Policy för incidenthantering – SME

Policy för incidenthantering (P30S) är särskilt framtagen för små och medelstora företag (SME) som behöver robusta protokoll förenliga med ISO/IEC 27001:2022 utan att kräva ett internt säkerhetsoperationscenter (SOC) eller en heltidsanställd informationssäkerhetschef (CISO). Denna SME-policy tilldelar uttryckligen ansvarsskyldighet för incidentövervakning och regulatoriska underrättelser till verkställande direktör (VD), vilket ger en tydlig struktur som passar organisationer med begränsade dedikerade IT-resurser. Dokumentet beskriver krav som gör det möjligt för SME att minimera skador, skydda känslig information och uppfylla kritiska regulatoriska skyldigheter, såsom GDPR:s 72-timmarsregel för underrättelse vid personuppgiftsincident. Omfattningen är bred och täcker all personal (anställda, uppdragstagare, externa tredjepartstjänsteleverantörer), alla tekniska tillgångar (webbplatser, molnplattformar, e‑postkonton och mobila enheter) samt varje väsentlig form av incident (från obehörig åtkomst till infektion av skadlig kod, phishing, systemavbrott och förlust/stöld av enheter). Policyn fastställer detaljerade mål: snabb identifiering, revisionsloggning, eskalering, rättslig underrättelse, effektiv begränsning, dataåterställning och förebyggande baserat på rotorsak. Den stödjer även SME i att klara ISO/IEC 27001-revisioner och visa vederbörlig ansvarsskyldighet gentemot kunder och tillsynsmyndigheter. Specifika roller och ansvar är förenklade för att anpassas till SME-kontexten: VD behåller övergripande ansvarsskyldighet, med stöd av antingen intern eller outsourcad IT-administration. Anställda och uppdragstagare instrueras att incidentrapportera varje incident omedelbart utan att försöka genomföra otillåtna åtgärder. Externa leverantörer är skyldiga att underrätta VD och stödja begränsningsåtgärder enligt tredjepartsförpliktelser, med samma tidslinjer för eskalering som interna incidenter. Policyn anger strukturerade rapporteringsförfaranden, inklusive tydliga kommunikationskanaler (dedikerad incident-e‑post eller muntlig rapport), obligatoriska uppgifter (upptäcktstid, typ, berörda system och observerbar påverkan) samt kategorisering inom en timme. Incidentloggar, som upprätthålls av VD, är kärnan i dokumentationen för revisioner. Kvartalsvisa granskningar, rotorsaksanalyser och uppdateringar efter incident säkerställer både löpande effektivitet och anpassning till nya hot. Dokumentet beskriver även krav på säkerhetsmedvetenhetsutbildning för all personal, introduktion, repetitionsutbildning och obligatoriska förväntningar på incidentrapportering. Bestämmelser om tillsyn och efterlevnad kräver att alla parter, inklusive tredje parter, följer policyn fullt ut: brister eller protokollöverträdelser kan leda till varningar, behörighetsindragning, avtalsmässiga påföljder eller borttagning från leverantörslistor. All forensisk bevisning och loggar ska bevaras i minst ett år och tillhandahållas för revisioner vid behov. Omfattande mekanismer för översyn säkerställer att policyn förblir anpassad till utvecklande standarder, regulatoriska förändringar och operativa skiften, och därmed förblir relevant för SME.