Politik for bruger- og privilegieadministration - SMV

Politik for bruger- og privilegieadministration (P11S) er et omfattende, SMV-fokuseret tilbud, der er udformet til at styre oprettelse, brug, overvågning og fjernelse af brugerkonti og adgangsrettigheder i en organisation. Som en politik tilpasset globale standarder og reguleringsmæssige forpligtelser etablerer den et rammeværk, der sikrer, at kun autoriserede brugere har korrekt adgang—en kritisk kontrol til at forebygge uautoriseret adgang og reducere insidertrusler. P11S er skrevet specifikt til små og mellemstore virksomheder (SMV'er), hvilket afspejles i General Manager's ansvarlighed og fraværet af komplekse strukturer for sikkerhedsstyring såsom dedikerede sikkerhedsoperationscentre (SOC) eller informationssikkerhedschef (CISO). Denne tilgang gør adgangskontrol med høj sikkerhed opnåelig og håndterbar for organisationer uden store sikkerhedsteams, samtidig med at den bevarer overensstemmelse med ISO/IEC 27001:2022 og relaterede rammeværk. Politikken gælder for alle medarbejdere, kontrahenter, praktikanter og tredjeparter med adgang til organisationens informationssystemer. Den omfatter traditionelle brugerkonti, administrator- og tjenestekonti samt midlertidige eller gæstelegitimationsoplysninger. Reglerne spænder over hele kontolivscyklussen, fra indledende onboarding og adgangstildeling til periodisk gennemgang og tilbagekaldelse af adgang under fratrædelsesprocessen. Hver bruger tildeles en unik, sporbar identitet for at sikre ansvarlighed, og delte legitimationsoplysninger er udtrykkeligt forbudt, undtagen under kontrollerede, dokumenterede undtagelser. Forhøjede privilegier skal gennemgå et ekstra lag af begrundelse og autorisation og er altid underlagt dokumentation og periodisk gennemgang. Roller og ansvar er forenklede og tydelige: General Manager yder overordnet tilsyn og sikrer overholdelse af politikker samt håndterer eventuelle informationssikkerhedshændelser relateret til brugerkonti. Implementering og teknisk håndhævelse varetages af IT Lead (eller ekstern IT-udbyder), som administrerer adgangstildeling, deaktivering, overvågning og revisionslogning, alt strengt baseret på dokumenterede godkendelser. Linjeledere spiller en central rolle i at anmode om, gennemgå og udføre adgangsvalidering, når deres teammedlemmers roller ændrer sig, mens hver bruger er ansvarlig for at beskytte deres legitimationsoplysninger og rapportere mistænkelig aktivitet. Politikken er stramt styret og kræver, at alle kontoændringer, oprettelser, deaktiveringer og eskalering af systemrettigheder logges og knyttes til navngivne personer. Periodisk gennemgang af adgangsrettigheder er påkrævet mindst hver sjette måned. Adgangskodekompleksitet, flerfaktorautentificering (MFA) hvor det er muligt, kontolåsning efter mislykkede forsøg samt systematisk gennemgang af tjeneste- og tredjepartskonti er indbygget i reglerne. Fratrædelsesprocedurer sikrer hurtig fjernelse af adgang og indsamling af alle digitale aktiver, sikkerhedstokens eller enheder, hvilket reducerer risikoen for vedvarende adgang. Undtagelseshåndtering holdes på et højt niveau: enhver afvigelse fra kernepolitikken (såsom sjælden brug af delte eller testkonti) skal begrundes skriftligt, kompenseres med kompenserende kontroller, gennemgås kvartalsvist og være underlagt eventuel tilbagekaldelse af adgang. Nød-"break glass"-konti er kun tilladt under definerede, dokumenterede betingelser og skal nulstilles efter brug. Politikken fastsætter regelmæssige revisioner, gennemgange af informationssikkerhedshændelser og årlige opdateringer for at bevare overensstemmelse med udviklende reguleringsmæssige forpligtelser og forretningskrav. Endelig henviser den eksplicit til ledsagende politikker, der dækker styring, adgangskontrol, politik for onboarding og fratrædelse, politik for informationssikkerhedsbevidsthed og -uddannelse og politik for hændelseshåndtering (P30), hvilket sikrer en helhedsorienteret tilgang til brugeradgangsstyring og overholdelse.