Politik for tidssynkronisering – SMV

Denne politik for tidssynkronisering (P23S) fastlægger klare, obligatoriske krav til konfiguration og vedligeholdelse af præcis tidssynkronisering på alle organisatoriske systemer, der er involveret i lagring, transmission eller behandling af forretningsrelevante data. Som en SMV-politik er P23S designet specifikt til organisationer med strømlinede IT-roller, såsom General Manager og IT Support Provider, men opnår stadig overensstemmelse med ISO/IEC 27001:2022, GDPR, NIS2, DORA og andre rammeværker. Formålet med denne politik er at opretholde integriteten af systemlogfiler, facilitere præcis undersøgelse af hændelser og sikre forsvarlighed ved revisioner gennem streng håndhævelse af kontroller for automatiseret tidssynkronisering. Den kræver, at alle virksomhedsejede, fjern- og cloud-hostede systemer, herunder brugerendepunkter, servere, firewalls og SaaS-platforme, benytter betroede, kryptografisk sikrede tids-kilder (f.eks. autentificerede NTP-servere eller cloud-udbyderværktøjer). Enheder skal synkronisere mindst to gange dagligt og forblive inden for definerede tærskler (±5 sekunder for arbejdsstationer; ±1 sekund for servere og sikkerhedsenheder). Tidsafvigelser uden for tærskler udløser automatiske advarsler og skal korrigeres hurtigt for at forhindre trusler mod datasporbarhed eller regulatorisk status. Politikken tildeler ansvar til General Manager, IT Support Provider og en Privacy Coordinator eller Compliance Officer. General Manager fører tilsyn med og godkender politikken eller eventuelle undtagelser, mens IT Support konfigurerer, overvåger og dokumenterer tidssynkroniseringsstatus. Medarbejdere og kontrahenter er strengt forbudt at ændre enheders tidsindstillinger; eventuelle synkroniseringsproblemer skal eskaleres straks. Regelmæssige systemhelbredstjek og periodiske gennemgange hjælper med at sikre løbende overholdelse, mens undtagelseshåndtering og kompenserende kontroller styres og dokumenteres omhyggeligt. Tidssynkronisering er eksplicit koblet til andre centrale SMV-politikker, herunder Lognings- og overvågningspolitik, Politik for hændelseshåndtering (P30), Databeskyttelse og privatliv, aktivstyring og tredjepartssikkerhed. Samlet giver disse politikker sammenhængende dækning og sikrer, at logfiler, der anvendes til overholdelse, overvågning af sikkerhedssystemer eller respons på brud, er nøjagtige både i indhold og i tidsstempel. Dokumentet fremhæver en stringent proces for gennemgang og opdatering og kræver årlig revurdering af General Manager, IT og Privacy-roller, med opdateringer udløst af teknologiske ændringer eller nye reguleringsmæssige forpligtelser. Denne helhedsorienterede tilgang giver SMV'er mulighed for at efterleve sikkerhedsstandarder på enterprise-niveau uden behov for komplekse, ressourcekrævende tilsynsstrukturer.