Politik for hændelseshåndtering

Politik for hændelseshåndtering (dokument P30) formaliserer et robust rammeværk, der sikrer, at organisationen effektivt kan styre og reagere på et bredt spektrum af informationssikkerhedshændelser. Politikkens primære formål er at etablere gentagelige processer til at identificere, hændelsesrapportere, analysere, inddæmme og genoprette efter hændelser, samtidig med at der fremmes løbende forbedring gennem efterhændelsesgennemgang. Ved at indføre et centralt rammeværk for adgangskontrol, der er tilpasset internationale standarder som ISO/IEC 27035, sikrer politikken en struktureret tilgang på tværs af alle hændelsesfaser: forberedelse, detektion og analyse, inddæmning/udryddelse/genopretning samt efterhændelsesgennemgang. Denne politik omfatter organisatoriske funktioner bredt og udvider sine krav til alt personale, herunder kontrahenter og tredjepartstjenesteudbydere, samt dækker alle organisationens informationssystemer, uanset om de er lokale, cloud-baserede eller hybride. Den gælder for et omfattende sæt hændelsestyper: uautoriseret adgang, malware og ransomware, denial-of-service-angreb, datalækage eller dataeksfiltration, insidertrusler og endda fysiske brud, der påvirker digitale aktiver. Styringsafsnittet kræver, at hver hændelse formelt logges i et Security Incident Management System (SIMS) med detaljerede metadata, herunder tidspunkt for detektion, klassificering, berørte systemer, udførte handlinger, indsamlet bevismateriale og sårbarhedsanalyse af rodårsag. Alle hændelser kategoriseres efter en lagdelt alvorlighedsmodel, der sikrer proportional respons og eskalering. Nøgleroller og ansvar er omhyggeligt defineret for at sikre ansvarlighed og strømlinet arbejdsgang under en hændelse. Informationssikkerhedschef (CISO) har det overordnede ejerskab af responsrammen og fungerer som bindeled til øverste ledelse og tilsynsmyndigheder under større hændelser. Incident Response Coordinator leder tværfunktionelle teams, følger hvert trin i responsen og sikrer, at korrigerende handlinger gennemføres. Sikkerhedsoperationscenter (SOC) og IT-sikkerhedsanalytikere har ansvar for overvågning og triage af trusler, eskalere sager og iværksætte indledende inddæmning. Juridiske og databeskyttelsesrådgiver-roller har ansvar for at vurdere regulatorisk påvirkning og sikre underretningsfrister, særligt for brud under GDPR, NIS2 og DORA. Direktionen træffer strategiske beslutninger ved hændelser med høj alvorlighed, herunder offentlig kommunikation og godkendelse af ISMS-ændringer. Politikken anvender stringente mekanismer for brudunderretning, digital forensik og håndtering af bevismateriale og kræver, at underretning til myndigheder og berørte interessenter udføres i henhold til definerede retlige og kontraktlige underretningsfrister. Digitale forensiske procedurer omfatter disk-imaging med write-blockers, chain-of-custody-sporing og krypteret opbevaring af bevismateriale, med koordinering med retshåndhævelse, hvor påkrævet. Enhver afvigelse fra politikken, såsom responstid eller indsamling af bevismateriale, skal følge en streng risikobaseret proces for undtagelser med dokumentation, CISO-godkendelse og kvartalsvise risikogennemgange. For at sikre effektivitet og overholdelse af lovgivningen kræver politikken årlige gennemgange, regelmæssige øvelser i hændelseshåndtering og klare metrikker såsom Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) og procentdelen af gennemførte efterhændelsesgennemgange. Revision og compliance-overvågning validerer parathed og håndhæver efterlevelse med specificerede konsekvenser ved manglende overholdelse, herunder disciplinære foranstaltninger op til kontraktophør eller regulatorisk rapportering. Politikken er tæt integreret med understøttende politikker på tværs af dataklassificering, ændringsstyring, kryptografiske kontroller, systemer for sikkerhedskopiering samt lognings- og overvågningspolitik, hvilket sikrer en omfattende og forsvarlig hændelsesparathed.