Politik for bruger- og privilegieadministration

Politik for bruger- og privilegieadministration (Dokument P11) giver et struktureret og obligatorisk rammeværk for at styre, hvordan brugerkonti og adgangsrettigheder administreres på tværs af alle organisationens informationssystemer og teknologier. Dens kerneformål er at sikre, at organisationens ressourcer kun tilgås af autoriserede personer i overensstemmelse med validerede roller og driftsmæssige nødvendigheder. Politikken anerkender og håndhæver centrale informationssikkerhedsprincipper, såsom princippet om mindste privilegium og funktionsadskillelse, og pålægger revisionsbare processer for adgangstildeling, administration, overvågning og tilbagekaldelse af adgang til brugerkonti. Gældende for alle brugere, herunder medarbejdere, kontrahenter, tredjepartstjenesteudbydere og konsulenter, styrer denne politik ethvert system, hvor brugerautentifikation er til stede. Dette omfattende omfang dækker virksomhedsapplikationer, cloud- og SaaS-miljøer, administrative systemer og fjernadgangsværktøjer samt identitets- og adgangsstyring (IAM)-platforme. Både standard- og privilegerede konti er omfattet af kravene, med stærk vægt på entydig identifikation af hver konto og forebyggelse af brug af delte legitimationsoplysninger eller generiske konti (undtagen i stramt kontrollerede nødsituationer). Politikkens centrale mål omfatter håndhævelse af unikke, begrundede og sporbare brugerkonti; implementering af kontroller efter princippet om mindste privilegium for at beskytte mod overdrevne adgangsrettigheder; krav om hurtige ændringer af kontostatus efter rolleændringer eller fratrædelser; samt centralisering af aktiviteter for livscyklusstyring af adgang for konsistens og revisionsbarhed. Der fastsættes bestemmelser for proaktiv detektion af inaktive brugerlegitimationsoplysninger eller misbrugte konti gennem regelmæssige gennemgange af adgangsrettigheder og brug af automatiserede værktøjer. Politikken er eksplicit designet til at være i overensstemmelse med førende sikkerhedsstandarder (såsom ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR og COBIT 2019) for at opfylde både regulatoriske krav og krav til industriens bedste praksis. Roller og ansvar er klart defineret, fra informationssikkerhedschefens (CISO) tilsyns- og undtagelsesstyringsrolle til adgangskontrolansvarliges tekniske handlinger, afdelingschefers adgangsautorisationer og HR's integration med onboarding- og fratrædelsesprocesser. Procedurer sikrer, at oprettelse, ændring og deaktivering af konti er stramt styret, med privilegeret adgang underlagt ekstra kontrol, godkendelser, tidsbegrænsninger og forbedret revisionslogning. Autentifikationskontroller, herunder obligatoriske adgangskodepolitikker, flerfaktorautentificering (MFA) for nøglekonti, sessionslåsning og sikre fjernadgangsprotokoller, udgør et kernekrav og sikrer, at identitetsverifikation ikke kan omgås. Robust overvågning, revisionslogning og periodiske gennemgange hjælper med at opretholde nøjagtige fortegnelser over konti og håndhæve overholdelse. Undtagelseshåndtering er risikobaseret og kontrolleret, hvor nødadgangsscenarier ("break-glass") får særlig proceduremæssig opmærksomhed. Obligatorisk overholdelse understreges af en progressiv håndhævelsesmodel, herunder deaktivering af adgang, målrettet genoptræning, disciplinære foranstaltninger og juridisk/regulatorisk eskalering ved overtrædelser. Integration med relaterede organisatoriske politikker sikrer en sammenhængende tilgang på tværs af alle sikkerhedskontroldomæner, og kravet om årlige (eller hændelsesdrevne) politikgennemgange garanterer løbende forbedring og fortsat tilpasning til udviklende systemer, forretningsmodeller og regulatoriske landskaber. Politik for bruger- og privilegieadministration er grundlæggende for organisationens risikostyringsstrategi og styrker driftsmæssig sikkerhed og regulatorisk overholdelse.