Politik for onboarding og fratrædelse - SME

Politik for onboarding og fratrædelse (P07S) fungerer som en kritisk kontrol for organisationer, der ønsker at styre den fulde livscyklus for brugeradgang på en sikker, compliant og revisionsbar måde. Denne politik er specifikt tilpasset små og mellemstore virksomheder (SMV'er), som angivet af 'S' i dokumentnummeret og ved, at ansvaret tildeles roller som administrerende direktør og kontorchef/HR frem for specialistteams som en dedikeret informationssikkerhedschef (CISO) eller sikkerhedsoperationscenter (SOC). Ikke desto mindre opfylder den kravene i centrale rammeværk, herunder ISO/IEC 27001:2022. Politikkens formål er at definere, standardisere og dokumentere processer for onboarding af nye medarbejdere, kontraktansatte og tredjepartstjenesteudbydere, samtidig med at der sikres robuste kontroller ved deres fratrædelsesproces eller interne rolleændringer. Den håndhæver princippet om mindste privilegium ved tildeling af adgangsrettigheder, bruger onboarding- og offboarding-tjeklister til at formalisere verifikation af udstedelse og returnering af tildelte aktiver og pålægger dokumenterede logfiler for konto- og aktivændringer. Fratrædelsesaktiviteter fokuserer på hurtig tilbagekaldelse af adgang, genopretning af aktiver og sikker lukning af digitale identiteter for at styre risikoen for uautoriseret adgang eller dataeksponering. Roller og ansvar er udpeget, så de passer til typiske SMV-strukturer. Den administrerende direktør har programtilsyn og godkendelse af adgang for højt privilegerede brugere, kontorchef eller HR igangsætter onboarding-/fratrædelsesprocessen og vedligeholder tjeklister, og IT (intern eller ekstern tjenesteudbyder) administrerer konti og hardware. Afdelingsledere sikrer, at underretninger om rolleændringer bliver håndteret, mens hver medarbejder eller kontraktansat forventes at efterleve sikkerhedsbevidsthedstræning og processer for returnering af aktiver. Styringskravene er robuste og kræver brug af onboarding- og offboarding-tjeklister, vedligeholdelse af et adgangskontrolregister og en aktivfortegnelse samt øjeblikkelig håndtering af nøddeaktiveringer. Procedurer for undtagelsesstyring og risikohåndtering er klart defineret og pålægger dokumentation, underretning til den administrerende direktør og kompenserende kontroller, hvis standardtrin springes over på grund af driftsmæssig hast. Overholdelse håndhæves gennem regelmæssig overvågning, stikprøvegennemgange og klare konsekvenser ved manglende overholdelse, såsom målrettet genoptræning eller eskalering. Ved udtrykkeligt at kræve årlige gennemgange, responsive opdateringer ved proces- eller regulatoriske ændringer samt kommunikation af politikændringer til alt relevant personale understøtter denne politik en løbende forbedringsproces. Den er struktureret til at hjælpe SMV'er med effektivt at opfylde kravene til overholdelse, integritet i driften og databeskyttelse, selv i organisationer uden komplekse sikkerhedsstrukturer.