Policy för godtagbar användning

Policy för godtagbar användning (AUP) fastställer standarder för ansvarsfull, säker och laglig användning av en organisations informationssystem, datorresurser och informationstillgångar. Det övergripande syftet är att definiera både godtagbara och förbjudna aktiviteter vid interaktion med företagets IT-infrastruktur, inklusive arbetsstationer, mobila enheter, servrar, molntjänster och nätverk. Policyn säkerställer att alla användare – från anställda och uppdragstagare till tredjepartsleverantörer – är medvetna om sina ansvar i att försvara konfidentialitet, riktighet och tillgänglighet för organisationens informationstillgångar. Enligt policyn är omfattningen heltäckande och berör varje individ och enhet som beviljas åtkomst, samt alla former av teknik och företagsdata. Den gäller lika i företagskontor, upplägg för distansarbete och fältplatser. Inte bara traditionella IT-användare måste följa den, utan även alla som arbetar under Bring Your Own Device (BYOD)-upplägg eller i hybridmiljöer. Varje användare måste lämna policybekräftelse som ett villkor för system- och dataåtkomst, och sådan bekräftelse bevaras för revision och regelefterlevnad. Policyobjektiven betonar vikten av tydliga gränser för tillåtna och förbjudna handlingar. Den kräver förebyggande av obehörig åtkomst eller dataläckage genom beteendedrivna hot såsom vårdslös användning, installation av otillåten programvara eller kringgående av säkerhetskontroller. För att skydda regelefterlevnad avgränsas roller och ansvar för högsta ledning (policygodkännande och tillsyn), IT- och säkerhetsteam (tekniskt genomdrivande, övervakning, utredning), chefer (lokal tillsyn, hantering av mindre överträdelser), HR/juridik (disciplinära åtgärder, policyjuridik) och alla användare (etisk användning, incidentrapportering, skydd av autentiseringsuppgifter). Styrnings- och genomdrivandeåtgärder är utformade med struktur. Användare måste genomföra formell policybekräftelse och återkommande utbildning, vilket förstärker medvetenhet och etiskt beteende. IT- och säkerhetsteam implementerar webb- och e-postfiltreringssystem, slutpunktsskydd och övervakning för att tekniskt genomdriva regler, medan periodiska granskningar säkerställer att kontroller förblir effektiva. Förbjudna aktiviteter listas uttryckligen och omfattar obehörig åtkomst, distribution av skadlig kod, användning för personlig vinning, överdriven användning av resurser samt försök att kringgå autentiseringsmekanismer eller andra säkerhetsmekanismer. Det finns även strikt hantering av Bring Your Own Device (BYOD)-användning, kryptering och distansarbetsrutiner, med tekniska och procedurmässiga krav för enhets- och datasäkerhet. Incidentresponsmekanismer kräver att användare rapporterar säkerhetshändelser, obehörig åtkomst eller enhetsförlust skyndsamt via officiella rapporteringskanaler för säkerhetsincidenter. Överträdelser möts med proportionerliga disciplinära åtgärder – från riktad omträning och avstängning av åtkomst till avslutningsprocess eller rättsliga åtgärder – allt dokumenterat för juridiska och revisionsändamål. Viktigt är att policyn skyddar anonymitet i visselblåsarfunktion och förbjuder repressalier, vilket främjar en kultur av ansvarsskyldighet. I linje med erkända internationella standarder såsom ISO/IEC 27001:2022 (klausul 5.10 och utvalda kontroller i bilaga A), NIST SP 800-53, EU GDPR, NIS2, EU DORA och COBIT 2019 är AUP utformad för att tåla granskning ur regelefterlevnads-, juridik- och revisionsperspektiv. Den styrs av föreskrivna översynscykler, versionshantering och krav på dokumenthantering för att säkerställa relevans när risker utvecklas och när den regulatoriska miljön förändras. Vidare länkar policyn uttryckligen till relaterade nyckelpolicyer såsom Åtkomstkontrollpolicy, Riskhanteringspolicy och Policy för distansarbete, vilket säkerställer ett holistiskt, lagerbaserat angreppssätt för styrning av organisationens cyberrisk.