Politik for acceptabel brug

Politik for acceptabel brug (AUP) fastlægger standarderne for ansvarlig, sikker og lovlig brug af en organisations informationssystemer, databehandlingsressourcer og informationsaktiver. Det overordnede formål er at definere både tilladte og forbudte aktiviteter ved interaktion med virksomhedens it-infrastruktur, herunder arbejdsstationer, mobile enheder, servere, cloud-tjenester og netværk. Denne politik sikrer, at alle brugere – fra medarbejdere og kontraktansatte til tredjepartsleverandører – er bekendt med deres ansvar for at forsvare fortrolighed, integritet, tilgængelighed (CIA) for organisationens informationsaktiver. I henhold til politikken er omfanget omfattende og berører enhver person og enhed, der får tildelt adgang, samt alle former for teknologi og virksomhedsdata. Den gælder på tværs af virksomhedskontorer, fjernarbejdspolitik-opsætninger og feltlokationer. Ikke alene skal traditionelle it-brugere overholde den, men også alle, der arbejder under Bring Your Own Device (BYOD)-ordninger eller gennem hybridmiljøer. Hver bruger skal afgive bekræftelse af politik som forudsætning for system- og dataadgang, og denne bekræftelse opbevares til revision og compliance. Politikkens målsætninger understreger vigtigheden af at fastsætte klare grænser for tilladte og forbudte handlinger. Den kræver forebyggelse af uautoriseret adgang eller data leakage gennem adfærdsdrevne trusler såsom uagtsom brug, installation af uautoriseret software eller omgåelse af sikkerhedskontroller. For at beskytte overholdelse afgrænses beføjelser og ansvarlighed for direktion (politikgodkendelse og juridisk tilsyn), IT- og sikkerhedsteams (teknisk håndhævelse, overvågning, undersøgelse), afdelingsledere (lokalt tilsyn, håndtering af mindre overtrædelser), HR og Jura (disciplinære foranstaltninger, politiklovlighed) og alle brugere (etisk brug, rapportering af hændelser, sikring af legitimationsoplysninger). Styring og håndhævelsesforanstaltninger er udformet med fokus på governance. Brugere skal gennemføre formel bekræftelse og tilbagevendende træning, som styrker bevidstgørelse og etisk adfærd. IT- og sikkerhedsteams implementerer web- og e-mailfiltreringssystemer, endepunktssikkerhed og overvågning af sikkerhedssystemer for teknisk at håndhæve regler, mens periodiske gennemgange sikrer, at kontroller forbliver effektive. Forbudte aktiviteter er eksplicit angivet og omfatter uautoriseret adgang, malwareudrulning, anvendelse til personlig vinding, overdreven brug af ressourcer og forsøg på at omgå autentifikationsmekanismer. Der er også streng håndtering af Bring Your Own Device (BYOD)-brug, kryptering og fjernarbejdspraksis med tekniske og proceduremæssige krav til enheds- og datasikkerhed. Mekanismer for håndtering af sikkerhedshændelser kræver, at brugere rapporterer sikkerhedshændelser, uautoriseret adgang eller enhedstab hurtigt via officielle rapporteringskanaler. Overtrædelser mødes med proportionale disciplinære foranstaltninger – fra målrettet genoptræning og tilbagekaldelse af adgang til fratrædelsesproces eller juridisk/regulatorisk eskalering – alt dokumenteret til juridiske og revisionsmæssige formål. Vigtigt er det, at politikken beskytter whistleblowerordning-anonymitet og forbyder repressalier, hvilket fremmer en kultur af ansvarlighed. I overensstemmelse med anerkendte internationale standarder såsom ISO/IEC 27001:2022 (klausul 5.10 og udvalgte Annex A-kontroller), NIST SP 800-53, EU GDPR, NIS2, EU DORA og COBIT 2019 er AUP udformet til at kunne modstå kontrol fra compliance-, juridiske- og revisionsperspektiver. Den styres af fastlagte gennemgangscyklusser, versionsstyring og krav til dokumentopbevaring for at sikre relevans, efterhånden som risici udvikler sig, og det regulatoriske miljø ændrer sig. Derudover henviser politikken eksplicit til relaterede nøglepolitikker såsom adgangskontrol, ramme for risikostyring og fjernarbejdspolitik, hvilket sikrer en holistisk, lagdelt tilgang til organisationens cyberrisikostyring.