Minibundle: Adgangs- og netværkssikkerhed – SMV

Minibundle: Adgangs- og netværkssikkerhed – SMV leverer et robust, forhåndstilpasset sæt af seks cybersikkerhedsstyringsdokumenter, der er bygget specifikt til små og mellemstore virksomheder (SMV'er). Med anerkendelse af de særlige udfordringer, som organisationer uden dedikerede it- eller sikkerhedsafdelinger står over for, er hver politik i bundlet strømlinet til at bruge roller, der typisk findes i SMV'er, såsom administrerende direktør, afdelingsledere og eksterne leverandører. Alle dokumenter er omhyggeligt kortlagt til de nyeste ISO/IEC 27001:2022- og ISO/IEC 27002:2022-krav samt relaterede rammeværk som NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA og COBIT 2019. Dette bundle inkluderer adgangskontrolpolitik, som fastlægger, hvordan adgang til it-systemer, faciliteter og data styres gennem klare godkendelsesarbejdsgange, formelle gennemgange og håndhævelse af mindst privilegieprincip. Politik for brugerkonti og privilegiehåndtering udbygger dette ved at sikre robuste kontroller over adgangstildeling, ændring og deaktivering af konti, forbyde delte legitimationsoplysninger og kræve unikke legitimationsoplysninger og sporbare identiteter, understøttet af stringente revisionsspor og revisionslogning. Begge er skrevet til organisationer, hvor administrerende direktør eller en ekstern it-funktion fungerer som systemejer eller godkendelsesmyndighed, hvilket reducerer kompleksitet og sikrer, at kontrol kan opretholdes selv med begrænsede interne ressourcer. Politik for sårbarheds- og patchstyring definerer forventningerne til at identificere, vurdere og afhjælpe sårbarheder på tværs af alle virksomhedens it-aktiver, herunder arbejdsstationer, servere, cloudinfrastruktur og software. Rettidig patchning, kvartalsvis rapportering og klare processer for undtagelsesanmodninger er obligatoriske, med ansvar delt mellem administrerende direktør og it-leverandører. For at beskytte endepunktsinfrastruktur giver Endpoint Protection - Malware Policy krav til antivirusudrulning, BYOD-politik, overvågning og håndtering af sikkerhedshændelser, med tekniske og proceduremæssige instruktioner tilpasset SMV-konteksten, herunder brug af ikke-godkendte værktøjer og regelmæssig sikkerhedsbevidsthedstræning. Kritiske netværkskontroller adresseres i Network Security Policy, som beskriver design, netværkssegmentering, overvågning og håndhævelse af sikre kablede, trådløse og fjernadgangskanaler. Politikken dækker både fysiske og logiske netværk og kræver robuste firewallregler, VPN-brug med flerfaktorautentificering (MFA), regelmæssige sikkerhedsaudits og rapportering af uautoriseret eller anomal netværksadfærd. Lognings- og overvågningspolitik sikrer, at alle kritiske aktiviteter, fra privilegerede ændringer til automatiske advarsler, logges, opbevares og regelmæssigt gennemgås, hvilket gør det muligt for SMV'er at opfylde både driftsmæssige og retlige forpligtelser for ansvarlighed, undersøgelse af datasikkerhedsbrud og compliance-audits. Som SMV-specifikke politikker (dokumenteret ved 'S' i deres nummerering og rollebenævnelser) lægger hvert dokument vægt på praktisk, realistisk implementering ved brug af registre, simple godkendelsesflows og tjeklister i stedet for store teamstrukturer eller specialiserede stillinger. Samlet giver dette bundle et omfattende, handlingsorienteret og reviderbart fundament for industriens bedste praksis inden for cybersikkerhed i små og mellemstore virksomheder.