Policy för bevisinsamling och forensik

Policy för bevisinsamling och forensik (P31) fastställer ett strukturerat, juridiskt försvarbart ramverk för att hantera identifiering, insamling, bevarande, analys och bortskaffande av digitala bevis vid faktiska eller misstänkta säkerhetsincidenter. Dess centrala mål är att säkerställa forensisk beredskap samtidigt som bevisens riktighet och admissibilitet upprätthålls för interna utredningar, rättsprocesser eller regelefterlevnad. Policyns omfattande tillämpningsområde gäller all personal, uppdragstagare, leverantörer och tredjepartstjänsteleverantörer som deltar i systemadministration eller utredningsaktiviteter och styr slutpunkter, servrar, nätverk, molnplattformar och varje incident som kräver bevishantering, inklusive insiderhot, missbruk, incidenter i system för operationell teknik (OT-system) och överträdelser av fysiska och digitala tillgångar. Viktiga mål betonar snabb och säker anskaffning av bevis, rigoröst bevarande av bevisens riktighet och strikt dokumentation, inklusive beviskedja, för att uppfylla både rättsliga skyldigheter och regulatoriska skyldigheter. Forensiska aktiviteter är nära kopplade till efterincidentgranskning och kontrollförbättringar och integreras sömlöst i det övergripande ledningssystemet för informationssäkerhet (ISMS). Ansvar för informationssäkerhetschef (CISO), forensiska analytiker, IT-administratörer, juridik- och complianceansvarig, HR och internrevisionsfunktioner avgränsas för att skydda juridisk försvarbarhet och transparens i varje steg av en incident. Policyn föreskriver flera styrningskrav, inklusive upprätthållande av ett formellt program för forensisk beredskap. Programmet definierar utlösarkriterier för bevisinsamling, eskaleringsvägar, verktygsuppsättningar godkända för forensisk användning och betonar dokumentations- och rapporteringsstandarder som vägleder alla aktiviteter. Alla aktiviteter för bevishantering måste följa internationellt accepterade forensiska standarder, såsom ISO/IEC 27035 för incidenthantering, NIST SP 800-86 för forensisk planering och NIST SP 800-101 Rev.1 för medieforensik. Policyn kräver ett register över forensiska verktyg och kräver att bevis anskaffas säkert, märks, lagras med riktighetskontroller och att alla förflyttningar loggas i en signerad logg för beviskedja. Krav för införande av policyn föreskriver detaljerade rutiner för bevisanskaffning (med skrivblockerare och validerade verktyg), systemisolering, insamling av loggar och metadata (som säkerställer tidssynkronisering för konsekventa tidslinjer) samt säkra, isolerade miljöer för forensisk analys. Dataskyddsåtgärder kräver strikt GDPR-anpassning när bevis omfattar personuppgifter, inklusive åtkomstkontroll, kryptering och tydlig dokumentation av insamlingsrational. Bevislagring styrs av rättsliga skyldigheter eller avtalskrav, och säker bortskaffning ska följa datalagringspolicy (P14). Riskbehandling och undantagsprocesser beskrivs också, med specifika krav på att dokumentera, lämna in och godkänna undantag, särskilt där bevis inte kan hanteras enligt standardrutiner. Efterlevnadsövervakning, periodiska revisioner, policyintegration med policy för incidenthantering (P30) samt tillsyn genom disciplinära åtgärder eller rättsliga åtgärder underbygger policyns effektivitet. Översynsprocessen formaliseras årligen och vid kritiska incidenter. Policyn är anpassad till internationella ramverk inklusive ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 och 800-101, COBIT 2019, EU:s GDPR, NIS2 och DORA.