Policy för incidenthantering

Policy för incidenthantering (dokument P30) formaliserar ett robust ramverk som säkerställer att organisationen effektivt kan hantera och svara på ett brett spektrum av informationssäkerhetsincidenter. Policyns huvudsakliga syfte är att etablera repeterbara processer för att identifiera, rapportera, analysera, begränsa och återhämta sig från incidenter, samtidigt som ständig förbättring främjas genom efterincidentgranskningar. Genom att införa ett centralt Incident Response Framework i linje med internationella standarder såsom ISO/IEC 27035 säkerställer policyn ett strukturerat angreppssätt över alla incidentfaser: förberedelse, detektering och analys, begränsning/utrotning/återställning samt efterincidentgranskning. Denna policy omfattar organisationsfunktioner brett och utsträcker sina krav till all personal, inklusive uppdragstagare och tredjepartstjänsteleverantörer, samt täcker alla organisationens informationssystem, oavsett om de är lokala (på plats), molnbaserade eller i hybridmiljöer. Den gäller för en omfattande uppsättning incidenttyper: obehörig åtkomst, skadlig kod och ransomware, överbelastningsattacker, dataläckage eller dataexfiltration, insiderhot och även fysiska intrång som påverkar digitala tillgångar. Styrningsavsnittet kräver att varje incident formellt loggas i ett Security Incident Management System (SIMS), med detaljerad metadata inklusive tidpunkt för detektering, klassificering, påverkade system, vidtagna åtgärder, insamlad bevisning och sårbarhetsanalys av grundorsak. Alla incidenter kategoriseras enligt en nivåindelad allvarlighetsmodell, vilket säkerställer proportionerlig respons och eskalering. Nyckelroller och ansvar definieras noggrant för att säkerställa ansvarsskyldighet och ett strömlinjeformat arbetsflöde under en incident. Informationssäkerhetschef (CISO) behåller övergripande ägarskap för responsramverket och fungerar som kontaktpunkt mot verkställande ledning och tillsynsmyndigheter vid större incidenter. Incident Response Coordinator leder tvärfunktionella team, följer upp varje steg i responsen och säkerställer att korrigerande åtgärder genomförs. Säkerhetsoperationscenter (SOC) och IT-säkerhetsanalytiker ansvarar för övervakning och incidenttriage av hot, eskalering av ärenden och initiala begränsningsåtgärder. Juridik och dataskyddsombud ansvarar för att granska regulatorisk påverkan och säkerställa tidslinjer för aviseringar, särskilt för överträdelser enligt GDPR, NIS2 och DORA. Verkställande ledning fattar strategiska beslut för incidenter med hög allvarlighetsgrad, inklusive offentlig kommunikation och godkännande av ISMS-ändringar. Policyn tillämpar rigorösa mekanismer för avisering om överträdelser, digital forensik och hantering av bevisning, och kräver att avisering till myndigheter och berörda intressenter genomförs enligt definierade rättsliga och avtalsmässiga tidslinjer. Digitala forensiska procedurer inkluderar diskavbildning med skrivblockerare, chain-of-custody-spårning och krypterad bevislagring, med samordning med brottsbekämpande myndigheter där så krävs. Eventuella avvikelser från policyn, såsom responstid eller bevisinsamling, måste följa en strikt riskbaserad process för undantag, med dokumentation, CISO-godkännande och kvartalsvisa riskgranskningar. För att säkerställa effektivitet och regelefterlevnad kräver policyn årliga granskningar, regelbundna incidentresponsövningar och tydliga mätetal såsom Mean Time to Detect (MTTD), Mean Time to Contain (MTTC) och andelen genomförda efterincidentgranskningar. Revision och regelefterlevnad samt efterlevnadsövervakning validerar beredskap och säkerställer efterlevnad, med angivna konsekvenser vid bristande efterlevnad inklusive disciplinära åtgärder upp till avtalsupphörande eller regulatorisk rapportering. Policyn är djupt integrerad med stödjande policyer för dataklassificering, ändringshantering, kryptografiska kontroller, säkerhetskopiering och återställning samt revisionsloggning/övervakning, vilket säkerställer en heltäckande och försvarbar incidentberedskap.