Politika nástupu a ukončení

Politika nástupu a ukončení (dokument P07) poskytuje komplexní, standardizovaný rámec pro řízení celého životního cyklu přístupu personálu – od procesu onboardingu a vnitřních převodů až po proces ukončení nebo vypršení smlouvy. Je navržena pro všechny typy uživatelů, včetně zaměstnanců a smluvních pracovníků, konzultantů, dodavatelů a třetích stran, a vynucuje včasné a bezpečné zřizování přístupových práv a odebrání přístupových oprávnění jak pro fyzický přístup, tak pro logický přístup. Tím zajišťuje, že každý přechod je řešen se správnou kombinací důvěrnosti, pravomoci a odpovědnosti a kontrol aktiv. Tato politika platí v celé organizaci a vyžaduje, aby všechny útvary – lidské zdroje (HR), IT, správa budov a majetku, bezpečnost, vrcholové vedení, právní a compliance – plnily definovanou roli v procesech procesu onboardingu a výstupního procesu. Předepisuje detailní pracovní postupy: proces onboardingu zahrnuje prověrky spolehlivosti, dohodu o mlčenlivosti a potvrzení seznámení s politikou, školení bezpečnostního povědomí a přiřazení přístupu podle zásady minimálních oprávnění přezkoumané odpovědnými manažery; u vnitřních převodů spouští přezkum přístupů na základě rizik a zajišťuje, že všechna předchozí oprávnění v systémech jsou uzavřena před schválením nového přístupu; a proces ukončení vyžaduje, aby byla všechna přístupová práva odebrána (uživatelům s vysokými oprávněními do čtyř hodin), aktiva shromážděna, potvrzení seznámení s politikou znovu provedeno a veškerá související dokumentace udržována pro auditovatelnost. Cíle politiky přesahují samotné řízení přístupu. Jejím cílem je zachovat důvěrnost, integritu a dostupnost aktiv organizace během personálních přechodů, podpořit auditní stopu a právní obhajitelnost prostřednictvím požadavku na důkladnou dokumentaci v personálním informačním systému (HRIS), řízení identit a přístupů (IAM) a registru aktiv. Jsou stanoveny postupy pro okamžitou obnovu aktiv a ověření aktiv, včetně kontrol IT pro odstranění zbytkových citlivých dat a opatření pro vstupní průkazy, zařízení a klíče. Ošetření výjimek je přísně řízeno: jakékoli odchylky musí projít posouzením rizik, být dokumentovány a podléhat pravidelným revizím přístupových práv ze strany vrcholového vedení (ředitel informační bezpečnosti (CISO) nebo ředitel HR), přičemž zbytkové riziko je dokumentováno a vyhodnocováno každých 90 dní nebo při změně situace. V souladu s více mezinárodními rámci, včetně ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 a DORA, politika zajišťuje, že postupy organizace pokrývají klíčové regulační povinnosti. Integruje ustanovení těchto norem týkající se kompetencí, řízení přístupu, zásady minimálních oprávnění, prověřování, auditního protokolování a provozní správy. Požadavky na interní audit a monitorování procesů jsou zabudované, včetně dohledu manažera ISMS a oznamovacího mechanismu. Porušení vyvolává disciplinární a právní důsledky, s eskalací k regulačním orgánům tam, kde jsou dotčena osobní nebo regulovaná data. Údržba politiky je stejně robustní: vyžaduje každoroční přezkumy, aktualizace po významných změnách bezpečnosti nebo HR systémů, aktualizace vyvolané incidenty a archivaci zastaralých verzí. Postupy řízení dokumentace zachovávají historii změn a záznamy o vlastnictví. Tím propojuje provozní řízení rizik s odpovědností a souladem a tvoří kritickou součást integrovaného kontrolního prostředí organizace prostřednictvím přímých vazeb na související dokumenty politik (bezpečnost, řízení přístupu, uživatelské účty, řízení rizik, zásady přípustného užívání).