Minipakke: ISMS-opstartspakke – SMV

Minipakken: ISMS-opstartspakke – SMV tilbyder en praktisk, end-to-end suite af cybersikkerhedspolitikker, der er formålsbygget til små og mellemstore virksomheder, som søger ISO/IEC 27001:2022-tilpasning. Da SMV'er ofte mangler dedikerede interne IT-, sikkerheds- eller compliance-teams, tildeler hver politik i denne pakke eksplicit ansvar og ansvarlighed til forretningsroller såsom den administrerende direktør, afdelingsledere og, hvor relevant, udpegede medarbejdere eller udliciterede it-driftstjenesteudbydere. Alle politikker refererer til forenklet funktionsadskillelse; delegering fra den administrerende direktør understøttes, men revisionsbarhed og tilsyn bevares til enhver tid for at overholde klausul 5.3 i ISO/IEC 27001. Inkluderet i denne SMV-fokuserede startpakke er: informationssikkerhedspolitik, politik for styringsroller og -ansvar, adgangskontrolpolitik, politik for ændringsstyring, risikostyringspolitik samt politik for sikkerhedskopiering og gendannelse. Hvert dokument dækker væsentlige driftsmæssige og tekniske kontroller på tværs af informationslivscyklussen, fra adgangstildeling og risikovurdering til ændringsgodkendelser og forretningskontinuitet. Fælles krav omfatter vedligeholdelse af centrale registre (for adgang og risici), dokumentation af alle ændringer og delegeringer, sikring af periodiske politikgennemgange samt håndhævelse af overholdelse af politikker med klare konsekvenser ved overtrædelser eller udeladelser. Særligt bemærkelsesværdig er den konsekvente tilgang: Hver politik kræver obligatorisk periodisk gennemgang (årligt eller efter større ændringer), dokumenteret godkendelse af undtagelser eller sikkerhedshændelser af den administrerende direktør samt nem anvendelighed for både interne medarbejdere og tredjepartstjenesteudbydere, hvilket gør dem håndhævelige uanset virksomhedens størrelse. Aktiviteter såsom systemer for sikkerhedskopiering, risikoovervågning, overholdelse af politikker og brugeradgangsstyring er foreskrevet på en måde, der er kompatibel med begrænset intern kapacitet. For eksempel styres sikkerhedskopieringsregimer og gendannelsestest af én ansvarlig person (administrerende direktør eller udpeget), og risikoidentifikation kan udføres ved hjælp af enkle tjeklister frem for avancerede værktøjer. Alle politikker i denne pakke er kortlagt til større globale rammeværk og reguleringer, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, COBIT 2019 og EU GDPR. Kortlægningen omfatter klausuler såsom 5.1–5.3, 6.1, 8.1 for ISO/IEC 27001, relevante kontroller for ISO/IEC 27002 (f.eks. kontrol 6) samt specifikke artikler under GDPR og DORA. Disse kortlægninger, kombineret med kontroller i klart sprog og rollebundne processer, sikrer, at SMV-overholdelse ikke blot er opnåelig, men også kan dokumenteres over for kunder, revisorer og tilsynsmyndigheder. Politikkerne er alle krydshenviste, og hver politik linker til relaterede dokumenter i pakken for en sammenhængende ISMS-rammeværksimplementering for mindre organisationer.