Policy för kryptografiska kontroller – SME

P18S Policy för kryptografiska kontroller är en specialiserad policy framtagen för små och medelstora företag (SME), tydligt anpassad för förenklade roller och processer, särskilt rollen ”verkställande chef”, snarare än företags-/koncernspecifika titlar som CISO eller SOC. Den säkerställer att dessa organisationer inför robusta kryptografiska kontroller som skyddar konfidentialitet, riktighet och autenticitet för affärs- och personuppgifter. Policyns kärnsyfte är att definiera obligatoriska krav för kryptering och andra kryptografiska åtgärder, i direkt linje med certifieringsbehov enligt ISO/IEC 27001:2022 och regelverk såsom GDPR, NIS2-direktivet och EU DORA. Policyomfattningen spänner över all personal, inklusive anställda, uppdragstagare och tredje parter, som hanterar företagsdata, och omfattar varje affärssystem, slutpunkt eller molnplattform som lagrar, överför eller får åtkomst till konfidentiell information. Den gäller för alla klassificerade data enligt företagets policy för dataklassificering och omfattar kryptografiska kontroller såsom krypteringsmetoder, certifikat, nycklar, lösenord och säkerhetsmoduler. Skyddskraven omfattar data i vila, under överföring och under användning, inklusive kryptering för säkerhetskopior, e‑post, externa överföringar och organisationens webbplatser. Policyobjektiven är tydliga: skydda känsliga och reglerade data med lämpliga kryptografiska åtgärder; etablera befogenhet och ansvarsskyldighet för verktygsval, konfiguration och nyckelhantering; samt säkerställa starka förebyggande kontroller mot obehörig åtkomst, manipulering eller dataförlust. Policyn betonar strikt efterlevnad av rättsliga och regulatoriska skyldigheter som kräver kryptering och understryker vikten av effektiv certifikat- och nyckelhantering för den operativa säkerheten. Roller och ansvar är strömlinjeformade för SME-kontext: den verkställande chefen (GM) äger policyn och övervakar genomdrivandet samt godkänner undantag. IT-supportleverantören eller intern IT-administratör hanterar den dagliga driften och underhållet av krypteringstekniker, certifikat och skydd av säkerhetskopior. En dataskydds- eller säkerhetssamordnare säkerställer löpande regelefterlevnad av dataskyddsskyldigheter, riskhantering och rättsligt försvar. All personal och uppdragstagare ska följa godkänd användning av kryptering och får inte kringgå någon säkerhetsmekanism. Viktiga styrningsfunktioner inkluderar årlig policyöversyn (eller vid större överträdelse eller förändring), full dokumentation av alla aktiviteter för kryptering/nyckelhantering samt strikta krav på användning av branschstandardiserade kryptografiska algoritmer (såsom AES-256, RSA 2048 och TLS 1.2 eller nyare). Föråldrade eller osäkra protokoll ska blockeras och alla nycklar ska lagras säkert med kontrollerad, regelbundet granskad åtkomst, aldrig i klartext. Kryptering av säkerhetskopior, certifikathantering, planering av riskscenarier och en väl dokumenterad process för undantag är centrala krav. Överträdelser medför definierade konsekvenser och alla kryptografiska fel loggas, utreds och hanteras som en del av procedurer för hantering av överträdelser. Denna policy motsvarar SME-mallen, vilket gör den särskilt lämplig för organisationer med färre resurser eller säkerhetsspecialiserad personal, samtidigt som den ger full anpassning till ISO/IEC 27001:2022 och relevanta regulatoriska krav.