Hvem bør bruge dette politiksæt?

Små og mellemstore virksomheder, der ønsker at opnå eller opretholde overholdelse af ISO/IEC 27001:2022, GDPR, NIS2, DORA og relaterede rammeværker. Ideelt for virksomheder uden dedikerede informationssikkerhedschefer (CISO'er) eller interne IT-sikkerhedsafdelinger.

Hvordan understøtter denne pakke revisionsparathed?

Hver politik kræver dokumentation, versionsstyring, regelmæssige gennemgange og opbevaring af revisionsspor. Undtagelser og risikobehandlinger logges formelt til eksterne revisioner eller certificeringsrevisioner.

Hvad gør dette SMV-politiksæt unikt?

Alle politikker er rolle-tilpasset til SMV'er og placerer ansvar hos General Managers og teamledere uden krav om specialiseret sikkerhedspersonale. De anvender tjeklister og forenklet sprog, samtidig med at de er fuldt overensstemmende med centrale standarder.

Er cloud, fjernarbejde og BYOD inkluderet?

Ja. Sættet dækker cloud-brug, fjern-/hybridarbejde og Bring Your Own Device (BYOD)/mobilenhedspolitikker med håndhævelige krav til adgang og sikkerhed.

Kan dette integreres med eksterne leverandører?

Ja, politikker for leverandører og udliciteret udvikling kræver, at alle leverandører underskriver og overholder sikkerhedsvilkår, herunder underretning om brud og revisionsrettigheder.

Komplet SME-pakke (P01S-P37S)

Oversigt

Komplet SME-pakke (P01S-P37S) leverer et komplet, revisionsklart sæt af cybersikkerheds- og IT-styringspolitikker, der dækker alle krav til informationssikkerhed for SMV'er. Hver politik er tilpasset til ledere i små virksomheder (General Managers), er eksplicit designet til organisationer uden dedikerede sikkerhedsteams og er fuldt tilpasset ISO/IEC 27001:2022, GDPR, NIS2, DORA og mere.

Komplet SMV-compliance

Dækker 37 politikker og sikrer fuld tilpasning til ISO/IEC 27001, GDPR, NIS2, DORA og COBIT for SMV'er uden store IT-teams.

Revisionsklare kontroller

Alle politikker indeholder krav til revisionsdokumentation, versionsstyring, gennemgangsudløsere og processer for korrigerende handlinger.

Praktisk SMV-styring

Roller kortlagt til General Manager og teamledere; ingen informationssikkerhedschef (CISO)/sikkerhedsoperationscenter (SOC) kræves. Designet til ejerledede virksomheder.

Håndhævelig, klar vejledning

Trin-for-trin-regler, tjeklister og undtagelseshåndtering for brugervenlige, håndhævelige cybersikkerhedspraksisser.

Klar til ISO 27001-certificering

Direkte kortlægning til alle ISO/IEC 27001:2022- og 27002:2022-klausuler for revisions- og certificeringstillid.

Læs fuld oversigt

Denne Komplet SME-pakke (P01S-P37S) tilbyder en omfattende politikpakke for cybersikkerhed og IT-styring, der er formålsbygget til små og mellemstore virksomheder (SMV'er). Den adresserer fuldt ud de strenge krav i ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA, COBIT 2019 og andre centrale rammeværker, samtidig med at den forbliver praktisk og strømlinet for organisationer uden dedikeret intern IT eller sikkerhedsdrift (såsom informationssikkerhedschefer (CISO'er) eller sikkerhedsoperationscentre (SOC)). Dette politiksæt skiller sig ud som et bedst egnet valg for SMV'er på grund af sin tilpassede rollestruktur: størstedelen af de centrale ansvarsområder er tildelt General Manager eller tilsvarende virksomhedsejer, herunder godkendelse, delegering, politikgennemgang og undtagelsesstyring. Hvor tekniske opgaver er nødvendige, giver klare instruktioner mulighed for udlicitering til betroede IT-supportudbydere eller tildeling til navngivne interne medarbejdere eller afdelingsledere. Hver politik håndhæver ansvarlighed med formelle godkendelseslogs, versionsstyring, dokumenterede undtagelser og regelmæssige gennemgangskrav, hvilket gør systemet robust til interne og eksterne revisioner. Indholdet omfatter politikker, der spænder over alle kritiske områder i moderne informationssikkerhed for SMV'er. Dette inkluderer: eksplicitte ISMS-omfangserklæringer, detaljerede regler for test og adgang (uden at kræve pentest-metodikker ud over de angivne politikker), klar tildeling og delegering af ansvar (med udløsere for overvågning og eskalering), revisionsunderstøttende foranstaltninger (logfiler, ændringshistorik, registreringer af gennemført træning), datahåndteringsprocedurer, der omfatter GDPR-kompatible regler for databeskyttelse og opbevaring, tekniske standarder for cloud, Bring Your Own Device (BYOD), fjern-/hybridarbejde samt fysisk og digital håndtering af sikkerhedshændelser, herunder legal hold og sletningssuspension, forensisk bevismateriale og analyse af grundårsag. Strukturen er systematisk: hver politik beskriver sit formål, omfang, målsætninger, roller, governance-krav, implementeringstrin, risikobehandling og undtagelseshåndtering, håndhævelse og efterlevelse samt opdateringsprotokoller. Derudover danner hver politiks kobling til andre dokumenter (f.eks. adgangskontrol, håndtering af sikkerhedshændelser, databeskyttelse og databeskyttelse) en integreret, lagdelt forsvars- og styringsmodel. Bemærkelsesværdigt kræver afsnit om gennemgang og opdatering årlige politikgennemgange, versionsstyring og kommunikation til alt relevant personale og tredjepartstjenesteudbydere, hvilket sikrer opdateret parathed, når regulering eller forretningspraksis ændrer sig. Dette produkt er tydeligt identificeret som et SMV-politiksæt (SMV-markør 'S' i dokumentnumre og omtalen af General Manager-ledede processer). Dets praktiske, håndhævelige tilgang kombineret med streng regulatorisk og certificeringsmæssig tilpasning gør det ideelt for ejerledede virksomheder, hurtigt voksende scale-ups og ressourcebegrænsede organisationer, der skal opnå eller opretholde høje standarder for overholdelse og operationel robusthed – selv uden specialiserede sikkerhedsroller internt.

Indhold

Omfang og regler for engagement

Rolle- og ansvarsmatrix

Procedurer for adgangs- og ændringsstyring

Regler for databeskyttelse og databeskyttelse

Håndtering af sikkerhedshændelser og håndtering af bevismateriale

Revision, juridiske og regulatoriske compliance-processer

Framework-overholdelse

Framework	Dækkede klausuler / Kontroller
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Framework

Dækkede klausuler / Kontroller

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Relaterede politikker

Governance-roller og -ansvar-politik – SMV

Denne politik definerer, hvordan governance-ansvar for informationssikkerhed tildeles, delegeres og styres i organisationen for at sikre fuld overholdelse af ISO/IEC 27001:2022 og andre reguleringsmæssige forpligtelser.

Clean desk- og clear screen-politik – SMV

Denne politik fastlægger håndhævelige retningslinjer for at opretholde et sikkert arbejdsmiljø ved at sikre, at skriveborde, arbejdsstationer og skærme holdes fri for synlige fortrolige oplysninger, når de er uden opsyn.

Endepunktsbeskyttelse og malwarebeskyttelse-politik – SMV

Denne politik definerer de mindste tekniske, proceduremæssige og adfærdsmæssige krav til beskyttelse af alle endpoint-enheder – såsom bærbare computere, stationære computere, mobile enheder og bærbare medier – mod ondsindet kode.

Informationssikkerhedspolitik – SMV

Denne politik demonstrerer organisationens forpligtelse til at beskytte kunde- og forretningsoplysninger ved klart at definere ansvar og praktiske sikkerhedsforanstaltninger, egnet til organisationer uden dedikerede IT-teams.

Politik for acceptabel brug – SMV

Denne politik definerer acceptabel, ansvarlig og sikker brug af virksomhedens systemer, enheder, internetadgang, e-mail, cloud-tjenester og eventuelle personligt ejede enheder, der anvendes til arbejde.

Adgangskontrolpolitik – SMV

Denne politik definerer, hvordan organisationen styrer adgang til systemer, data og faciliteter for at sikre, at kun autoriserede personer kan få adgang til oplysninger baseret på forretningsbehov.

Politik for ændringsstyring – SMV

Denne politik sikrer, at alle ændringer af IT-systemer, konfigurationsindstillinger, forretningsapplikationer eller cloud-tjenester planlægges, risikovurderes, testes og godkendes før implementering.

Risikostyringspolitik – SMV

Denne politik definerer, hvordan organisationen identificerer, evaluerer og styrer risici relateret til informationssikkerhed, drift, teknologi og tredjepartstjenester.

Politik for onboarding og fratrædelse – SMV

Denne politik definerer processen for onboarding af nye medarbejdere eller kontraktansatte og sikker fjernelse af adgang, når personer fratræder eller skifter rolle.

Politik for informationssikkerhedsbevidsthed og -uddannelse – SMV

Denne politik sikrer, at alle medarbejdere og kontraktansatte forstår deres ansvar vedrørende informationssikkerhed.

Fjernarbejdspolitik – SMV

Denne politik fastlægger sikkerhedskrav for medarbejdere og kontraktansatte, der arbejder eksternt, herunder hjemmefra, fra delte arbejdspladser eller under rejser.

Politik for brugerkonti og privilegieadministration – SMV

Denne politik fastlægger regler for styring af brugerkonti og adgangsrettigheder på en sikker, ensartet og sporbar måde.

Aktivstyringspolitik – SMV

Denne politik definerer, hvordan organisationen identificerer, sporer, beskytter og udfaser sine informationsaktiver, herunder både fysiske og digitale komponenter.

Politik for dataklassificering og mærkning – SMV

Denne politik definerer, hvordan alle oplysninger, der håndteres af organisationen, skal klassificeres og mærkes for at sikre, at fortrolighed, integritet og tilgængelighed opretholdes gennem hele informationslivscyklussen.

Dataopbevarings- og bortskaffelsespolitik – SMV

Formålet med denne politik er at definere håndhævelige regler for opbevaring og sikker bortskaffelse af oplysninger i et SMV-miljø.

Politik for backup og gendannelse – SMV

Denne politik definerer, hvordan organisationen udfører og styrer backup for at sikre forretningskontinuitet, beskytte mod datatab og muliggøre rettidig genopretning efter hændelser.

Politik for datamaskering og pseudonymisering – SMV

Denne politik definerer håndhævelige krav til brug af datamaskering og pseudonymisering for at beskytte følsomme, personlige og fortrolige data i små og mellemstore virksomheder (SMV'er).

Databeskyttelse og databeskyttelse-politik – SMV

Denne politik definerer, hvordan organisationen beskytter personoplysninger i overensstemmelse med retlige forpligtelser, reguleringsrammer og internationale sikkerhedsstandarder.

Politik for kryptografiske kontroller – SMV

Denne politik definerer obligatoriske krav til brug af kryptering og kryptografiske kontroller for at beskytte fortrolighed, integritet og autenticitet af forretnings- og persondata.

Politik for sårbarheds- og patchstyring – SMV

Denne politik definerer, hvordan organisationen identificerer, evaluerer og afbøder sårbarheder på tværs af systemer, applikationer og infrastruktur.

Netværkssikkerhedspolitik – SMV

Formålet med denne politik er at sikre, at al intern og ekstern netværkskommunikation er beskyttet mod uautoriseret adgang, manipulation, aflytning eller misbrug gennem klart definerede sikkerhedskontroller.

Lognings- og overvågningspolitik – SMV

Denne politik fastlægger obligatoriske kontroller for revisionslogning og overvågning for at sikre sikkerhed, ansvarlighed og operationel integritet i organisationens IT-systemer.

Politik for tidssynkronisering – SMV

Denne politik fastlægger obligatoriske kontroller for at opretholde nøjagtig, synkroniseret tid på tværs af alle systemer, der lagrer, transmitterer eller behandler organisatoriske data.

Politik for sikker udvikling – SMV

Denne politik sikrer, at al software, scripts og webbaserede værktøjer, der oprettes eller ændres af organisationen eller dens eksterne partnere, udvikles sikkert og minimerer risikoen for sårbarheder.

Politik for applikationssikkerhedskrav – SMV

Denne politik definerer de mindste obligatoriske applikationssikkerhedskontroller, der kræves for alle software- og systemløsninger, som anvendes af organisationen, uanset om de udvikles internt eller anskaffes fra eksterne leverandører.

Tredjeparts- og leverandørsikkerhedspolitik – SMV

Denne politik fastlægger de obligatoriske sikkerhedskrav for at engagere, styre og afslutte relationer med tredjepartstjenesteudbydere og leverandører, der får adgang til eller påvirker organisationens data, systemer eller tjenester.

Politik for cloud-brug – SMV

Denne politik definerer, hvordan cloud-tjenester må anvendes sikkert i organisationen. Den sikrer, at data, der behandles eller lagres i cloud, er beskyttet, at adgangskontrol håndhæves, og at risici styres ansvarligt.

Politik for udliciteret udvikling – SMV

Denne politik sikrer, at al udliciteret softwareudvikling – uanset om den håndteres af freelancere, bureauer eller tredjepartsudbydere – gennemføres sikkert, kontraktligt kontrolleret og tilpasset gældende retlige, regulatoriske og revisionsmæssige krav.

Politik for testdata og testmiljø – SMV

Denne politik definerer, hvordan testdata og testmiljøer skal styres for at forhindre utilsigtet eksponering, datasikkerhedsbrud eller driftsforstyrrelser under testaktiviteter.

Politik for hændelseshåndtering (P30) – SMV

Denne politik definerer, hvordan organisationen detekterer, rapporterer og håndterer informationssikkerhedshændelser, der påvirker dens digitale systemer, data eller tjenester.

Politik for indsamling af bevismateriale og forensik – SMV

Denne politik definerer, hvordan organisationen håndterer digitalt bevismateriale relateret til sikkerhedshændelser, datasikkerhedsbrud eller interne undersøgelser.

Politik for forretningskontinuitet og katastrofegenopretning – SMV

Denne politik sikrer, at organisationen kan opretholde forretningsdrift og genoprette essentielle IT-tjenester under og efter forstyrrende hændelser.

Politik for revision og overvågning af overholdelse – SMV

Denne politik fastlægger organisationens tilgang til at gennemføre intern revision, sikkerhedskontroltjek og løbende overvågning af overholdelse.

Politik for mobile enheder og Bring Your Own Device (BYOD) – SMV

Denne politik definerer de obligatoriske sikkerhedskrav for brug af mobile enheder – herunder smartphones, tablets og bærbare computere – ved adgang til virksomhedens oplysninger, systemer eller tjenester.

IoT/OT-sikkerhedspolitik – SMV

Denne politik definerer de obligatoriske regler for sikker brug og styring af IoT-systemer og OT-systemer i organisationen.

Politik for sociale medier og ekstern kommunikation – SMV

Denne politik fastlægger obligatoriske retningslinjer for al offentlig kommunikation – herunder brug af sociale medier, pressehåndtering og eksternt digitalt indhold – når der refereres til virksomheden, dens personale, kunder, systemer eller interne praksisser.

Politik for juridisk og regulatorisk overholdelse – SMV

Denne politik definerer organisationens tilgang til at identificere, overholde og demonstrere overholdelse af retlige, regulatoriske og kontraktlige forpligtelser.

Om Clarysec-politikker - Komplet SME-pakke (P01S-P37S)

Generiske sikkerhedspolitikker er ofte bygget til store virksomheder, hvilket efterlader små virksomheder med udfordringer i at anvende komplekse regler og udefinerede roller. Denne politik er anderledes. Vores SMV-politikker er designet fra bunden til praktisk implementering i organisationer uden dedikerede sikkerhedsteams. Vi tildeler ansvar til de roller, I faktisk har, såsom General Manager og jeres IT-udbyder, ikke en hær af specialister, I ikke har. Hvert krav er opdelt i en unikt nummereret klausul (f.eks. 5.2.1, 5.2.2). Det gør politikken til en klar trin-for-trin-tjekliste, som er nem at implementere, revidere og tilpasse uden at omskrive hele afsnit.

Ofte stillede spørgsmål

Udviklet for ledere, af ledere

Denne politik er udarbejdet af en sikkerhedsleder med over 25 års erfaring i implementering og audit af ISMS-rammeværker for globale organisationer. Den er ikke blot designet som et dokument, men som et forsvarligt rammeværk, der kan modstå revisors gennemgang.

Udarbejdet af en ekspert med følgende kvalifikationer:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dækning & Emner

🏢 Måldepartement

IT Sikkerhed Compliance Risiko Databeskyttelse Juridisk Revision Ledelse Indkøb

🏷️ Emhedækning

Informationssikkerhedspolitik Organisatoriske roller og ansvar Risikostyring Adgangskontrol Hændelsesstyring Sikker udvikling Databeskyttelse Forretningskontinuitetsstyring Tredjeparts risikostyring Compliance-styring Sikkerhedsdrift Juridisk compliance Sikkerhedsbevidsthedstræning Overvågning og revisionslogning