IT-sikkerhedspolitik — generator

IT-SIKKERHEDSPOLITIK
[Virksomhedens navn]
Senest opdateret: 11.6.2026

1. Formål
Denne politik beskriver hvordan [Virksomhedens navn] arbejder med IT-sikkerhed for at beskytte vores data, systemer og kunder. Politikken gælder alle medarbejdere, ledelse og eksterne der har adgang til vores IT-systemer.

2. Ansvar
Ledelsen har det overordnede ansvar for IT-sikkerheden. Den daglige opfølgning varetages af [IT-sikkerhedsansvarlig]. Alle medarbejdere har pligt til at følge politikken og melde mistænkelige hændelser hurtigst muligt.

3. Adgangskoder og to-faktor (MFA)
• Adgangskoder skal være mindst 12 tegn, unikke pr. tjeneste og må ikke deles.
• Vi bruger en password manager til arbejdsrelaterede konti.
• MFA er obligatorisk på alle vigtige tjenester — særligt e-mail, økonomi, admin-konti og fjernadgang.

4. Enheder og opdatering
• Computere og telefoner skal være kodelås-beskyttet og krypteret.
• Operativsystem og programmer opdateres automatisk eller indenfor 14 dage.
• Antivirus/endpoint-beskyttelse skal være aktiv på alle enheder.

5. Cloud-tjenester
• Vi bruger godkendte cloud-tjenester (fx Microsoft 365). Skygge-IT (uautoriserede SaaS-tjenester) er ikke tilladt.
• Adgang til cloud-tjenester sker via personlige konti med MFA.
• Data i Microsoft 365 sikres med backup hos tredjepart.

6. Hjemmearbejde og fjernadgang
• Hjemmearbejde sker fra opdaterede, krypterede enheder.
• Offentlige Wi-Fi-netværk bruges kun med VPN eller via mobil hotspot.
• Skærmen låses ved pauser, og fortrolige samtaler føres ikke i offentlige rum.

7. Backup
• Forretningskritiske data backes op efter 3-2-1 princippet: 3 kopier, 2 medier, 1 off-site / immutable.
• Restores testes mindst én gang om året.

8. Persondata og GDPR
• Vi behandler kun de persondata vi har brug for.
• Databehandleraftaler indgås med alle relevante leverandører.
• Brud på persondatasikkerheden vurderes og indberettes til Datatilsynet inden 72 timer hvis nødvendigt.

9. Awareness og uddannelse
• Alle medarbejdere gennemgår en kort introduktion til IT-sikkerhed ved ansættelse.
• Vi taler om aktuelle trusler (phishing, CEO-fraud m.m.) mindst 2 gange om året.

10. Hændelseshåndtering
• Mistænker du et angreb eller en hændelse, kontakt [IT-sikkerhedsansvarlig] eller IT-leverandøren omgående.
• Tag den ramte enhed af nettet — sluk den ikke.
• Vi har en separat nødplan med kontaktinformationer og første-handlinger.

11. Leverandører
• Vi stiller dokumenterede krav til IT-leverandørers sikkerhed (drift, backup, hændelseshåndtering).
• Adgange revurderes ved aftaleændringer og leverandørskift.

12. Opfølgning
Politikken gennemgås mindst én gang om året og opdateres efter væsentlige ændringer i organisation, systemer eller trusselsbillede.