Politik for ændringsstyring - SME

P05S Politik for ændringsstyring er omhyggeligt tilpasset små og mellemstore virksomheder (SMV'er) med fokus på behovet for at styre ændringer i IT og forretningssystemer på en strømlinet, men compliant måde. Politikkens formål er at sikre, at alle ændringer – uanset om de vedrører IT-systemer, konfigurationsindstillinger, forretningsapplikationer eller cloud-tjenester – planlægges, risikovurderes, testes og formelt godkendes, før de træder i kraft. Dette hjælper med at minimere driftsforstyrrelser, reducere sandsynligheden for sikkerhedshændelser og forebygge uønskede serviceafbrydelser. Med SMV'er for øje forenkler politikken eksplicit roller og ansvar, så ændringsstyring bliver tilgængelig for virksomheder uden fuldtids-IT-afdelinger eller et dedikeret sikkerhedsoperationscenter (SOC). For eksempel gøres den administrerende direktør ultimativt ansvarlig for væsentlige eller følsomme ændringer, hvilket afspejler en styringsmodel, der fungerer i ressourcebegrænsede miljøer. IT-ændringer kan foreslås af medarbejdere eller afdelingsledere, men alle væsentlige handlinger gennemgår enten godkendelse fra en IT-udbyder eller – for større ændringer – endelig godkendelse fra den administrerende direktør. Dette tilpasser ændringsprocessen til reelle ledelsesstrukturer i SMV'er. Politikken dækker både planlagte ændringer og nødændringer på tværs af software, hardware, netværkskonfigurationer, cloud-tjenester og kritiske forretningsprocesser, der involverer informationssystemer. Den foreskriver enkle procedurer for indsendelse, dokumentation, risiko- og konsekvensvurdering, godkendelse, test og tilbagerulning. Derudover skal der føres en ændringslog – i et regneark, et helpdesk-system eller et digitalt sporingssystem med versionshistorik – så alle ændringer kan spores, understøtte revisioner og dokumentere efterlevelse af processen. Politikken er udformet til at opfylde ISO/IEC 27001:2022-certificeringskrav, herunder at formalisere planlægning og driftsmæssig håndtering af ændringer. Risikobaseret beslutningstagning er integreret: hver ændringsanmodning vurderes for potentielle påvirkninger af systemets oppetid, datafortrolighed og forretningskontinuitet og tildeles et risikoniveau. Nødændringer, som er tilladt ved akutte trusler eller afbrydelser, skal efterfølgende gennemgås og logges for at sikre gennemsigtighed og muliggøre læring fra hændelser. Håndhævelsesafsnit tydeliggør konsekvenserne af uautoriserede/ikke-planlagte ændringer eller udokumenterede ændringer og understreger korrigerende handlinger og fremtidig løbende forbedring. Dokumentation og kommunikation er påkrævet gennem hele livscyklusstyringen af politikker. Årlige gennemgange samt gennemgange efter sikkerhedshændelser eller introduktion af systemer er påkrævet, og opdateringer skal formelt godkendes og kommunikeres i hele organisationen. Organisatorisk effektivitet understøttes yderligere ved kobling til andre relaterede SME-politikker, herunder politikker om adgangskontrol, politik for onboarding og fratrædelse, politik for hændelseshåndtering (P30) og backup/gendannelse, hvilket sikrer sammenhæng på tværs af compliance-rammeværket. Denne politik er derfor både praktisk og handlingsorienteret for SMV'er og samtidig direkte tilpasset internationale standarder og reguleringer som ISO/IEC 27001:2022, NIS2 og EU DORA.