Policy för tillgångshantering – SME

Policy för tillgångshantering P12S är utformad specifikt för små och medelstora företag (SME) och tar hänsyn till de unika utmaningar som dessa organisationer har när de ska hantera informationstillgångar med begränsade tekniska resurser och personalresurser. I linje med ISO/IEC 27001:2022 och andra internationella standarder fastställer denna policy ett tydligt och praktiskt ramverk för att identifiera, spåra, skydda och avveckla både fysiska och digitala verksamhetstillgångar genom hela deras livscykel. Policyn gäller i hela organisationen och omfattar hårdvara (bärbara datorer, telefoner, USB-enheter), programvara (applikationer, SaaS-lösningar), dataförvar, åtkomstenheter (smartkort, nyckelbrickor) samt kritiska digitala autentiseringsuppgifter och tjänster som ligger till grund för den dagliga verksamheten. Alla intressenter – anställda, uppdragstagare, tredje parter – som hanterar organisationens tillgångar omfattas. Policyn är anpassad för moderna arbetssätt: kontorsbaserat, fjärrarbete, hybrid, mobilt och moln. Denna breda omfattning säkerställer att tillgångar inte bara spåras utan även beaktas i de olika miljöer där verksamheten bedrivs. Ett kärnmål är att etablera och upprätthålla en kontinuerligt uppdaterad och korrekt tillgångsförteckning över dessa tillgångar. Varje tillgång ska ha en tydligt utsedd tillgångsägare som ansvarar för förvaring och säker hantering. Tillgångsklassificering betonas: enheter som lagrar kunddata eller känsliga verksamhetsdata får ytterligare säkerhetskontroller och spårning. Viktigt för SME är att alla rutiner använder hanterbara, rollbaserade ansvarsområden. Verkställande direktör (GM) har övergripande ansvarsskyldighet. En IT Lead (eller annan utsedd förvaltare) ansvarar för den dagliga registerföringen, medan linjechefer och anställda stödjer tilldelning av tillgångar, säker förvaring och återställning av tillgångar. Denna förenkling av roller säkerställer effektivitet även när organisationer saknar dedikerade säkerhets- eller IT-chefer. Policyn beskriver strikta krav för utfärdande, återlämning, underhåll, märkning och säker bortskaffning av tillgångar. Moln- och virtuella tillgångar ingår fullt ut i arbetssättet, liksom Bring Your Own Device (BYOD) om det är tekniskt godkänt. Undantag (t.ex. informell delning av utrustning) hanteras också och kräver GM-godkännande samt tillfälliga kompenserande kontroller för eventuella avvikelser. Styrningsprocesserna är praktiska: strukturerade förteckningar ska innehålla fält för tillgångs-ID, typ, status, ägarskap med mera. Åtkomst till själva tillgångsförteckningen är strikt åtkomstkontrollerad och omfattas av regelbundna revisioner, både fysiska och digitala. Stickprovskontroller sker minst var sjätte månad, och policyn ses över årligen eller vid införande av ny teknik, nya regulatoriska skyldigheter eller efter en informationssäkerhetsincident eller revisionsiakttagelser. Bristande efterlevnad kan leda till disciplinära åtgärder, vilket understryker vikten av säker och ansvarsfull förvaltning av organisationens tillgångar. Detta är en ClarySec SME-policy som uppfyller ISO/IEC 27001:2022-regelefterlevnad men är särskilt anpassad för organisationer utan hög bemanning inom IT eller säkerhet. Ansvarslinjerna är förenklade men bibehåller full spårbarhet, revisionsbarhet och regulatorisk anpassning enligt standarder såsom GDPR, DORA och NIS2.