Policy för rent skrivbord och ren skärm – SME

Policy för rent skrivbord och ren skärm (P10S) är en viktig operativ riktlinje utformad för små och medelstora företag (SME) som behöver säkerställa konfidentialitet och upprätthålla regelefterlevnad, inklusive ISO/IEC 27001:2022. Eftersom detta är en SME-policy, vilket framgår av ”S” i dokumentnumret och att verkställande direktör är policyägare, är den särskilt anpassad för organisationer som kan sakna dedikerade team för IT eller säkerhetsstyrning. Policyns kärnsyfte är att tydligt beskriva praktiska, genomdrivbara beteenden och tekniska kontroller som skyddar känslig information, oavsett arbetsplats eller organisatoriska resurser. Som grund kräver policyn att alla anställda, uppdragstagare och tillfällig personal skyddar fysiska och digitala arbetsytor genom att säkerställa att ingen konfidentiell information lämnas synlig, obevakad eller felaktigt säkrad. Omfattningen täcker fysiska kontor, delade arbetsytor, coworkingmiljöer samt distans-/hemmabaserade arbetssätt. Den gäller alla pappers- och digitala tillgångar, såsom dokument, utskrifter, handskrivna anteckningar, flyttbara medier, datorer och mobila enheter. Genom denna bredd adresserar policyn moderna arbetssätt samtidigt som den behåller ett tydligt fokus på riskreducering. Roller och ansvar är tydligt förenklade för en SME-kontext. Verkställande direktör har fullt ägarskap och ansvarar för policykommunikation, utbildning, godkännande av undantag och genomförande av kvartalsvisa efterlevnadskontroller av arbetsytor. Ytterligare uppgifter kan delegeras till utsedd personal, såsom konfiguration av skärmlåsinställningar eller distribution av fysiska förvaringshjälpmedel. Utformningen säkerställer dock effektivitet även utan formella avdelningar för IT eller regelefterlevnad. All personal hålls ansvarig för de enkla men väsentliga kraven: låsa skärmar när de lämnas obevakade, säkra allt konfidentiellt material, undvika att enbart förlita sig på digitala kontroller samt rapportera potentiella risker eller bristande efterlevnad. Policyobjektiven är nära kopplade till både operativ riskreducering och regulatoriska skyldigheter. Tydliga, praktiska regler etablerar en baslinje: automatisk låsning av arbetsstation efter fem minuter, säker förvaring av dokument vid arbetsdagens slut, omedelbar hämtning av känsliga utskrifter samt skyltning som förstärker medvetenhet. Verkställande direktör ansvarar även för introduktion och medvetenhetsutbildning, loggning av efterlevnadsaktiviteter samt eskalering vid incident eller överträdelse. Viktigt är att policyns utformning stödjer en kultur av vaksamhet och ansvarsskyldighet, med fokus på genomförbara kontroller inom kapaciteten hos ett resursbegränsat SME, samtidigt som den bibehåller anpassning till exempelvis Annex A Kontroll 7.7 i ISO/IEC 27001 och GDPR artikel 32. Den övergripande strukturen gör det möjligt för SME att visa tillbörlig aktsamhet vid revisioner och att effektivt begränsa fysiska risker och informationsrisker från intern felhantering eller externa hot såsom besökare eller uppdragstagare. Realistiska undantagsprocesser, anpassade kontroller för distansarbetare och definierade disciplinära åtgärder säkerställer både tydlighet och trovärdighet. Policyn innehåller kopplingar till andra kritiska policyer (t.ex. informationssäkerhetsmedvetenhets- och utbildningspolicy, åtkomstkontrollpolicy, policy för incidenthantering (P30)), och utgör en del av ett kortfattat, sammanhängande ramverk för cyberhygien som är lämpligt för mindre organisationer.