Politik for mobile enheder og BYOD - SME

Politik for mobile enheder og BYOD (P34S) er udarbejdet specifikt til SMV'er og sikrer, at organisationer uden dedikeret IT-drift eller informationssikkerhedsteam stadig kan implementere robuste, certificerbare kontroller for mobile endepunkter. Den klare struktur tildeler ansvarlighed til General Manager (GM) og erstatter traditionelle IT- eller informationssikkerhedschef (CISO)-roller med praktisk og tilgængeligt tilsyn, der passer til SMV-konteksten. Politikkens primære formål er at skabe håndhævelige beskyttelser, uanset hvor virksomhedens eller kunders data tilgås, behandles eller lagres, uanset om enheder er udleveret af virksomheden eller personligt ejede. Den fastlægger tekniske og proceduremæssige minimumssikkerhedsforanstaltninger, såsom krav om enhedskryptering, skærmlåse og antivirus, samtidig med at den bevarer brugervenlige politikker, der er egnede til ikke-ekspertpersonale. Omfanget er omfattende og gælder for alt personale og tredjepartstjenesteudbydere, der bruger mobile enheder (herunder smartphones, tablets eller bærbare computere) til forretningsformål, uanset lokation eller ejerskab af enheden. Strenge styringskrav kræver, at alle Bring Your Own Device (BYOD)-enheder skal registreres, godkendes og have sikkerhedsapps, med registrerede enhedsregistre og brugeraftaler som grundlag for ansvarlighed. Databeskyttelse beskyttes omhyggeligt: Virksomheden administrerer kun forretningsdata på personlige enheder og respekterer brugergrænser i overensstemmelse med retlige krav såsom GDPR. Politikken håndhæver et bredt udvalg af kontroller: Virksomhedens og personlige enheder skal have opdateret sikkerhedssoftware, stærk autentifikation, kryptering og må ikke anvende uautoriserede cloud-tjenester til virksomhedens data. BYOD-brugere skal underskrive aftaler og installere sikkerhedsapps eller MDM-ækvivalente kontroller efter behov. GM (eller udpeget personale) er ansvarlig for at godkende enheder, vedligeholde aktivfortegnelse, gennemføre efterhændelsesgennemgang og sikre håndhævelse af politikker, også for udliciterede tjenester. Hændelsesstyring er pragmatisk og hurtig og kræver, at mistede eller kompromitterede enheder rapporteres inden for én time, hvilket udløser hurtig vurdering af fjernsletning og nulstilling af legitimationsoplysninger. Der beskrives en klar proces både for undtagelseshåndtering via en BYOD-undtagelseslog og GM-godkendelse samt for håndhævelse af overholdelse: periodiske gennemgange, audits og konsekvenser ved overtrædelser, herunder tilbagekaldelse af adgang, formelle advarsler og om nødvendigt kontraktlige eller retlige afhjælpninger. Som en politik, der eksplicit henviser til Clause 5.1 (Leadership & Commitment) og Clause 8.1 (Operational Planning & Control) i ISO/IEC 27001:2022, sammen med NIST, GDPR, NIS2 og DORA, sikrer dette dokument, at SMV'er opfylder væsentlige certificeringskrav, også i fjern- og hybridmiljøer. General Manager har ansvar for årlige gennemgange, opdateringer efter hændelser eller regulatoriske ændringer samt for at sikre, at alle brugere underrettes og trænes. Samlet set er politikken tæt integreret med relaterede SME-politikdokumenter og skaber et komplet rammeværk til håndtering af enhedsrisici og sikring af revisionsbar, retligt forankret og kundetillidsvækkende mobilsikkerhed for mindre organisationer.