Policy för bevisinsamling och forensik – SME

P31S Policy för bevisinsamling och forensik beskriver hur en SME kan hantera inhämtning, hantering och lagring av digitala bevis kopplade till informationssäkerhetsincidenter, rapporteringspliktiga överträdelser eller interna utredningar. Syftet är att tillhandahålla ett rättsligt hållbart ramverk med revisionsberedskap som uppfyller ISO/IEC 27001, GDPR och andra krav på regelefterlevnad, samtidigt som det är tillgängligt för organisationer utan dedikerade IT- och informationssäkerhetsteam. Policyn är särskilt anpassad för mindre företag (vilket framgår av SME-beteckningen och hänvisningar till ”verkställande direktör” i stället för roller som säkerhetsoperationscenter (SOC) eller informationssäkerhetschef (CISO)). Den fastställer tydliga ansvarsområden: Verkställande direktör är primär beslutsfattare och granskar, godkänner och dokumenterar formella utredningar och bevisrutiner. IT-drift eller externa konsulter samlar in och bevarar bevis med säkra, väldefinierade processer, medan dokumentation av beviskedjan säkerställer att autenticitet och riktighet aldrig äventyras. Omfattningen är bred och gäller all personal, system (inklusive bärbara datorer, mobila enheter, SaaS och molndiskar) samt varje händelse som kräver bevis för disciplinära åtgärder, rättsliga, regulatoriska, kund- eller försäkringsåtgärder. Rutinerna anger att bevisinsamling måste vara godkänd, dokumenterad och underställd strikt åtkomstkontroll (endast tillgänglig för verkställande direktör och IT-drift). För att stödja forensisk beredskap rekommenderar policyn kryptografisk hashverifiering för validering och kräver att varje åtkomst eller åtgärd revisionsloggas för att skapa ansvarsskyldighet. Vägledning för riskbehandling ges för att minimera exponering eller rättslig risk, inklusive krav på dataskydd och uppgiftsminimering, maskning och formell juridisk/regulatorisk eskalering vid behov. I scenarier där forensiskt korrekt bevisinsamling är omöjlig (t.ex. systemkrasch) definieras undantag och alternativa hanteringsmetoder och måste godkännas av verkställande direktör. Konsekvenserna vid policyöverträdelser, ändring av bevis, obehörig åtkomst eller delning sträcker sig från disciplinära åtgärder till juridisk/regulatorisk eskalering. Årliga översyner av policyn av verkställande direktör säkerställer fortsatt relevans och regelefterlevnad mot referensramverk och kontroller. Utlösare för tidigare översyn inkluderar betydande incidenter eller förändringar i rättsliga/regulatoriska förväntningar. Policyns modulära struktur säkerställer även smidig koppling till relaterade policyer inom styrning, åtkomstkontroll, revisionsloggning, incidentrespons och dataskydd, vilket bygger ett robust och regelefterlevande arbetssätt som passar SME-implementering utan operativa störningar eller specialistbemanning.