Nätverkssäkerhetspolicy

Nätverkssäkerhetspolicyn (Dokument P21) utvecklades för att etablera rigorösa kontroller över både interna och externa organisatoriska nätverk och ge skydd mot obehörig åtkomst, tjänsteavbrott, dataavlyssning och missbruk. Dess primära mål är att skydda konfidentialitet, riktighet och tillgänglighet för data under överföring och i vila, samtidigt som den ligger nära centrala regulatoriska och standardkrav såsom ISO/IEC 27001:2022, GDPR artikel 32, NIS2-direktivet, DORA och COBIT 2019. Denna robusta policy gäller globalt för all nätverksinfrastruktur, inklusive fysiska, virtuella, moln- och hybridmiljöer. Den listar routrar, switchar, brandväggar, molnbaserade nätverk, VPN-system och även stödjande tjänster som DNS och proxyservrar inom sin omfattande ISMS-omfattning. Både intern personal och externa tredjepartstjänsteleverantörer som interagerar med dessa nätverk är bundna av kraven. Framträdande egenskaper i policyn inkluderar obligatorisk nätverkssegmentering, uttryckliga protokoll för brandväggskonfiguration, standarder för säker routning samt löpande central övervakning och revisionsloggning av nätverksaktiviteter. Styrningen är tydligt strukturerad och ålägger roller såsom informationssäkerhetschef (CISO), nätverkssäkerhetsansvarig, säkerhetsoperationscenter (SOC), IT-drift och tredjepartsleverantörer att följa definierade ansvar för säker nätverksdesign, operativ övervakning, ändringshantering och incidentrespons. Policyn sätter förväntningar inte bara för rutinmässig nätverkshantering, utan även för hantering av undantag, såsom beroenden till äldre system, genom en kontrollerad, riskbedömd godkännandeprocess. Alla undantagsgodkännanden registreras i ledningssystem för informationssäkerhet med en strikt 90-dagars granskningscykel, vilket säkerställer att inga långsiktiga sårbarheter förbises. För att minimera angreppsytor och uppfylla krav på regelefterlevnad anger policyn att alla gränsnätverk ska skyddas med nästa generations brandväggar med tillståndsbaserad inspektion, applikationsfiltrering och intrångsprevention. Interna nätverk ska segmenteras mellan produktionsmiljö, utveckling, användar- och gästområden, med brandväggar och virtuella lokala nätverk (VLAN) för att genomdriva strikt åtkomstkontroll. VPN och fjärråtkomstlösningar ska använda kryptering och flerfaktorsautentisering (MFA), medan trådlösa nätverk ska använda säkerhetsprotokoll på företagsnivå och gästsegregering. Moln- och hybridmiljöer är inte undantagna; regler för säkerhetsgrupper, reviderade VPN-länkar och molninbyggda brandväggsinställningar ska hanteras strikt. För övervakning och detektering är kontinuerlig revisionsloggning till en central SIEM, anomalidetektering via NDR samt fastställda perioder för logglagring integrerade krav. Periodiska policyöversyner och revisioner är obligatoriska och utlöses av nya hot, nätverksförändringar, regulatoriska uppdateringar eller revisionsiakttagelser. Bristande efterlevnad, inklusive avsiktligt kringgående av säkerhetskontroller, leder till disciplinära åtgärder, avtalsmässiga påföljder eller incidentrapportering i enlighet med regelverk. Slutligen specificerar nätverkssäkerhetspolicyn även kopplingar till andra kritiska organisatoriska policyer, inklusive grundläggande säkerhet, åtkomstkontroll, ändringshantering, tillgångshantering, revisionsloggning och incidenthanteringspolicyer, för ett skiktat djupförsvar.