Policy för tidssynkronisering – SME

Denna policy för tidssynkronisering (P23S) fastställer tydliga, obligatoriska krav för att konfigurera och upprätthålla korrekt tidssynkronisering i alla organisationens system som används för att lagra, överföra eller behandla affärsrelevanta data. Som en SME-policy är P23S utformad specifikt för organisationer med strömlinjeformade IT-roller, såsom General Manager och IT Support Provider, men uppnår ändå regelefterlevnad med ISO/IEC 27001:2022, GDPR, NIS2, DORA och andra ramverk. Syftet med denna policy är att upprätthålla riktighet i systemloggar, möjliggöra korrekt incidentutredning och säkerställa försvarbarhet vid revisioner genom strikt genomdrivande av kontroller för automatiserad tidssynkronisering. Den kräver att alla företagets IT-tillgångar, fjärrsystem och molnbaserade system, inklusive användarslutpunkter, servrar, brandväggar och SaaS-plattformar, förlitar sig på betrodda, kryptografiskt säkrade tidskällor (t.ex. autentiserade NTP-servrar eller verktyg från molnleverantörer). Enheter måste synkronisera minst två gånger dagligen och hålla sig inom definierade tröskelvärden (±5 sekunder för arbetsstationer; ±1 sekund för servrar och säkerhetsenheter). Tidsavvikelser utanför tröskelvärden utlöser automatiserade larm och måste korrigeras skyndsamt för att förhindra hot mot spårbarhet av data eller regulatorisk ställning. Policyn tilldelar ansvar till General Manager, IT Support Provider och en Privacy Coordinator eller Compliance Officer. General Manager övervakar och godkänner policyn eller eventuella undantag, medan IT Support konfigurerar, övervakar och dokumenterar tidssynkroniseringsstatus. Anställda och uppdragstagare är strikt förbjudna att ändra enheters tidsinställningar; eventuella synkroniseringsproblem måste eskaleras omedelbart. Regelbundna systemhälsokontroller och periodiska granskningar bidrar till att säkerställa fortlöpande regelefterlevnad, medan undantagshantering och kompenserande kontroller styrs och dokumenteras noggrant. Tidssynkronisering kopplas uttryckligen till andra centrala SME-policyer, inklusive Loggnings- och övervakningspolicy, Policy för incidenthantering (P30), Dataskydd och integritet, Tillgångshantering och Leverantörssäkerhetspolicy. Tillsammans ger dessa policyer sammanhållen täckning och säkerställer att loggar som används för regelefterlevnad, övervakning och hotdetektering eller respons vid rapporteringspliktiga överträdelser är korrekta både i innehåll och tidsstämpling. Dokumentet lyfter fram en rigorös process för översyn och uppdatering och kräver årlig omprövning av General Manager, IT och dataskyddsroller, med uppdateringar som utlöses av teknikförändringar eller nya regulatoriska skyldigheter. Detta helhetsgrepp ger SME förmågan att följa säkerhetsstandarder på företagsnivå utan behov av komplexa, resurskrävande tillsynsstrukturer.