Netværkssikkerhedspolitik

Netværkssikkerhedspolitikken (Dokument P21) blev udviklet for at etablere strenge kontroller over både interne og eksterne organisatoriske netværk og give beskyttelse mod uautoriseret adgang, afbrydelse af tjenester, dataaflytning og misbrug. Dens primære mål omfatter beskyttelse af fortrolighed, integritet og tilgængelighed for data under overførsel og i hvile, samtidig med at den er tæt afstemt med centrale regulatoriske og standardkrav såsom ISO/IEC 27001:2022, GDPR artikel 32, NIS2-direktivet, DORA og COBIT 2019. Denne robuste politik gælder globalt for al netværksinfrastruktur, herunder fysiske, virtuelle, cloud- og hybridmiljøer. Den omfatter routere, switche, firewalls, cloud-baserede netværk, VPN-systemer og understøttende tjenester som DNS og proxyservere i sit omfattende omfang. Både interne medarbejdere og eksterne tredjepartstjenesteudbydere, der interagerer med disse netværk, er bundet af de fastsatte krav. Væsentlige elementer i politikken omfatter obligatorisk netværkssegmentering, eksplicitte protokoller for firewallkonfiguration, standarder for sikker routing samt løbende central overvågning og revisionslogning af netværksaktiviteter. Styring er klart struktureret og forpligter roller såsom informationssikkerhedschef (CISO), netværkssikkerhedsansvarlig, sikkerhedsoperationscenter (SOC), IT-drift og tredjepartsleverandører til at efterleve definerede ansvarsområder for sikker netværksdesign, driftsmæssig overvågning, ændringsstyring og håndtering af sikkerhedshændelser. Politikken fastsætter forventninger ikke kun til rutinemæssig netværksadministration, men også til håndtering af undtagelser, såsom afhængigheder til ældre systemer, gennem en kontrolleret, risikovurderet godkendelsesproces. Alle undtagelsesgodkendelser registreres i ledelsessystemet for informationssikkerhed med en streng 90-dages gennemgangscyklus, så langsigtede sårbarheder ikke overses. For at minimere angrebsflader og opfylde compliance-forpligtelser fastslår politikken, at alle grænsenetværk skal beskyttes ved brug af next-generation firewalls med stateful inspection, applikationsfiltrering og indtrængningsforebyggelse. Interne netværk skal segmenteres mellem produktions-, udviklings-, bruger- og gæsteområder ved brug af firewalls og virtuelle lokalnetværk (VLAN'er) for at håndhæve streng adgangskontrol. VPN- og fjernadgangsløsninger skal anvende kryptering og flerfaktorautentificering (MFA), mens trådløse netværk skal anvende sikkerhedsprotokoller på virksomhedsniveau og gæsteadskillelse. Cloud- og hybridmiljøer er ikke undtaget; regler for sikkerhedsgrupper, reviderede VPN-links og cloud-native firewallindstillinger skal styres stramt. For overvågning og detektion er løbende revisionslogning til et centraliseret SIEM, anomalidetektion via NDR og fastsatte perioder for logopbevaring centrale krav. Periodiske politikgennemgange og audits er obligatoriske og udløses af nye trusler, netværksændringer, regulatoriske opdateringer eller revisionskonstateringer. Manglende overholdelse, herunder bevidst omgåelse af sikkerhedskontroller, medfører disciplinære foranstaltninger, kontraktlige sanktioner eller hændelsesrapportering i overensstemmelse med regulering. Endelig specificerer Netværkssikkerhedspolitikken også sine koblinger til andre kritiske organisatoriske politikker, herunder grundlæggende sikkerhed, adgangskontrol, ændringsstyring, aktivstyring, revisionslogning og politikker for hændelseshåndtering, for en forsvar-i-dybden-tilgang.