En säkerhetspolicy behöver inte vara ett 20-sidigt dokument. För de flesta SME-bolag är det värre med ett dokument som ingen läser än inget dokument alls — för det skapar en falsk trygghet.
Det ni behöver är en policy som är tillräckligt konkret för att medarbetare förstår vad som förväntas av dem, och tillräckligt kort för att de faktiskt läser den.
Vad ska den täcka?
En ensidig säkerhetspolicy för ett bolag på 20–50 personer bör adressera sex områden:
Lösenord och åtkomst — Alla konton ska ha unika, starka lösenord. Lösenordshanterare används. Multifaktorautentisering (MFA) är obligatoriskt för e-post, affärssystem och molntjänster.
Enheter — Bolagets datorer och telefoner ska ha skärmlås aktiverat. Hårddiskar ska vara krypterade. Privata enheter för jobbrelaterat arbete ska godkännas av [ansvarig person].
Nätverk — Öppna wifi-nätverk (kaféer, hotell) ska inte användas för känsligt arbete utan VPN. Hemmanätverk bör ha WPA2 eller WPA3 aktiverat.
E-post och phishing — Klicka inte på okända länkar eller bilagor. Vid minsta tvekan — kontakta [ansvarig person] innan du öppnar. Skicka aldrig känslig information okrypterat via e-post.
Incidentrapportering — Om något verkar fel — stulen enhet, misstänkt inloggning, klick på phishing-länk — rapportera omedelbart till [ansvarig person]. Det finns ingen skam i att rapportera. Det finns stor skada i att inte göra det.
Ansvar — Alla medarbetare ansvarar för att följa denna policy. Brott mot policyn hanteras enligt bolagets disciplinära rutiner.
Mallen
[Bolagsnamn] — Informationssäkerhetspolicy
Version: 1.0 | Datum: [datum] | Ägare: [namn/roll]
Vi skyddar vår information och våra systems tillgänglighet, riktighet och konfidentialitet. Det är allas ansvar.
- Lösenord och åtkomst
- Unika lösenord för alla konton. Lösenordshanterare används. MFA är obligatoriskt för e-post och affärssystem.
- Enheter
- Skärmlås och kryptering på alla enheter. Tappad eller stulen enhet rapporteras omedelbart.
- Nätverk
- Undvik öppna wifi-nätverk för känsligt arbete. Använd VPN vid behov.
- E-post
- Var källkritisk mot okända avsändare och bilagor. Vid tvekan — fråga innan du klickar.
- Incidenter
- Misstänkta händelser rapporteras direkt till [namn, kontaktuppgifter]. Agera snabbt — varje timme räknas.
- Ansvar
- Policyn gäller alla medarbetare, konsulter och inhyrd personal med tillgång till våra system.
Frågor? Kontakta [namn].
Hur ni inför den
Dela ut policyn vid onboarding och be alla signera att de tagit del av den. Gå igenom den på ett personalmöte — fem minuter räcker. Uppdatera den när något förändras och informera medarbetarna.
Det räcker. En policy som alla känner till och förstår gör mer nytta än ett ISO 27001-dokument som lever i en mapp ingen öppnar.