Adgangskontrolpolitik

Adgangskontrolpolitik fungerer som en kritisk søjle i organisationens sikkerhed og fastlægger detaljerede principper og kontroller for styring af adgang til informationssystemer, applikationer, fysiske faciliteter og dataaktiver. Denne politik sikrer, at enhver form for adgang, uanset om den er logisk eller fysisk, styres af forretningsbehov, jobfunktion og organisationens risikoprofil i overensstemmelse med globalt anerkendte standarder såsom ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA og COBIT 2019. Formålet er klart at håndhæve strenge principper såsom mindst privilegieprincip, need-to-know-princippet og funktionsadskillelse, som er afgørende for at afbøde risici relateret til uautoriseret adgang og insidertrusler. Politikken understøtter og operationaliserer krav til logisk adgang og fysisk adgang, brugerautentifikation og livscyklusstyring af adgang fra onboarding af brugere til deprovisionering af adgang. Kontroller fastlægges for både digitale og fysiske ressourcer for at forhindre uautoriseret brug, misbrug eller kompromittering. Denne politik gælder universelt i hele organisationen; dens omfang omfatter alle brugere, herunder medarbejdere, kontrahenter, tredjepartsleverandører og midlertidigt personale, samt alle systemer og faciliteter, der er omfattet af ledelsessystem for informationssikkerhed (ISMS). Den adresserer komplekse adgangsscenarier og udvider kontroller til lokale, cloud- og hybridmiljøer, virksomhedens it-aktiver og software samt både logiske (systemer, netværk, API'er) og fysiske (bygninger, datacentre) aktiver. Vigtigt er det, at politikken kræver, at adgang styres gennem hele livscyklussen og integreres tæt med HR-drevne hændelser såsom onboarding, interne overførsler og fratrædelsesprocesser for at sikre rettidige opdateringer og tilbagekaldelser. Robuste styringskrav omfatter definition af adgangsrettigheder via en formaliseret rollematrix; integration af adgangstildeling og deprovisionering af adgang med HR- og tekniske processer; håndhævelse af godkendelsesarbejdsgange; samt krav om privilegeret adgangsstyring (PAM) gennem separate konti, sessionsovervågning og -optagelse og multifaktorautentifikation. Disse praksisser suppleres af krav om kvartalsvise gennemgange af adgangsrettigheder, revisionslogning og tilpasning af brugeradgangsstyring til reguleringsmæssige og forretningsmæssige imperativer. Politikken beskriver også eksplicitte mekanismer for undtagelsesstyring og risikostyring, håndhævelse og efterlevelse samt periodisk gennemgang, så programmet forbliver tilpasningsdygtigt over for nye trusler, regulatoriske ændringer og nye teknologier. Derudover indeholder politikken specifikke bestemmelser om brugeradfærd, tredjepartsadgang, funktionsadskillelse og whistleblowerordning. Den håndhæver et klart rammeværk for håndtering af politikovertrædelser, fastsætter forventninger til krav til gennemgang og opdatering og kræver opbevaring af historiske versioner af hensyn til overholdelse. Samlet skaber disse elementer et adgangsgovernance-miljø, der er ansvarligt, revisionsbart og i stand til at understøtte certificering eller retlig kontrol uden at gøre antagelser eller fremsætte påstande ud over det, der er strengt dokumenteret.