Politik for onboarding og fratrædelse

Politik for onboarding og fratrædelse (dokument P07) giver et omfattende, standardiseret rammeværk til styring af hele livscyklussen for personaleadgang – fra onboarding og interne overførsler til fratrædelse eller kontraktudløb. Den er udformet til alle brugertyper, herunder medarbejdere, kontrahenter, konsulenter, leverandører og tredjeparter, og den håndhæver rettidig og sikker adgangstildeling og deprovisionering af adgang for både fysisk og logisk adgang, så hver overgang håndteres med den rette kombination af fortrolighed, ansvarlighed og aktivkontrol. Denne politik gælder i hele organisationen og kræver, at alle afdelinger – HR, IT, faciliteter, sikkerhed, ledelse, jura og compliance – har en defineret rolle i onboarding- og fratrædelsesprocessen. Den foreskriver detaljerede arbejdsgange: onboarding omfatter baggrundskontrol, fortrolighedsaftale og bekræftelse af politik, sikkerhedsbevidsthedstræning samt tildeling efter princippet om mindste privilegium, som gennemgås af ansvarlige ledere; ved interne overførsler udløser den risikobaseret adgangsgennemgang og sikrer, at alle tidligere systemrettigheder lukkes, før ny adgang godkendes; og fratrædelsesprocessen kræver, at al adgangstildeling tilbagekaldes (højt privilegerede brugere inden for fire timer), aktiver indsamles, politikker genbekræftes, og at al relateret dokumentation opretholdes for revisionsbarhed. Politikkens mål rækker ud over brugeradgangsstyring. Den har til formål at bevare fortrolighed, integritet og tilgængelighed (CIA) for organisationens aktiver under personaleovergange og understøtter revisionsspor og juridisk forsvar ved at kræve grundig dokumentation i HR-informationssystem (HRIS), IAM-platforme og aktivregister. Der er specificeret procedurer for øjeblikkelig genopretning og validering af aktiver, herunder IT-kontroller til at fjerne resterende følsomme data samt facilitetskontroller for adgangskort, enheder og nøgler. Undtagelseshåndtering er stramt kontrolleret: enhver afvigelse skal risikovurderes, dokumenteres og være genstand for periodiske gennemgange af øverste ledelse (informationssikkerhedschef (CISO) eller HR-direktør), med restrisiko dokumenteret og evaluering af restrisiko hver 90. dag eller når situationer ændrer sig. I overensstemmelse med flere internationale rammeværk, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 og DORA, sikrer politikken, at organisationens praksis adresserer alle centrale regulatoriske krav. Den integrerer bestemmelser fra disse standarder om kompetence, adgangskontrol, mindst privilegieprincip, screening, revisionslogning og driftsmæssig styring. Krav til intern revision og procesovervågning er indbygget med tilsyn fra ISMS-ansvarlig og mekanismer for whistleblowerordning. Overtrædelser udløser disciplinære og retlige konsekvenser med eskalering til myndigheder, hvor personoplysninger eller regulerede data er involveret. Vedligeholdelse af politikken er lige så robust: den kræver årlige gennemgange, opdateringer efter større ændringer i sikkerheds- eller HR-systemer, hændelsesdrevne opdateringer og arkivering af forældede versioner. Dokumentstyringsprocedurer bevarer ændringshistorik og ejerskabsregistre. Dette sammenkæder operationel risikostyring med overholdelse og ansvarlighed og udgør en kritisk del af organisationens integrerede kontrolmiljø gennem direkte koblinger til relaterede politikdokumenter (sikkerhed, adgangskontrol, brugerkonti, risikostyring, politik for acceptabel brug).