Vem bör använda denna policyuppsättning?

Små och medelstora företag som vill uppnå eller upprätthålla regelefterlevnad med ISO/IEC 27001:2022, GDPR, NIS2, DORA och relaterade ramverk. Idealisk för verksamheter utan dedikerade informationssäkerhetschefer (CISO) eller interna IT- och säkerhetsavdelningar.

Hur stödjer detta paket revisionsberedskap?

Varje policy kräver dokumentation, versionshantering, regelbundna granskningar och bevarande av revisionsspår. Undantag och riskbehandlingar loggas formellt för externa revisioner eller certifieringsrevisioner.

Vad gör denna SME-policyuppsättning unik?

Alla policyer är rollanpassade för SME och lägger ansvar på General Managers och teamledare, utan krav på specialistpersonal inom säkerhet. De använder checklistor och förenklat språk samtidigt som de är fullt förenliga med större standarder.

Ingår moln, distansarbete och BYOD?

Ja. Uppsättningen täcker användning av moln, distans-/hybridarbete samt Bring Your Own Device (BYOD) och policyer för mobila enheter med genomdrivbara krav på åtkomst och säkerhet.

Kan detta integreras med externa leverantörer?

Ja, policyer för leverantörer och utlagd utveckling kräver att alla leverantörer undertecknar och följer säkerhetsvillkor, inklusive tidslinjer för aviseringar vid överträdelser och revisionsrättsvillkor.

Fullständigt SME-paket (P01S–P37S)

Översikt

Fullständigt SME-paket (P01S–P37S) tillhandahåller en komplett, revisionsklar uppsättning cybersäkerhets- och IT-styrningspolicyer som täcker alla informationssäkerhetskrav för SME. Varje policy är anpassad för småföretagsledare (General Managers), uttryckligen utformad för organisationer utan dedikerade säkerhetsteam, och är fullt anpassad till ISO/IEC 27001:2022, GDPR, NIS2, DORA med mera.

Fullständig regelefterlevnad för SME

Omfattar 37 policyer och säkerställer full anpassning till ISO/IEC 27001, GDPR, NIS2, DORA och COBIT för SME utan stora IT-team.

Revisionsklara kontroller

Alla policyer inkluderar krav på revisionsdokumentation, versionshantering, granskningsutlösare och processer för korrigerande åtgärder.

Praktisk SME-styrning

Roller mappade till General Manager och teamledare; ingen informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC) krävs. Utformad för ägarledda verksamheter.

Tydlig vägledning som kan genomdrivas

Steg-för-steg-regler, checklistor och undantagshantering för användarvänliga, genomdrivbara cybersäkerhetspraxis.

Redo för ISO 27001-certifiering

Direkt mappning till alla ISO/IEC 27001:2022- och 27002:2022-klausuler för trygghet vid revision och certifiering.

Läs fullständig översikt

Detta Fullständigt SME-paket (P01S–P37S) erbjuder en omfattande policyportfölj för cybersäkerhet och IT-styrning, särskilt framtagen för små och medelstora företag (SME). Den adresserar fullt ut de strikta kraven i ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA, COBIT 2019 och andra större ramverk, samtidigt som den förblir praktisk och strömlinjeformad för organisationer utan dedikerad intern IT eller säkerhetsdrift (såsom informationssäkerhetschefer (CISO) eller säkerhetsoperationscenter (SOC)). Denna policyuppsättning utmärker sig som bäst lämpad för SME tack vare sin skräddarsydda rollstruktur: majoriteten av nyckelansvar tilldelas General Manager eller motsvarande verksamhetsägare, inklusive sign-off, delegering, policygranskning och hantering av undantag. Där tekniska uppgifter krävs ger tydliga instruktioner möjlighet till outsourcing till betrodda IT-supportleverantörer eller tilldelning till namngiven intern personal eller avdelnings-/teamledare. Varje policy genomdriver ansvarsskyldighet med formella godkännandeloggar, versionshantering, dokumenterade undantag och regelbundna granskningskrav, vilket gör systemet robust för interna och externa revisioner. Innehållet omfattar policyer som spänner över varje kritiskt område inom modern informationssäkerhet för SME. Dessa inkluderar: tydliga ISMS-omfattningsbeskrivningar, detaljerade regler för testning och åtkomst (utan krav på pentestmetodik utöver vad som anges i policyerna), tydlig tilldelning och delegering av ansvar (med utlösare för övervakning och eskalering), revisionsstödjande åtgärder (loggar, ändringshistorik, register över genomförda utbildningar), datahantering som omfattar GDPR-anpassade regler för dataskydd och logglagring, tekniska standarder för moln, Bring Your Own Device (BYOD), distans-/hybridarbete samt fysisk och digital incidentrespons inklusive juridiskt bevarande och stopp för radering, forensisk bevisning och rotorsaksanalys. Strukturen är systematisk: varje policy beskriver sitt syfte, omfattning, mål, roller, styrningskrav, implementeringssteg, riskbehandling och undantagshantering, tillsyn och efterlevnad samt uppdateringsprotokoll. Dessutom skapar varje policys koppling till andra dokument (t.ex. åtkomstkontroll, incident response, dataskydd och dataskydd) en integrerad, lagerbaserad modell för djupförsvar och styrning. Avsnitten för översyn och uppdatering kräver årlig revalidering, versionshantering och kommunikation till all relevant personal och tredjepartstjänsteleverantörer, vilket säkerställer aktuell beredskap när regelverk eller arbetssätt förändras. Produkten är tydligt identifierad som en SME-policyuppsättning (SME-markör ”S” i dokumentnummer och hänvisning till General Manager-ledda processer). Den praktiska och genomdrivbara ansatsen, i kombination med strikt regulatorisk anpassning och certifieringsanpassning, gör den lämplig för ägarledda verksamheter, snabbväxande scale-ups och resursbegränsade organisationer som behöver uppnå eller upprätthålla höga nivåer av regelefterlevnad och operativ motståndskraft, även utan specialistroller inom säkerhet.

Innehåll

Omfattning och regler för genomförande

Roll- och ansvarsmatris

Förfaranden för åtkomstkontroll och ändringshantering

Regler för dataskydd och dataskydd

Incidentrespons och hantering av bevisning

Revision och regelefterlevnad, juridiska och regulatoriska processer

Ramverksefterlevnad

Ramverk	Täckta klausuler / Kontroller
ISO/IEC 27001:2022	5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32
NIST SP 800-53 Rev.5	PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6
EU GDPR	Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34
EU NIS2 Directive	Article 20Article 21(2)(a–i)Article 23
EU DORA	Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28
COBIT 2019	APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Ramverk

Täckta klausuler / Kontroller

ISO/IEC 27001:2022

5.1 5.2 5.3 6.1 6.2 6.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.1–5.37 6.2 6.3 6.5 7.2–7.7 8.2–8.32

NIST SP 800-53 Rev.5

PM-1 PL-1 CA-1 AC-1 AT-2 RA-1–RA-7 CM-2–CM-5 SI-3 SI-4 CP-2 CP-4 CP-9 IR-4 IR-5 IR-6 AU-2–AU-12 SC-12 SC-17 PE-2 PE-20 MP-6

EU GDPR

Article 5Article 6Articles 12–23Article 28Article 32Article 33Article 34

EU NIS2 Directive

Article 20Article 21(2)(a–i)Article 23

EU DORA

Article 5 Article 6 Article 9 Article 10 Article 12 Article 15 Article 17 Article 28

COBIT 2019

APO07 APO10 APO12 APO13 BAI03 BAI04 BAI06 BAI07 BAI08 BAI09 DSS01 DSS02 DSS04 DSS05 DSS06 EDM03 MEA01 MEA03

Relaterade policyer

Styrningspolicy för roller och ansvar – SME

Denna policy definierar hur styrningsansvar för informationssäkerhet tilldelas, delegeras och hanteras i organisationen för att säkerställa full regelefterlevnad med ISO/IEC 27001:2022 och andra regulatoriska skyldigheter.

Policy för rent skrivbord och ren skärm – SME

Denna policy fastställer genomdrivbara riktlinjer för att upprätthålla en säker arbetsmiljö genom att säkerställa att skrivbord, arbetsstationer och bildskärmar hålls fria från synlig konfidentiell information när de lämnas utan uppsikt.

Policy för slutpunktsskydd och skydd mot skadlig kod – SME

Denna policy definierar de minsta tekniska, procedurmässiga och beteendemässiga kraven för att skydda alla slutpunktsenheter—såsom bärbara datorer, stationära datorer, mobila enheter och portabla medier—från skadlig kod.

P01 Informationssäkerhetspolicy – SME

Denna policy visar organisationens åtagande att skydda kund- och verksamhetsinformation genom att tydligt definiera ansvar och praktiska säkerhetsåtgärder, lämpligt för organisationer utan dedikerade IT-team.

Policy för godtagbar användning – SME

Denna policy definierar godtagbar, ansvarsfull och säker användning av företagets system, enheter, internetåtkomst, e‑post, molntjänster och eventuella privatägda enheter som används i verksamheten.

Åtkomstkontrollpolicy – SME

Denna policy definierar hur organisationen hanterar åtkomst till system, data och lokaler för att säkerställa att endast behöriga individer kan få åtkomst till information baserat på verksamhetsbehov.

P05 Ändringshanteringspolicy – SME

Denna policy säkerställer att alla ändringar i IT-system, konfigurationer, affärsapplikationer eller molntjänster planeras, riskbedöms, testas och godkänns före implementering.

Policy för riskhantering – SME

Denna policy definierar hur organisationen identifierar, utvärderar och hanterar risker relaterade till informationssäkerhet, drift, teknik och tredjepartstjänsteleverantörer.

Policy för introduktion och avslut – SME

Denna policy definierar processen för introduktion av nya anställda eller uppdragstagare och för att säkert ta bort åtkomst när individer slutar eller byter roll.

Informationssäkerhetsmedvetenhets- och utbildningspolicy – SME

Denna policy säkerställer att alla anställda och uppdragstagare förstår sitt ansvar avseende informationssäkerhet.

Policy för distansarbete – SME

Denna policy fastställer säkerhetskrav för anställda och uppdragstagare som arbetar på distans, inklusive hemifrån, delade arbetsytor eller under resor.

Policy för användarkonton och behörighetshantering – SME

Denna policy fastställer regler för att hantera användarkonton och åtkomsträttigheter på ett säkert, konsekvent och spårbart sätt.

Policy för tillgångshantering – SME

Denna policy definierar hur organisationen identifierar, spårar, skyddar och avvecklar sina informationstillgångar, inklusive både fysiska och digitala komponenter.

Policy för dataklassificering och märkning – SME

Denna policy definierar hur all information som hanteras av organisationen måste klassificeras och märkas för att säkerställa att konfidentialitet, riktighet och tillgänglighet upprätthålls genom hela informationslivscykeln.

Policy för datalagring och bortskaffning – SME

Syftet med denna policy är att definiera genomdrivbara regler för bevarande och säker bortskaffning av information i en SME-miljö.

Policy för säkerhetskopiering och återställning – SME

Denna policy definierar hur organisationen utför och hanterar säkerhetskopior för att säkerställa verksamhetskontinuitet, skydda mot dataförlust och möjliggöra snabb återhämtning efter incidenter.

Policy för datamaskering och pseudonymisering – SME

Denna policy definierar genomdrivbara krav för användning av datamaskering och pseudonymisering för att skydda känsliga, personliga och konfidentiella data inom små och medelstora företag (SME).

Policy för dataskydd och dataskydd – SME

Denna policy definierar hur organisationen skyddar personuppgifter i linje med rättsliga skyldigheter, regulatoriska ramverk och internationella säkerhetsstandarder.

Policy för kryptografiska kontroller – SME

Denna policy definierar obligatoriska krav för användning av kryptering och kryptografiska kontroller för att skydda konfidentialitet, riktighet och autenticitet för verksamhets- och personuppgifter.

Policy för sårbarhetshantering och patchning – SME

Denna policy definierar hur organisationen identifierar, utvärderar och riskreducerar sårbarheter i system, applikationer och infrastruktur.

Policy för nätverkssäkerhet – SME

Syftet med denna policy är att säkerställa att all intern och extern nätverkskommunikation skyddas mot obehörig åtkomst, manipulering, avlyssning eller missbruk genom tydligt definierade säkerhetskontroller.

Loggnings- och övervakningspolicy – SME

Denna policy fastställer obligatoriska kontroller för revisionsloggning och övervakning för att säkerställa säkerhet, ansvarsskyldighet och operativ riktighet i organisationens IT-system.

Policy för tidssynkronisering – SME

Denna policy fastställer obligatoriska kontroller för att upprätthålla korrekt, synkroniserad tid i alla system som lagrar, överför eller behandlar organisationens data.

Policy för säker utveckling – SME

Denna policy säkerställer att all programvara, skript och webbaserade verktyg som skapas eller ändras av organisationen eller dess externa partners utvecklas säkert, vilket minimerar risken för sårbarheter.

Policy för applikationssäkerhetskrav – SME

Denna policy definierar de minsta obligatoriska applikationssäkerhetskontroller som krävs för all programvara och alla systemlösningar som används av organisationen, oavsett om de utvecklas internt eller upphandlas från externa leverantörer.

Policy för tredjepart och leverantörssäkerhet – SME

Denna policy fastställer obligatoriska säkerhetskrav för att engagera, hantera och avsluta relationer med tredje parter och leverantörer som får tredjepartsåtkomst till eller påverkar organisationens data, system eller tjänster.

Policy för användning av moln – SME

Denna policy definierar hur molntjänster får användas säkert inom organisationen. Den säkerställer att data som behandlas eller lagras i moln skyddas, att åtkomst kontrolleras och att risker hanteras ansvarsfullt.

Policy för utlagd utveckling – SME

Denna policy säkerställer att all utlagd programvaruutveckling—oavsett om den hanteras av frilansare, byråer eller tredjepartstjänsteleverantörer—genomförs säkert, avtalsmässigt kontrollerat och i linje med tillämpliga rättsliga, regulatoriska och revisionskrav.

Policy för testdata och testmiljö – SME

Denna policy definierar hur testdata och testmiljöer måste hanteras för att förhindra oavsiktlig exponering, personuppgiftsincidenter eller driftstörningar under testaktiviteter.

Policy för incidenthantering (P30) – SME

Denna policy definierar hur organisationen detekterar, rapporterar och svarar på informationssäkerhetsincidenter som påverkar dess digitala system, data eller tjänster.

Policy för insamling av bevisning och forensik – SME

Denna policy definierar hur organisationen hanterar digital bevisning relaterad till säkerhetsincidenter, rapporteringspliktiga överträdelser eller interna utredningar.

Policy för verksamhetskontinuitet och katastrofåterställning – SME

Denna policy säkerställer att organisationen kan upprätthålla verksamhetsdrift och återställa väsentliga IT-tjänster vid och efter störande händelser.

Policy för revision och efterlevnadsövervakning – SME

Denna policy fastställer organisationens angreppssätt för att genomföra internrevision, kontroller av säkerhetskontroller och kontinuerlig efterlevnadsövervakning.

Policy för mobila enheter och Bring Your Own Device (BYOD) – SME

Denna policy definierar obligatoriska säkerhetskrav för användning av mobila enheter—inklusive smartphones, surfplattor och bärbara datorer—vid åtkomst till företagets information, system eller tjänster.

Policy för IoT/OT-säkerhet – SME

Denna policy definierar obligatoriska regler för säker användning och hantering av IoT-enheter och system för operationell teknik (OT-system) inom organisationen.

Policy för sociala medier och extern kommunikation – SME

Denna policy fastställer obligatoriska riktlinjer för all extern kommunikation — inklusive användning av sociala medier, presskontakter och externt digitalt innehåll — när företaget, dess personal, kunder, system eller interna arbetssätt refereras.

Policy för juridisk och regulatorisk regelefterlevnad – SME

Denna policy definierar organisationens angreppssätt för att identifiera, följa och visa efterlevnad av rättsliga, regulatoriska och avtalsmässiga skyldigheter.

Om Clarysecs policyer - Fullständigt SME-paket (P01S–P37S)

Generiska säkerhetspolicyer är ofta byggda för stora företag, vilket gör att små verksamheter får svårt att tillämpa komplexa regler och otydliga roller. Denna policy är annorlunda. Våra SME-policyer är utformade från grunden för praktiskt införande i organisationer utan dedikerade säkerhetsteam. Vi tilldelar ansvar till de roller ni faktiskt har, som General Manager och er IT-leverantör, inte en armé av specialister som ni inte har. Varje krav är uppdelat i en unikt numrerad klausul (t.ex. 5.2.1, 5.2.2). Detta gör policyn till en tydlig, steg-för-steg-checklista som är enkel att införa, revidera och anpassa utan att skriva om hela avsnitt.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

IT säkerhet regelefterlevnad risk dataskydd juridik revision ledning upphandling

🏷️ Ämnestäckning

informationssäkerhetspolicy organisatoriska roller och ansvar riskhantering Åtkomstkontroll Incidenthantering Säker utveckling dataskydd hantering av verksamhetskontinuitet tredjepartsriskhantering regelefterlevnadshantering säkerhetsdrift juridisk regelefterlevnad säkerhetsmedvetenhetsutbildning Övervakning och revisionsloggning