Politik for sårbarhedsstyring og patchning - SME

Politik for sårbarhedsstyring og patchning (P19S) giver et struktureret rammeværk til at identificere, vurdere og afhjælpe sårbarheder på tværs af organisationens digitale økosystem. Dokumentet er eksplicit tilpasset som en SME-politik, hvilket afspejles af dets betegnelse og tildelingen af General Manager som den ultimativt ansvarlige rolle. Dokumentet anerkender de særlige ressourcebegrænsninger i små og mellemstore virksomheder, samtidig med at det sikrer fuld tilpasning til centrale compliance-rammeværk såsom ISO/IEC 27001:2022, GDPR, NIS2 og DORA. Politikkens primære mål er at reducere cybersikkerhedsrisikoeksponering ved at indføre effektive, rettidige og risikobaserede afhjælpningsprocesser for alle aktiver, herunder servere, endepunkter, mobile enheder, netværkshardware og cloud-hostede systemer. Politikkens ISMS-omfang er bredt og inkluderende og gælder ikke kun for alle konventionelle komponenter i it-infrastruktur, men også for specialudviklet kode, leverandøradministrerede platforme og alle tredjepartsadministrerede systemer, der er integrale for forretningsdriften. Denne omfattende rækkevidde betyder, at både interne it-ressourcer og eksterne tjenesteudbydere er underlagt en fælles standard, hvilket sikrer ensartet praksis uanset hvem der administrerer aktiverne. Alle systemer, uanset om de er lokale eller cloud-baserede, skal derfor følge definerede processer for sårbarhedsidentifikation og afhjælpning. En klar opdeling af roller og ansvar er indlejret i politikken: General Manager er ansvarlig for tilsyn og risikoaccept, hvilket afspejler de forenklede ledelsesstrukturer, der er typiske for SME'er. Patchningsaktiviteter, registrering og undtagelseshåndtering udføres typisk enten af interne IT-administratorer eller kontraherede it-supportudbydere. Databeskyttelses- eller sikkerhedskoordinatorer, hvor de er udpeget, har til opgave at sikre, at systemer, der håndterer personoplysninger, får passende prioritering, hvilket understøtter overholdelse af lovgivningen og reducerer sandsynligheden for datasikkerhedsbrud. Praktiske implementeringstrin er beskrevet: Kritiske sikkerhedsrettelser skal anvendes inden for tre dage efter frigivelse, især for eksternt eksponerede systemer, mens alle andre patches har et implementeringsvindue på 30 dage. Patches skal valideres, testes og logges, og mislykkede opdateringer eller tilbagerulninger skal dokumenteres grundigt og eskaleres. Politikken kræver desuden proaktiv overvågning af sårbarheder via notifikationer fra operativsystemer, leverandørbulletiner og anerkendte globale trusselsadvarsler. Tredjeparts- og specialudviklet software skal gennemgås regelmæssigt for sårbare komponenter, hvilket sikrer politikkens effektivitet også ved brug af open source eller eksterne ressourcer. Undtagelseshåndtering, revisionslogning og compliance-gennemgangsprocesser er eksplicit beskrevet og kræver, at enhver afvigelse fra standardfrister for patchning risikovurderes, godkendes og revurderes efter en fastlagt tidsplan. Politikken kræver også årlige gennemgange og mellemliggende opdateringer efter væsentlige sikkerhedshændelser eller ændringer i it-miljøet. Bevidstgørelsesprogrammer og træning sikrer, at alt personale er bekendt med forventninger til opdateringer og kan eskalere potentielle problemer. Samlet set balancerer P19S-politikken stringens og praktisk anvendelighed, understøtter retlige og branchemæssige forpligtelser og forbliver tilgængelig for SME'er uden dedikerede sikkerhedsteams.