Adgangskontrolpolitik - SME

Denne adgangskontrolpolitik (P04S) giver et omfattende rammeværk for små og mellemstore virksomheder (SME'er) til at styre og sikre adgang til organisatoriske systemer, data og fysiske faciliteter. Som en SME-tilpasset politik udpeger den ansvar til forenklede roller såsom General Manager og IT Manager/ekstern IT-leverandør, hvilket afspejler, at mange SME'er ikke har dedikerede IT- og sikkerhedsteams som CISO eller SOC. Vigtigt er det, at denne politik fortsat er fuldt ud i overensstemmelse med internationalt anerkendte standarder, især ISO/IEC 27001:2022, samtidig med at den muliggør praktisk implementering for organisationer uden komplekse interne ressourcer. Politikken beskriver detaljeret procedurer for at give, ændre og tilbagekalde adgang og adresserer alle faser af brugerens livscyklus. Den dækker alle brugere, medarbejdere, kontrahenter, midlertidigt personale og tredjepartstjenesteudbydere og gælder på tværs af virksomhedens enheder eller Bring Your Own Device (BYOD), cloud- og lokale systemer samt fysiske lokationer såsom kontorer og sikrede serverrum. Ved at indlejre princippet om mindste privilegium gennemgående gives adgang kun efter forretningsbehov, hvilket minimerer risikoen for uautoriseret eller overdreven adgang til følsomme aktiver. Centralt i politikken er klare, handlingsorienterede roller og ansvar: General Manager fører tilsyn med politikgodkendelse, ressourceallokering og undtagelseshåndtering; IT Manager (eller betroet ekstern udbyder) udfører adgangstildeling og deprovisionering af adgang, vedligeholder et revisionsbart adgangskontrolregister, konfigurerer rollebaseret adgangskontrol (RBAC) og flerfaktorautentificering (MFA) og gennemfører loggennemgang. Afdelingsledere autoriserer adgang for deres teams og igangsætter opdateringer ved rolleændringer, mens medarbejdere skal overholde sikker adgang og brugsprotokoller. Politikken udløser regelmæssige gennemgange af adgangsrettigheder med mindst årlig kadence og kræver både automatiseret og manuel dokumentation af adgangsændringer og revisioner. Robuste procedurer for risikobehandling, håndtering af overtrædelser og løbende overvågning af overholdelse er indlejret. Afvigelser fra standardprocessen, såsom midlertidig adgang efter fratrædelse, er kun tilladt med godkendelse fra øverste ledelse og omfattende dokumentation. Der angives klare disciplinære konsekvenser ved manglende overholdelse, fra målrettet genoptræning til kontraktophør eller juridisk/regulatorisk eskalering. Politikken reagerer også hurtigt på udløsere såsom teknologiske ændringer, organisatoriske skift eller sikkerhedshændelser, hvilket kræver opdaterede gennemgange og reviderede kontroller. Endelig er denne politik designet til problemfri integration med relaterede kritiske SME-politikker, såsom politik for acceptabel brug, politik for ændringsstyring, politik for onboarding og fratrædelse, databeskyttelse og databeskyttelse samt politik for hændelseshåndtering (P30). Dens årlige gennemgangscyklus og krav om medarbejdertræning sikrer, at den forbliver effektiv og anvendelig i forhold til udviklende forretnings- og compliance-behov og understøtter, at SME'er kan opretholde stærke, praktiske og revisionsparate adgangskontrolmiljøer.