Vem är detta paket utformat för?

Detta paket är utformat för SME som behöver robusta men förenklade policyer för dataskydd och integritet i linje med ISO/IEC 27001:2022, GDPR, NIS2 och andra ledande standarder.

Är dessa policyer tillämpliga om vi inte har ett dedikerat IT-/säkerhetsteam?

Ja, alla policyer är SME-anpassade för organisationer utan dedikerade roller för IT eller säkerhetsstyrning, vilket gör att den verkställande direktören kan ta huvudansvaret för tillsyn.

Vilka delar av datalivscykeln omfattar detta paket?

Policyerna adresserar hela informationslivscykeln, inklusive dataklassificering, märkning, lagring, säker bortskaffning, maskning, dataskydd, leverantörssäkerhetspolicy och säkerhetsrevisioner.

Ger paketet krav för leverantörshantering?

Ja, policyn för tredjeparts- och leverantörssäkerhet kräver granskning, avtalsklausuler, åtkomstkontroll, övervakning, hantering av undantag och säker offboarding för alla leverantörer.

Minipaket: Dataskydd och integritet

Översikt

Detta SME-inriktade paket levererar sex sammanlänkade policyer som omfattar dataklassificering, datalagringspolicy, maskning, dataskydd, tredjepartssäkerhet och kontinuerlig efterlevnadsövervakning, i linje med ISO/IEC 27001:2022 och GDPR, med roller anpassade för organisationer utan dedikerad IT-/säkerhetspersonal.

Integrerat dataskydd

Samordnade policyer för dataklassificering, datalagringspolicy, dataskydd och leverantörssäkerhetspolicy säkerställer ett robust dataskydd för SME.

27001:2022-efterlevnad för SME

Anpassat för SME med förenklade roller; policyerna är i linje med ISO/IEC 27001:2022 och GDPR-krav.

Kontroller för hela datalivscykeln

Kontroller omfattar klassificering, märkning, lagring, anonymisering och revision i alla format och system.

Genomdriven tredjepartssäkerhet

Krav för leverantörshantering och leverantörer skyddar era data mot extern risk och säkerställer avtalsefterlevnad.

Redo för revision och kontrollsäkring

Innehåller återanvändbara checklistor och revisionskrav för operativ kontroll och externa certifieringar.

Läs fullständig översikt

”Minipaket: Dataskydd och integritet – SME” är en heltäckande uppsättning av sex tätt integrerade policyer utformade för små och medelstora företag för att uppfylla kritiska krav på dataskydd, integritet och regelefterlevnad. Alla policyer i detta paket är uttryckligen anpassade för SME (vilket framgår av policynumreringen med ”S” och användningen av den verkställande direktören som huvudsaklig roll för befogenhet och ansvarsskyldighet), med hänsyn till begränsade personalresurser eller avsaknad av stora, dedikerade IT-, säkerhets- eller regelefterlevnadsavdelningar. Trots dessa strukturella begränsningar har policyerna utformats för att möta kraven i ISO/IEC 27001:2022, ISO/IEC 27002:2022, EU:s GDPR, EU:s NIS2-direktiv, EU:s DORA-förordning, NIST SP 800-53 Rev.5 och COBIT 2019. Paketet säkerställer end-to-end-täckning av hela informationslivscykeln. Policyn för dataklassificering och märkning (P13S) etablerar en SME-anpassad, genomdrivbar klassificeringsmodell i tre nivåer, inklusive krav på märkning och tekniska kontroller. Den tydliggör roller för den verkställande direktören, dataansvariga, IT-stöd (internt/outsourcat) samt anställda och uppdragstagare, med fokus på praktisk synlighet (sidhuvuden, vattenstämplar, taggar) och krav på regelefterlevnad. Nära kopplad till detta kräver policyn för datalagring och bortskaffning (P14S) lagringsperioder baserade på rättsliga skyldigheter och verksamhetsbehov, med ett centralt hanterat register för lagring, uttryckliga tekniker för säker bortskaffning (strimling, digital radering, kryptografisk radering) samt rigorös dokumentation av undantag och juridiskt bevarande och stopp för radering, med tillsyn som är genomförbar även i små organisationer. För uppgiftsminimering och behandling utanför produktionsmiljöer kräver policyn för datamaskning och pseudonymisering (P16S) att verkliga personuppgifter eller känsliga data aldrig används när det inte är strikt nödvändigt, exempelvis vid testning eller analytisk användning, genom att genomdriva transformationskontroller (maskning, tokenisering, pseudonymisering). Alla transformationsprocesser ska vara revisionsbara och använda endast IT-godkända verktyg med loggar och nyckelhantering, vilket säkerställer spårbarhet ned till enskilda dataset och händelser. Som kärna i paketet samlar policyn för dataskydd och integritet (P17S) alla rättsliga skyldigheter för personuppgifter, inklusive personal-, kund- och tredjepartsregister. Den genomdriver dataskydd genom design och som standard, laglig insamling och uppgiftsminimering, säker lagring, tydlig åtkomstgranskning samt hantering av registrerades rättigheter. Ansvar fördelas tydligt mellan den verkställande direktören (som ansvarig för dataskydd/integritet), integritetskoordinator (internt/outsourcat), IT-leverantör och all operativ personal. Utbildning, samtycke, eskalering och notifiering av personuppgiftsincident integreras, liksom kontroller för anpassning till relaterade policyer för klassificering, lagring, maskning och incidenthantering. För hantering av externa risker fastställer policyn för tredjeparts- och leverantörssäkerhet (P26S) obligatoriska krav för leverantörsgranskning, riskanalys, åtkomstbegränsning, avtalsklausuler (inklusive servicenivåavtal (SLA) för incidenter och revisionsrätt) samt löpande tillsyn. Den omfattar typiska SME-scenarier för tredje part (IT, SaaS, verksamhetsdrift m.m.) och kräver leverantörers acceptans av avtalsvillkor, regelbundna granskningar samt säker offboarding eller datadestruktion efter avslut. Slutligen effektiviserar policyn för revision och efterlevnadsövervakning (P33S) processen för internrevision, kontroller av säkerhetskontroller och regulatorisk översyn. Den är utformad för användning utan specialistrevisorer och gör det möjligt för den verkställande direktören och IT-leverantören att använda checklistor och föra bevisloggar för att säkerställa operativ beredskap för ISO/IEC 27001-certifiering eller kund-/leverantörsgranskning. Revisionsspår, dokumentation av korrigerande åtgärder och revisionsbevis ska centraliseras och vara tillgängliga i minst två år, vilket stödjer försvarbar styrning även för SME med begränsad regelefterlevnadspersonal. Tillsammans operationaliserar detta minipaket ledande standarder och integritetslagstiftning till genomförbara, verksamhetsnära kontroller och ger ett robust, revisionsredo ramverk för dataskydd och integritet som är enkelt för SME att införa och underhålla.

Innehåll

Krav för dataklassificering och märkning

Regler för lagring och säker bortskaffning

Datamaskning och pseudonymisering

Omfattande dataskydd och integritet

Leverantörssäkerhet och avtalsklausuler

Internrevision och kontinuerlig efterlevnadsövervakning

Ramverksefterlevnad

Ramverk	Täckta klausuler / Kontroller
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Ramverk

Täckta klausuler / Kontroller

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Relaterade policyer

Dataklassificerings- och märkningspolicy – SME

Denna policy definierar hur all information som hanteras av organisationen ska dataklassificeras och märkas för att säkerställa att konfidentialitet, riktighet och tillgänglighet upprätthålls genom hela dess livscykel.

Datalagrings- och bortskaffningspolicy – SME

Syftet med denna policy är att definiera genomdrivbara regler för lagring och säker bortskaffning av information i en SME-miljö.

Policy för datamaskning och pseudonymisering – SME

Denna policy definierar genomdrivbara krav för användning av datamaskning och pseudonymisering för att skydda känsliga, personliga och konfidentiella data inom små och medelstora företag (SME).

Dataskydds- och integritetspolicy – SME

Denna policy definierar hur organisationen skyddar personuppgifter i linje med rättsliga skyldigheter, regulatoriska ramverk och internationella säkerhetsstandarder.

Policy för tredjeparts- och leverantörssäkerhet – SME

Denna policy fastställer de obligatoriska säkerhetskraven för att engagera, hantera och avsluta relationer med tredje parter och leverantörer som får åtkomst till eller påverkar organisationens data, system eller tjänster.

Policy för revision och efterlevnadsövervakning – SME

Denna policy fastställer organisationens angreppssätt för att genomföra internrevision, kontroller av säkerhetskontroller och kontinuerlig efterlevnadsövervakning.

Om Clarysecs policyer - Minipaket: Dataskydd och integritet – SME

Generiska säkerhetspolicyer är ofta byggda för stora företag, vilket gör att små verksamheter får svårt att tillämpa komplexa regler och otydliga roller. Denna policy är annorlunda. Våra SME-policyer är utformade från grunden för praktiskt införande i organisationer utan dedikerade säkerhetsteam. Vi tilldelar ansvar till de roller ni faktiskt har, som den verkställande direktören och er IT-leverantör, inte en armé av specialister ni inte har. Varje krav bryts ned i en unikt numrerad klausul (t.ex. 5.2.1, 5.2.2). Det gör policyn till en tydlig, steg-för-steg-checklista som är enkel att införa, revidera och anpassa utan att skriva om hela avsnitt.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

IT Säkerhet Regelefterlevnad Dataskydd Juridik Upphandling

🏷️ Ämnestäckning

Dataklassificering Datahantering Dataskydd Registrerades rättigheter Tredjepartsriskhantering Leverantörshantering Livscykelhantering av policyer Regelefterlevnad Rättslig efterlevnad

Minipaket: Dataskydd och integritet – SME