Slutpunktsskydd och policy för skydd mot skadlig kod – SME

Denna slutpunktsskyddspolicy för skydd mot skadlig kod (P20S) är särskilt utformad för små och medelstora företag (SME) som behöver robust, praktiskt och standardanpassat skydd mot hot från skadlig kod som riktar sig mot slutpunktsenheter. Markeringen med ”S” i dokumentnumret och delegeringen av huvudansvar till verkställande direktör speglar policyn ett förenklat angreppssätt som passar organisationer utan dedikerad informationssäkerhetschef (CISO), säkerhetsoperationscenter (SOC) eller heltidsanställda IT-team, men är samtidigt fullt kompatibel med ledande ramverk, inklusive ISO/IEC 27001:2022. Syftet med policyn är att fastställa tydliga, genomdrivbara minimistandarder för att säkra alla slutpunktsenheter, inklusive bärbara och stationära datorer, surfplattor, smartphones och flyttbara medier. Genom att adressera de tekniska, processuella och beteendemässiga delarna av slutpunktssäkerhet syftar den till att minska vanliga risker såsom ransomware, spyware, keylogger och USB-baserad skadlig kod. Policyn är skriven för att stödja organisationens mål för cyberresiliens och underlätta regelefterlevnad, särskilt med dataskydd, NIS2, DORA och COBIT 2019. Omfattningen är heltäckande: den täcker organisatoriska enheter och Bring Your Own Device (BYOD), oavsett om de används på plats, via fjärråtkomst, är molnanslutna eller offline. All personal, tredjepartstjänsteleverantörer, uppdragstagare och praktikanter omfattas av kraven. Policyn beskriver styrning för både företagets och personligt ägda enheter, med särskilt fokus på BYOD-kontroller, såsom obligatoriskt antivirus eller MDM-agenter, uppdaterad patchning, krypterad lagring och genomdrivande av skärmlås. Viktiga operativa krav inkluderar att köra godkända antivirus- eller slutpunktsdetektering- och responslösningar (EDR) på alla slutpunkter, veckovisa fullständiga systemskanningar, automatiska uppdateringar av signaturer, blockering av misstänkta filtyper, inaktivering av oanvända tjänster och USB-skanning i realtid. Om skadlig kod upptäcks anges tydligt omedelbar frånkoppling, IT-avisering, begränsning, avhjälpande åtgärder och incidentrapportering. Ytterligare kontroller kräver regelbunden säkerhetsmedvetenhetsutbildning och löpande simulerade phishingkampanjer för att minska infektionsrisker kopplade till användarbeteende. Policyn anger vidare att kritiska händelser (t.ex. inaktiverat skydd eller upprepade infektionsförsök) revisionsloggas och larmas, att regelefterlevnadsbevis bevaras för revision i minst 12 månader samt att undantag dokumenteras strikt och är tidsbegränsade. Årlig översyn och uppdateringar baserade på utlösare säkerställer att policyn förblir effektiv i takt med förändrade hot och regulatoriska förändringar. Samtliga kontroller är lämpliga för SME och ger verkställande direktör och IT-stödleverantörer genomförbara och hanterbara säkerhetssteg som uppfyller förväntningarna i centrala regulatoriska ramverk.