Политика за въвеждане в работата и прекратяване на правоотношенията

Политика за въвеждане в работата и прекратяване на правоотношенията (документ P07) предоставя всеобхватна, стандартизирана рамка за управление на пълния жизнен цикъл на достъпа на персонала — от въвеждане в работата и вътрешни трансфери до прекратяване или изтичане на договор. Проектирана за всички типове потребители, включително служители, външни изпълнители, консултанти, доставчици и трети страни, тя налага своевременно и сигурно предоставяне на достъп и отнемане на достъп както за физически достъп, така и за логически достъп, като гарантира, че всяка промяна се управлява с подходящ баланс между поверителност, правомощия и отчетност и контрол на активите. Тази политика се прилага в цялата организация и изисква всички отдели — отдел „Човешки ресурси“, ИТ, управление на съоръжения и активи, екип по информационна сигурност, висше ръководство, правни въпроси и съответствие и екипи по съответствието — да изпълняват определена роля в процесите по въвеждане и извеждане. Тя предписва детайлни работни потоци: въвеждането включва проверки на миналото, споразумение за неразкриване на информация (NDA) и потвърждение за запознаване с политиката, обучение за повишаване на осведомеността по информационна сигурност и присвояване на достъп по принципа на най-малките привилегии, прегледано от отговорните мениджъри; при вътрешни трансфери се задействат рисково базиран преглед на достъпа и се гарантира, че всички предходни права в системите са затворени преди одобряване на нов достъп; а процесът на прекратяване изисква всички предоставени достъпи да бъдат отнети (за привилегировани потребители — в рамките на четири часа), активите да бъдат събрани, политиките да бъдат повторно потвърдени и цялата свързана документация да се поддържа за одитируемост. Целите на политиката надхвърлят управлението на достъпа. Тя цели да запази поверителността, цялостността и наличността на активите на организацията по време на преходи на персонала, като подпомага одитна следа и правна защита чрез изискване за подробна документация в информационна система за човешки ресурси (HRIS), управление на идентичности и достъп (IAM) и регистър на активите. Определени са процедури за незабавно възстановяване и валидиране на активи, включително ИТ проверки за премахване на остатъчни чувствителни данни и контролни мерки за пропуски, устройства и ключове. Обработката на изключения е строго контролирана: всяко отклонение трябва да бъде подложено на оценка на риска, документирано и предмет на периодични прегледи от висшето ръководство (директор по информационна сигурност (CISO) или директор ЧР), като остатъчният риск се документира и подлага на оценка на остатъчния риск на всеки 90 дни или при промяна на обстоятелствата. Съгласувана с множество международни рамки, включително ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 и DORA, политиката гарантира, че практиките на организацията покриват ключовите регулаторни изисквания. Тя интегрира разпоредби от тези стандарти, обхващащи компетентност, контрол на достъпа, принципа на най-малките привилегии, проверки, одитно регистриране и оперативно управление. Вградени са изисквания за вътрешен одит и мониторинг на процесите, с надзор от мениджъра на СУИС и механизми за механизъм за подаване на сигнали за нарушения. Нарушенията водят до дисциплинарни и правни последици, с ескалация към регулаторни органи, когато са засегнати лични или регулирани данни. Поддръжката на политиката е също толкова устойчива: изисква ежегодни прегледи, актуализации след значими промени в сигурността или системите на ЧР, актуализации, предизвикани от инциденти, и архивиране на остарели версии. Процедурите за контрол на документите запазват историята на промените и записите за собственост. Това свързва оперативното управление на риска със съответствие и отчетност и формира критична част от интегрираната контролна среда на организацията чрез директни връзки към свързани документи по политики (сигурност, контрол на достъпа, потребителски акаунти, управление на риска, политика за допустимо използване).