Policy för molnanvändning – SME

Policy för molnanvändning P27S fastställer omfattande men praktiska krav för hantering av molntjänster i miljöer för små och medelstora företag (SME). Eftersom SME ofta saknar fullskaliga IT-avdelningar är policyn utformad med tydliga och strömlinjeformade ansvar, såsom att lägga centrala beslut på verkställande direktör (GM) och IT-leverantör eller teknisk support, snarare än specialiserade roller som informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC), samtidigt som den säkerställer stark anpassning till ISO/IEC 27001:2022, GDPR, NIS2 och DORA. Policyn gäller alla molnbaserade system, oavsett om de är kostnadsfria eller betalda, och omfattar vanliga affärsapplikationer såsom dokumentdelningsplattformar, SaaS-verktyg, videokonferenser, e‑post, säkerhetskopieringssystem och kundplattformar. Alla som får åtkomst till företagets data, även via mobil eller surfplatta, måste följa dessa regler, som kräver förhandsgodkännande för alla molntjänster och uttryckligen förbjuder användning av personliga molnkonton för affärsdata, för att motverka riskerna med skugg-IT. Ett tydligt definierat molntjänstregister ska upprätthållas för att spåra varje auktoriserad plattform, ansvarig person, var data lagras, åtkomstbehörigheter och supportinformation. Säkerhetskontroller är obligatoriska: alla molnplattformar måste kräva flerfaktorsautentisering (MFA) för användare och administratörer, använda starka och komplexa lösenord, tillhandahålla revisionsloggning och åtkomstbegränsning (t.ex. tillåtelselista för IP-adresser där det finns), samt ha regelbundna granskningar av delat innehåll. Varje överträdelse, såsom utebliven avaktivering av användare eller offentlig delning av känsliga data, klassificeras som en informationssäkerhetsincident och omfattas av korrigerande åtgärder, inklusive behörighetsindragning, riktad omträning eller, vid behov, rättslig respons. Policyn ställer strikta krav på logglagring och säkerhetskopiering, och anger att verksamhetskritiska eller reglerade data ska säkerhetskopieras regelbundet, bevaras för att uppfylla rättsliga skyldigheter eller kundkrav, och att exportförmåga från molnplattformar ska bekräftas för att undvika leverantörsinlåsning. Leverantörsavtal för betalda molntjänster ska specificera dataskydd, aviseringar om rapporteringspliktiga överträdelser, dataägarskap och definierad eskalering. Regelefterlevnad övervakas med minst två gånger årliga kontroller av åtkomst, lösenord och administratörsstatus, och alla policyundantag måste motiveras och godkännas formellt av verkställande direktör (GM), med kompenserande kontroller och förfallodagar för åtgärd. Översyn och ständig förbättring är inbyggd: policyn kräver en årlig översyn samt uppdateringar efter incidenter, införande av nya plattformar eller regulatoriska förändringar. Arkiverade register bevaras säkert enligt datalagringspolicy, vilket säkerställer att all molnaktivitet är revisionsbar för interna och externa (inklusive ISO) krav. Med sitt fokuserade omfång ger denna policy SME en robust men hanterbar struktur för styrning av molnanvändning, vilket möjliggör regelefterlevnad, riskhantering och operativ kontinuitet.