Politik for hændelseshåndtering - SMV

Politik for hændelseshåndtering (P30S) er udviklet specifikt til små og mellemstore virksomheder (SMV'er), der ønsker robuste, ISO/IEC 27001:2022-kompatible protokoller uden at kræve et internt sikkerhedsoperationscenter (SOC) eller en fuldtids informationssikkerhedschef (CISO). Denne SMV-politik placerer eksplicit ansvarlighed for hændelsestilsyn og regulatoriske underretninger hos den administrerende direktør (GM) og giver en klar struktur, der passer til organisationer med begrænsede dedikerede it-ressourcer. Dokumentet beskriver krav, der gør det muligt for SMV'er at minimere skade, beskytte fortrolig information og opfylde kritiske reguleringsmæssige forpligtelser, såsom GDPR's 72-timers regel for underretning om datasikkerhedsbrud. Omfanget er bredt og dækker alt personale (medarbejdere, kontraktansatte, eksterne tredjepartstjenesteudbydere), alle tekniske aktiver (websites, cloudplatforme, e-mailkonti og mobile enheder) samt alle væsentlige hændelsestyper (fra uautoriseret adgang til malwareinfektion, phishing, driftsafbrydelser og tab/tyveri af enheder). Politikken fastlægger detaljerede målsætninger: hurtig genkendelse, logning, eskalering, retlig underretning, effektiv inddæmning, datagenopretning og forebyggelse baseret på analyse af rodårsag. Den understøtter også SMV'er i at bestå ISO/IEC 27001-audits og demonstrere behørig ansvarlighed over for kunder og tilsynsmyndigheder. Specifikke roller og ansvar er forenklet for at tilpasse sig SMV-konteksten: GM har den overordnede ansvarlighed, understøttet af enten intern eller outsourcet it-administration. Medarbejdere og kontraktansatte instrueres i at rapportere enhver hændelse øjeblikkeligt uden at forsøge uautoriserede rettelser. Eksterne leverandører er forpligtet til at underrette GM og støtte inddæmningsforanstaltninger i henhold til fortrolighedsforpligtelser og andre reguleringsmæssige forpligtelser, underlagt de samme underretningsfrister som interne hændelser. Politikken fastsætter strukturerede hændelsesrapporteringsprocedurer, herunder klare kommunikationskanaler (dedikeret hændelses-e-mail eller mundtlig rapport), påkrævede detaljer (opdagelsestidspunkt, karakter, berørte systemer og observerbar påvirkning) samt kategorisering inden for én time. Hændelseslogs, vedligeholdt af GM, er kernen i registrering til audits. Kvartalsvise gennemgange, analyser af rodårsag og opdateringer efter hændelser sikrer både løbende effektivitet og reaktionsevne over for nye trusler. Dokumentet beskriver også krav til sikkerhedsbevidsthedstræning for alt personale, onboarding, genopfriskningstræning og obligatoriske forventninger til hændelsesrapportering. Håndhævelsesbestemmelser kræver, at alle enheder, herunder tredjeparter, efterlever fuldt ud: manglende efterlevelse eller protokolovertrædelser kan medføre advarsler, tilbagekaldelse af adgang, kontraktlige sanktioner eller fjernelse fra leverandørlister. Alt revisionsbevis og logfiler skal opbevares i mindst ét år og stilles til rådighed for audits efter behov. Omfattende gennemgangsmekanismer sikrer, at politikken forbliver tilpasset udviklende standarder, regulatoriske ændringer og driftsmæssige skift og dermed forbliver relevant for SMV'er.