Policy för molnanvändning

Policy för molnanvändning (P27) tillhandahåller en enhetlig, obligatorisk standard för att införa, hantera och styra molnbaserade datortjänster och omfattar modellerna Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) och Software-as-a-Service (SaaS). Den syftar till att säkerställa att all organisatorisk användning av molnplattformar är säker, förenlig med relevanta regler och stödjer operativ effektivitet och innovation, samtidigt som konfidentialitet, riktighet och tillgänglighet för informationstillgångar skyddas. Policyns omfattning är heltäckande och gäller för alla anställda, uppdragstagare, tredjepartsleverantörer och konsulter som deltar i någon form av åtkomsttilldelning, konfiguration, administration eller användning av molntjänster. Denna räckvidd omfattar driftsättningar i offentliga, privata, hybrid- och community-moln, täcker all dataklassificering och inkluderar uttryckligen både interna och leverantörshostade miljöer, samt förebyggande av shadow IT och personlig molnanvändning för affärsändamål. Policyns huvudsakliga mål inkluderar: att definiera tydliga riktlinjer och baslinjer för molninförande, minimera operativa och regulatoriska risker (såsom felkonfigurationer, dataintrång och obehörig åtkomst) samt föreskriva robusta säkerhets- och integritetskontroller genom avtalsförpliktelser, kontinuerlig bedömning och revisionsrätt för alla molnleverantörer. Policyn kräver central förvaltning av ett register över molntjänster, övervakat av informationssäkerhetschef (CISO), som katalogiserar godkända leverantörer, tjänstetyper, riskklassningar, verksamhetsägare och avtalsattribut, och stödjer rigorös livscykelhantering och kontinuerlig efterlevnadsövervakning. Roller och ansvar är tydligt avgränsade och tilldelar lednings- och tillsynsfunktioner över verkställande ledning, informationssäkerhetschef (CISO), molnsäkerhetsarkitekt, IT-drift, upphandling, juridik, dataägare och slutanvändare. Policyn genomdriver strikta tekniska och procedurmässiga kontroller: identitets- och åtkomsthantering (IAM) (med obligatorisk rollbaserad åtkomstkontroll (RBAC) och flerfaktorsautentisering (MFA) för administrativa konton), baslinjer för säker konfiguration, kryptering (med NIST-godkända standarder), krav på revisionsloggning samt integration av molntjänster med Security Information and Event Management (SIEM)-system. Avtal med molnleverantörer måste hantera revisionsrätt, tidslinjer för aviseringar vid överträdelser, dataåterlämning/radering och efterlevnadsövervakning. Data får endast överföras till molnet efter dataklassificering, och gränsöverskridande överföringar måste följa etablerade regler såsom GDPR. Riskhantering är central: alla avvikelser kräver dokumenterade undantag, detaljerade riskbehandlingsplaner, godkännande av informationssäkerhetschef (CISO) eller molnsäkerhetsarkitekt samt granskning i flera nivåer för högriskscenarier. Löpande styrning säkerställs genom regelbunden kontinuerlig efterlevnadsövervakning, integration med incidentrespons (eskalerad via Policy för incidenthantering (P30)), årliga översyner och mellanliggande uppdateringar som drivs av incidentutfall, migreringar eller regulatoriska förändringar. Överträdelser av policykrav, såsom användning av otillåtna molnkonton eller försummelse av obligatoriska kontroller, utlöser en rad konsekvenser, från utbildning till rättsliga åtgärder eller avslut. Policy för molnanvändning är sammankopplad med relaterade policyer för informationssäkerhet, ändringshantering, dataklassificering, kryptografiska kontroller, revisionsloggning och övervakning, incidentrespons och revision, vilket ytterligare förstärker dess roll som den auktoritativa grunden för molnstyrning.