Policy för sociala medier och extern kommunikation – SME

Policy för sociala medier och extern kommunikation (P36S) fastställer ett heltäckande och praktiskt ramverk för att skydda små och medelstora företag (SME) vid extern kommunikation. Den omfattar alla externa hänvisningar till företaget, inklusive aktivitet i sociala medier, blogginlägg, deltagande i evenemang, mediakontakt och offentlig delning av bilder från arbetsmiljöer, för att hantera de särskilda efterlevnads-, juridiska och anseenderisker som nu är kopplade till digital kommunikation. Denna policy är särskilt utformad som en SME-policy, vilket framgår av att rollen General Manager används som primär policyägare och efterlevnadsansvarig i stället för dedikerade IT-chefer eller säkerhetsansvariga. Detta angreppssätt säkerställer att även organisationer utan en informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC) kan införa robusta kontroller i linje med kraven i ISO/IEC 27001:2022. Varje associerad individ, inklusive anställda, uppdragstagare, frilansare, leverantörer och tillfällig personal, omfattas, och reglerna styr även användning av personliga konton eller enheter, oavsett om det sker under eller utanför arbetstid. Detta är avgörande för SME med begränsad tillsyn och varierande, flexibla arbetsupplägg. Policyens kärnmål är tydligt definierade: att förebygga anseendeskada från icke-godkända eller vilseledande uttalanden, skydda känsliga företags- och kunddata, upprätthålla löpande regelefterlevnad (t.ex. GDPR) och främja professionellt och ansvarsfullt engagemang online. Styrningskraven är mycket genomförbara; de anger till exempel tydliga regler för godtagbart och förbjudet innehåll, obligatoriska godkännanden för offentliga framträdanden, användning av friskrivningar vid kommentarer om branschämnen samt stark åtkomstkontroll, såsom flerfaktorsautentisering (MFA), för officiella konton. Särskilt ska tredjepartsleverantörer inom marknadsföring eller PR strikt följa uttryckliga avtal och får inte publicera innehåll utan General Managers godkännande. Införandet görs praktiskt för SME: Årlig repetitionsutbildning och introduktionsutbildning i säkerhetsmedvetenhet krävs för all personal, allt föreslaget offentligt innehåll ska skickas till General Manager för godkännande med dokumentation, och det finns riktlinjer för arkivering av inlägg och revisionsloggning av godkännanden, även med hjälp av kalkylblad. Policyn föreskriver aktiv riskhantering, inklusive regelbundna granskningar av General Manager av extern exponering kopplad till social kommunikation, krav på hantering och incidentrapportering av oavsiktliga röjanden (med hänvisningar till Policy för incidenthantering (P30)) samt en strukturerad process för undantagshantering och ändringar. Tillsyn och efterlevnad är robust men balanserad; överträdelser utlöser tydliga disciplinära åtgärder och hanteras proportionerligt utifrån allvar och avsikt. Alla intressenter, inklusive leverantörer, omfattas, vilket främjar en helhetlig och konsekvent extern närvaro. Policyn stöds av direkta länkar till relaterade SME-kontroller för policy för godtagbar användning, säkerhetsmedvetenhetsutbildning, dataskydd, incidentrespons och rättsliga krav, vilket säkerställer ett starkt integrerat efterlevnadsläge.