Politik for aktivstyring - SMV

Politik for aktivstyring P12S er designet specifikt til små og mellemstore virksomheder (SMV'er) og anerkender de særlige udfordringer, disse organisationer står over for, når de skal styre informationsaktiver med begrænsede tekniske ressourcer og bemanding. Med afsæt i ISO/IEC 27001:2022 og andre internationale standarder fastlægger denne politik et klart og praktisk rammeværk for at identificere, spore, beskytte og udfase både fysiske og virksomhedens digitale aktiver gennem hele deres livscyklus. Politikken gælder på tværs af hele virksomheden, herunder hardware (bærbare computere, telefoner, USB'er), software (applikationer, SaaS-løsninger), datarepositorier, adgangsenheder (smartcards, fobs) samt kritiske digitale legitimationsoplysninger og tjenester, der understøtter den daglige drift. Alle interessenter – medarbejdere, kontrahenter, tredjepartstjenesteudbydere – der håndterer organisationens aktiver, er omfattet. Politikken tager højde for alle former for moderne arbejde: kontorbaseret, fjernarbejde, hybridt, mobilt og cloud. Dette brede omfang sikrer, at aktiver ikke blot spores, men også indgår i styringen på tværs af de miljøer, hvor forretningen drives. Et centralt mål er at etablere og vedligeholde en løbende opdateret og korrekt aktivfortegnelse over disse aktiver. Hvert aktiv skal have en tydeligt tildelt aktivejer, som er ansvarlig for forvaring og sikker håndtering. Klassificering af aktiver fremhæves: enheder, der lagrer kundedata eller fortrolige forretningsdata, får yderligere sikkerhedskontroller og sporing. Vigtigt for SMV'er er, at alle procedurer anvender håndterbare, rollebaseret adgangskontrol (RBAC)-orienterede ansvarsområder. Den administrerende direktør (GM) har det overordnede ansvar. En IT Lead (eller anden udpeget forvalter) varetager den daglige registrering, mens linjeledere og medarbejdere understøtter tildeling af aktiver, sikker opbevaring og genopretning af aktiver. Denne rolleforenkling sikrer effektivitet, selv når organisationer ikke har dedikerede sikkerheds- eller IT-ledere. Politikken beskriver detaljerede krav til udstedelse, returnering, vedligeholdelse, mærkning og sikker bortskaffelse af aktiver. Cloudforbundne aktiver og virtuelle aktiver er fuldt inkluderet i tilgangen, ligesom Bring Your Own Device (BYOD)-forhold, hvis de er teknisk godkendt. Undtagelser (fx uformel deling af udstyr) håndteres også og kræver GM-godkendelse samt midlertidige kompenserende kontroller ved afvigelser. Styringsprocesserne er praktiske: strukturerede fortegnelser skal indeholde felter for aktiv-ID, type, status, ejerskab m.m. Adgang til selve fortegnelsen er stramt styret via adgangskontrol og er underlagt regelmæssige revisioner, både fysiske og digitale. Stikprøvekontroller gennemføres mindst hver sjette måned, og selve politikken gennemgås årligt eller ved indførelse af nye teknologier, nye reguleringsmæssige forpligtelser eller efter en informationssikkerhedshændelse eller revisionskonstatering. Manglende overholdelse kan medføre disciplinære foranstaltninger, hvilket understreger vigtigheden af sikker og ansvarlig forvaltning af organisationens aktiver. Dette er en ClarySec SMV-politik, der opfylder ISO/IEC 27001:2022-overholdelse, men er specifikt tilpasset organisationer uden stor IT- eller sikkerhedsbemanding. Ansvarslinjer er forenklede, men bevarer fuld sporbarhed, revisionsbarhed og regulatorisk alignment under standarder som GDPR, DORA og NIS2.