Politik for kryptografiske kontroller - SME

P18S Politik for kryptografiske kontroller er en specialiseret politik udarbejdet til små og mellemstore virksomheder (SME'er), tydeligt tilpasset forenklede roller og processer, især rollen som "General Manager", frem for virksomhedsspecifikke titler som CISO eller sikkerhedsoperationscenter (SOC). Den sikrer, at disse organisationer implementerer robuste kryptografiske kontroller, der beskytter fortrolighed, integritet og tilgængelighed samt autenticitet af forretnings- og persondata. Politikens kerneformål er at definere obligatoriske krav til kryptering og andre kryptografiske foranstaltninger i direkte overensstemmelse med ISO/IEC 27001:2022-certificeringsbehov og reguleringsrammer som GDPR, NIS2-direktivet og EU DORA. Politikkens omfang dækker alt personale, herunder medarbejdere, kontrahenter og tredjeparts tjenesteudbydere, der håndterer virksomhedens data, og omfatter alle forretningssystemer, endepunkter eller cloud-platforme, der lagrer, overfører eller tilgår fortrolige oplysninger. Den gælder for alle klassificerede data i henhold til virksomhedens politik for informationsklassificering og -håndtering og dækker kryptografiske kontroller såsom krypteringsmetoder, certifikater, nøgler, adgangskoder og sikkerhedsmoduler. Beskyttelseskravene omfatter data i hvile, under overførsel og i brug, herunder kryptering af sikkerhedskopier, e-mail, eksterne overførsler og organisationens websites. Politikkens mål er ligetil: beskytte følsomme og regulerede data med passende kryptografiske foranstaltninger; etablere beføjelser og ansvarlighed for værktøjsvalg, konfiguration og nøglestyring; og sikre stærke forebyggende kontroller mod uautoriseret adgang, manipulation eller datatab. Politikken understreger streng overholdelse af retlige og reguleringsmæssige forpligtelser, der kræver kryptering, og fastholder vigtigheden af effektiv certifikat- og nøglestyring for driftsmæssig sikkerhed. Roller og ansvar er strømlinet til SME-kontekst: General Manager (GM) ejer politikken og fører tilsyn med håndhævelse og godkendelse af undtagelser. IT Support Provider eller intern IT-administrator håndterer daglig drift og vedligehold af krypteringsteknologier, certifikater og beskyttelse af sikkerhedskopier. En Privacy eller Security Coordinator sikrer løbende overholdelse af databeskyttelse, risikostyring og juridisk forsvar. Alt personale og kontraktansatte skal følge godkendt brug af kryptering og må ikke omgå nogen sikkerhedsmekanisme. Centrale governance-funktioner omfatter årlig politikgennemgang (eller ved større brud eller ændring), fuld dokumentation af alle aktiviteter for kryptering/nøglestyring samt strenge krav til brug af kryptografiske algoritmer efter industriens bedste praksis (såsom AES-256, RSA 2048 og TLS 1.2 eller nyere). Usikre protokoller skal blokeres, og alle nøgler skal opbevares sikkert med kontrolleret, regelmæssigt gennemgået adgang og aldrig i klartekst. Kryptering af sikkerhedskopier, certifikathåndtering, planlægning af risikoscenarier og en veldokumenteret proces for undtagelseshåndtering er centrale krav. Overtrædelser medfører definerede konsekvenser, og alle kryptografiske fejl revisionslogges, undersøges og håndteres som en del af procedurer for håndtering af brud. Denne politik svarer til SME-skabelonen og er derfor særligt egnet til organisationer med færre ressourcer eller uden sikkerhedsspecialiseret personale, samtidig med at den leverer fuld harmonisering med ISO/IEC 27001:2022 og relevante reguleringsmæssige krav.