Minipaket: Åtkomst- och nätverkssäkerhet – SME

Minipaketet: Åtkomst- och nätverkssäkerhet – SME tillhandahåller en robust, förhandsanpassad uppsättning av sex dokument för cybersäkerhetsstyrning som är framtagna specifikt för små och medelstora företag (SME). Med hänsyn till de särskilda utmaningar som organisationer utan dedikerade IT- eller säkerhetsavdelningar står inför är varje policy i paketet strömlinjeformad för att använda roller som vanligtvis finns i SME, såsom General Manager, avdelningschefer och externa IT-leverantörer. Alla dokument är noggrant mappade till de senaste kraven i ISO/IEC 27001:2022 och ISO/IEC 27002:2022, samt relaterade ramverk som NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA och COBIT 2019. Detta paket inkluderar Åtkomstkontrollpolicy, som anger hur åtkomst till IT-infrastruktur, anläggningar och data hanteras genom tydliga godkännandeprocesser, formella granskningar och tillämpning av principen om minsta privilegium. Policy för användarkonton och privilegiehantering bygger vidare på detta genom att säkerställa robusta kontroller för åtkomsttilldelning, ändring och avprovisionering av konton, förbjuda delade inloggningsuppgifter och kräva unika, spårbara identiteter, med stöd av rigorösa revisionsspår och revisionsloggning för regelefterlevnad. Båda är skrivna för organisationer där General Manager eller en extern IT-funktion agerar systemägare eller godkännandeinstans, vilket minskar komplexiteten och säkerställer att kontroll kan upprätthållas även med begränsade interna resurser. Policy för sårbarhets- och patchhantering definierar förväntningarna för att identifiera, bedöma och genomföra avhjälpande åtgärder för sårbarheter i alla företagets IT-tillgångar, inklusive arbetsstationer, servrar, moln och programvara. Snabb systempatchning, kvartalsvis rapportering och tydliga processer för undantagshantering är obligatoriska, med ansvar som delas mellan General Manager och IT-leverantörer. För att skydda slutpunktsinfrastruktur anger Slutpunktsskydd – Policy för skydd mot skadlig kod krav för antivirusdriftsättning, BYOD-policy, övervakning och respons, med tekniska och procedurmässiga instruktioner anpassade till SME-kontexten, inklusive användning av icke godkända verktyg (förbjudet) genom krav på godkända verktyg och regelbunden utbildning i skydd mot skadlig kod. Kritiska nätverkskontroller behandlas i Nätverkssäkerhetspolicy, som beskriver design, nätverkssegmentering, övervakning och genomdrivande av säkra trådbundna, trådlösa och fjärråtkomstkanaler. Policyn omfattar både fysiska och logiska nätverk och kräver robusta brandväggsregler, användning av virtuellt privat nätverk (VPN) med flerfaktorsautentisering (MFA), regelbundna revisioner samt rapportering av obehörig åtkomst eller anomal nätverksaktivitet. Loggnings- och övervakningspolicy säkerställer att alla kritiska aktiviteter, från administrativa ändringar till tekniska larm, revisionsloggas, bevaras och regelbundet granskas, vilket gör det möjligt för SME att uppfylla både operativa och rättsliga skyldigheter för ansvarsskyldighet, utredning av överträdelser och säkerhetsrevisioner. Som SME-specifika policyer (vilket framgår av ”S” i deras numrering och rollreferenser) betonar varje dokument praktisk och realistisk implementering, med register, enkla godkännandeflöden och checklistor i stället för stora teamstrukturer eller specialiserade befattningar. Tillsammans ger detta paket en heltäckande, genomförbar och revisionsbar grund för bästa branschpraxis inom cybersäkerhet i små och medelstora företag.