Policy för godtagbar användning – SME

Policy för godtagbar användning (AUP) – SME-version (dokument P03S) är utformad för att fastställa tydliga, praktiska och genomdrivbara standarder för ansvarsfull användning av företagets IT-resurser inom små och medelstora företag (SME:er). Huvudfokus är att säkerställa att alla individer, inklusive anställda, uppdragstagare, tillfällig personal och även tredjepartstjänsteleverantörer, fullt ut förstår sina skyldigheter och beteendeförväntningar vid åtkomst till organisationens system, oavsett om det sker lokalt (på plats), på distans eller i en hybridmiljö. Policyn är uttryckligen anpassad för SME:er, vilket framgår genom användning av generaliserade ledningsroller såsom verkställande direktör snarare än specialiserade IT- eller säkerhetsroller, vilket gör den tillgänglig för organisationer utan dedikerade interna IT- eller säkerhetsteam men som ändå eftersträvar rigorös efterlevnad av ISO/IEC 27001:2022. Sammanfattningsvis definierar AUP vad som utgör godtagbar respektive icke godtagbar användning av företagets enheter, personliga enheter (Bring Your Own Device (BYOD)), nätverk, molnplattformar och alla programvaruverktyg som används. Den beskriver i detalj styrningsmekanismer, såsom inventarier över godkänd hårdvara och protokoll samt programvara, krav på förhandsgodkännande och säker konfiguration av Bring Your Own Device (BYOD), samt att upprätthålla aktivitetsloggar för att kunna spåra överträdelser eller incidenter. Övervakning utförs av IT-ansvarig eller auktoriserad extern leverantör, men alltid inom ramen för legitima affärsintressen och tillämpliga dataskyddslagar. Detta angreppssätt balanserar säkerhet, dataskydd och organisatorisk genomförbarhet. Policyn fastställer även ett heltäckande ramverk för riskbehandling och undantag: risker såsom infektion av skadlig kod, rapporteringspliktiga överträdelser och anseendeskada till följd av missbruk begränsas genom lager av tekniska kontroller och medvetenhet. Undantagsbegäran, såsom användning av icke-godkända verktyg, måste dokumenteras formellt, riskbedömas, vara tidsbegränsade och uttryckligen godkännas, vanligtvis av verkställande direktör eller IT-leverantör. Det starka fokuset på dokumentation, granskningsutlösare och årlig omprövning av policyn säkerställer att policyn förblir effektiv när tekniker, hot och rättsliga krav utvecklas. Bestämmelserna för tillsyn och efterlevnad är robusta. Alla misstänkta eller observerade överträdelser ska rapporteras skyndsamt, med tydlig eskalering till IT-ansvarig eller verkställande direktör. Åtgärder kan omfatta låsning av system eller åtkomst, muntliga eller skriftliga varningar samt uppsägning av avtal för både personal och tredjepartstjänsteleverantörer. Policyns avtalsmässigt bindande karaktär för tredje parter säkerställer en konsekvent tillämpning av säkerhetsstandarder i organisationens leveranskedja. Slutligen säkerställer AUP:s integration med andra centrala SME-policyer—åtkomstkontrollpolicy, informationssäkerhetsmedvetenhets- och utbildningspolicy, policy för distansarbete, dataskyddspolicyer och policy för incidenthantering (P30)—en heltäckande täckning av säkerhetsansvar. Resultatet är ett lättimplementerat, ISO 27001:2022-anpassat ramverk för företag som eftersträvar regelefterlevnad och riskreducering även utan stora IT- eller säkerhetsavdelningar.