Politik for acceptabel brug - SME

Politik for acceptabel brug (AUP) – SME-version (dokument P03S) er udformet til at etablere klare, praktiske og håndhævelige standarder for ansvarlig brug af virksomhedens autoriserede it-ressourcer i små og mellemstore virksomheder (SME'er). Det primære fokus er at sikre, at alle personer, herunder medarbejdere, kontrahenter, midlertidigt personale og endda tredjepartstjenesteudbydere, fuldt ud forstår deres forpligtelser og forventninger til adfærd ved adgang til organisationens systemer, uanset om det er on-site, fjernarbejde eller i et hybridmiljø. Denne politik er eksplicit tilpasset SME'er, hvilket ses ved brugen af generaliserede ledelsesroller som administrerende direktør frem for specialiserede it- eller sikkerhedsfunktioner, hvilket gør den tilgængelig for organisationer uden dedikerede interne IT-drift- eller sikkerhedsteams, men som ønsker stringent overholdelse af ISO/IEC 27001:2022. Overordnet definerer AUP, hvad der udgør acceptabel versus uacceptabel brug af virksomhedsejede enheder, personlige enheder (Bring Your Own Device (BYOD)), netværk, cloud-platforme og alle softwareværktøjer i brug. Den beskriver i detaljer styringsmekanismer, såsom fortegnelser over godkendt hardware og protokoller og software, krav om forhåndsgodkendelse og sikker konfiguration af BYOD samt opretholdelse af aktivitetslogfiler for at kunne spore overtrædelser eller hændelser. Overvågning udføres af IT Manager eller autoriseret ekstern leverandør, men altid inden for rammerne af legitime forretningsinteresser og gældende databeskyttelseslovgivning. Denne tilgang balancerer sikkerhed, databeskyttelse og organisatorisk gennemførlighed. Politikken fastlægger også et omfattende rammeværk for risikobehandling og undtagelser: risici som malwareinfektion, datasikkerhedsbrud og omdømmeskade som følge af misbrug afbødes gennem lagdelte tekniske kontroller og brugerbevidstgørelse. Undtagelsesanmodninger, såsom brug af uautoriseret software, skal dokumenteres formelt, risikovurderes, være tidsbegrænsede og godkendes eksplicit, typisk af administrerende direktør eller it-leverandør. Det stærke fokus på dokumentation, udløsere for gennemgang og årlig revurdering af politikken sikrer, at politikken forbliver effektiv, efterhånden som teknologier, trusler og retlige krav udvikler sig. Håndhævelsesbestemmelserne er robuste. Alle mistænkte eller observerede overtrædelser skal rapporteres straks med klar eskalering til IT Manager eller administrerende direktør. Håndhævelsesforanstaltninger kan omfatte nedlukning af systemer eller adgang, mundtlige eller skriftlige advarsler og endda kontraktophør for både personale og tredjepartstjenesteudbydere. Den kontraktligt bindende karakter af politikken for tredjepart sikrer ensartet anvendelse af sikkerhedsstandarder på tværs af organisationens forsyningskæde. Endelig sikrer AUP’s integration med andre centrale SME-politikker—Adgangskontrolpolitik, Politik for informationssikkerhedsbevidsthed og -uddannelse, Fjernarbejdspolitik, Databeskyttelsespolitikker og Politik for hændelseshåndtering (P30)—en helhedsorienteret dækning af sikkerhedsansvar. Resultatet er et let implementerbart, ISO 27001:2022-tilpasset rammeværk for virksomheder, der søger overholdelse og risikoreduktion, selv uden store IT-drift- eller sikkerhedsafdelinger.