată care acoperă orice formă de lucru în afara sediului: de acasă, din alt oraș, de la client sau dintr-un spațiu de coworking.

Politica de muncă la distanță trebuie să stabilească minimum:

• Ce dispozitive sunt permise (laptop de serviciu, dispozitiv personal sau ambele)
• Cum se face conexiunea sigură: VPN obligatoriu și autentificare multifactor pentru aplicațiile cu date sensibile
• Cum se accesează, se transferă și se stochează informația confidențială
• Interdicția de a salva documente de lucru pe dispozitive personale necriptate
• Reguli pentru mediul fizic de lucru: ecran neexpus, blocarea sesiunii când pleci de la birou, documente tipărite păstrate sigur
• Ce face angajatul dacă pierde dispozitivul sau suspectează un incident

Autentificarea multifactor înseamnă combinarea a două elemente la logare: parola plus un cod dintr-o aplicație pe telefon sau o cheie fizică. Pentru date sensibile accesate de la distanță, a devenit practic obligatorie.

Trebuie o politică separată pentru munca la distanță sau e suficientă cea generală?

Ai nevoie de o politică separată, sau cel puțin de o secțiune dedicată. Politica generală de securitate stabilește direcția și angajamentele firmei. Politica de muncă la distanță coboară la concret: ce dispozitiv, ce conexiune, ce reguli acasă. Un auditor va cere să vadă regulile specifice pentru remote, nu doar principii generale.

Dispozitivele personale și regula BYOD: controlul A.8.1

Aici intră al doilea control relevant. A.8.1 (dispozitive endpoint ale utilizatorului) este un control tehnologic care acoperă orice laptop, telefon sau tabletă de pe care se accesează datele firmei, inclusiv dispozitivele personale, situația cunoscută ca BYOD (bring your own device).

Decizia practică pe care o iei în politică ține de cine deține dispozitivul:

Dacă firma oferă laptop de serviciu, IT-ul îl configurează complet: criptare de disc, antivirus, actualizări automate, ștergere de la distanță în caz de furt. Controlul e total, dar costul e mai mare.

Dacă angajatul folosește dispozitivul personal, ai nevoie de reguli minime impuse înainte de acces: criptare activată, parolă sau biometrie, antivirus actualizat, separarea datelor de lucru de cele personale (de obicei printr-un profil de lucru sau o aplicație de tip container).

Dacă se lucrează ocazional de pe telefon personal, limitezi accesul la strictul necesar (de exemplu doar email, cu posibilitatea de ștergere de la distanță), fără date care se descarcă local.

Criptarea dispozitivului este măsura care contează cel mai mult. Un laptop pierdut cu disc criptat este un laptop pierdut. Un laptop pierdut cu disc necriptat este o breșă de date care se raportează la ANSPDCP. Regulile de criptare se documentează în politica de criptografie.

Pot lăsa angajații să folosească laptopul personal?

Da, ISO 27001 nu interzice BYOD. Dar trebuie să impui condiții verificabile înainte de acces: criptare, antivirus, actualizări la zi și separarea datelor de firmă. Fără aceste condiții, controlul A.8.1 nu e îndeplinit, iar la audit primești o neconformitate. Multe firme aleg compromisul: dispozitiv de serviciu pentru cei care lucrează cu date sensibile, BYOD limitat pentru restul.

Cum scrii politica de muncă la distanță

Nu ai nevoie de un document de 30 de pagini. O politică de muncă la distanță funcțională are 3 până la 5 pagini și trece prin pașii următori:

1. Definește cine intră sub politică: toți angajații care lucrează vreodată în afara sediului, inclusiv contractorii.
2. Stabilește dispozitivele permise și cerințele minime pentru fiecare tip (serviciu vs personal).
3. Impune conexiunea sigură: VPN pentru acces la resursele interne, autentificare multifactor pentru aplicațiile cloud.
4. Scrie regulile pentru date: ce se poate descărca local, ce rămâne în cloud, cum se transferă fișierele.
5. Adaugă regulile pentru mediul fizic: ecran neexpus, blocare automată, documente tipărite.
6. Definește procedura de incident: pe cine anunți și în cât timp dacă pierzi dispozitivul.
7. Pune angajatul să semneze că a citit și a înțeles politica. Semnătura e dovada ta la audit.

Sfat practic: leagă politica de instruirea angajaților. Un document pe care nimeni nu l-a citit nu te ajută nici la securitate, nici la audit. O sesiune scurtă la angajare și una anuală de reamintire sunt suficiente.

Ce cere legea română: telemunca, NIS2 și GDPR

În România, munca la distanță are și un cadru legal propriu, peste cerințele ISO 27001. Trei reglementări se suprapun pe aceeași zonă.

Legea 81/2018 privind telemunca obligă angajatorul (art. 5) să informeze telesalariatul despre regulile de protecție a datelor cu caracter personal și să stabilească în contractul individual de muncă responsabilitățile părților, inclusiv în domeniul securității. Tot legea cere angajatorului să asigure mijloacele de tehnologia informației și echipamentele de muncă sigure, dacă părțile nu convin altfel.

OUG 155/2024, care transpune Directiva NIS2 și e în vigoare din 30 decembrie 2024, cere entităților esențiale și importante politici de control al accesului și autentificare multifactor. Dacă firma ta intră sub NIS2, regulile de acces remote nu mai sunt opționale, iar DNSC verifică respectarea lor.

GDPR, prin articolul 32, cere măsuri tehnice și organizatorice adecvate pentru securitatea datelor personale. Accesul de la distanță este exact zona unde aceste măsuri se testează în practică.

Vestea bună: dacă implementezi controlul A.6.7 conform ISO 27001, acoperi simultan și cerințele din Legea 81/2018, OUG 155/2024 și GDPR art. 32 legate de munca remote. Un singur set de politici, trei cadre legale acoperite.

Telemunca din Legea 81/2018 are legătură cu ISO 27001?

Da, se suprapun direct. Legea 81/2018 cere ca în contractul de telemuncă să fie trecute responsabilitățile de securitate și protecția datelor. Politica de muncă la distanță din ISO 27001 (controlul A.6.7) este chiar documentul care detaliază aceste responsabilități. Dacă ai una, o folosești ca anexă sau referință la contractele de telemuncă.

Exemplu: o firmă de software cu echipă remote

Ai un SRL cu 22 de angajați care dezvoltă software, cu sediul în Iași, dar 16 oameni lucrează integral de acasă, unii din alte orașe. Ai un contract cu un client din zona financiară care cere certificare ISO 27001 ca o condiție în contract. Auditul de certificare e peste 4 luni.

Situația de start: jumătate din echipă folosește laptopuri personale, fără criptare obligatorie, fără politică scrisă de remote. Accesul la repository-ul de cod și la serverul de staging se face direct, fără VPN.

Ce implementezi pentru controlul A.6.7 și A.8.1: o politică de muncă la distanță de 4 pagini, VPN obligatoriu pentru accesul la resursele interne, autentificare multifactor pe toate conturile cloud și criptare de disc activată pe fiecare laptop. Pentru cei 16 remoteri impui un set minim de cerințe pe dispozitiv, verificate printr-un mic checklist semnat. Datele de client rămân în cloud, nu se descarcă local.

Rezultatul la audit: auditorul cere politica, dovada că angajații au semnat-o și dovada tehnică (configurarea VPN, criptarea pe câteva laptopuri alese aleatoriu). Pentru că ai mapat A.6.7 pe regulile din contractul de telemuncă, acoperi în același timp și cerința din Legea 81/2018. Certificatul susține contractul cu clientul financiar, iar accesul remote nu mai e o vulnerabilitate deschisă.