Onboarding- und Offboarding-Richtlinie

Die Onboarding- und Offboarding-Richtlinie (Dokument P07) stellt ein umfassendes, standardisiertes Rahmenwerk für die Verwaltung des vollständigen Lebenszyklus von Personalzugriffen bereit – vom Onboarding und internen Übermittlungen bis zur Beendigung oder zum Vertragsablauf. Sie ist für alle Benutzertypen ausgelegt, einschließlich Mitarbeiter und Auftragnehmer, Berater, Drittanbieter und Drittparteien, und setzt eine rechtzeitige und sichere Zugriffsbereitstellung und Deprovisionierung sowohl für physischen Zugang als auch für logischen Zugriff durch. Damit wird sichergestellt, dass jeder Übergang mit der richtigen Kombination aus Vertraulichkeit, Rechenschaftspflicht und Asset-Kontrolle umgesetzt wird. Diese Richtlinie gilt organisationsweit und schreibt vor, dass alle Abteilungen – Personalwesen, IT, Facility- und Asset-Management, Sicherheit, Management, Recht und Compliance – eine definierte Rolle in Onboarding- und Offboarding-Prozessen übernehmen. Sie beschreibt detaillierte Workflows: Onboarding umfasst Zuverlässigkeitsüberprüfung, Geheimhaltungsvereinbarung (NDA) und Richtlinienbestätigung, Security-Awareness-Schulung sowie die Zuweisung nach dem Prinzip der minimalen Berechtigung, geprüft durch verantwortliche Linienvorgesetzte; bei internen Übermittlungen werden risikobasierte Zugriffsüberprüfungen ausgelöst und es wird sichergestellt, dass alle bisherigen Systemberechtigungen geschlossen sind, bevor neuer Zugriff genehmigt wird; und der Beendigungsprozess verlangt, dass die Vergabe von Zugriffsrechten entzogen wird (Privileged Users innerhalb von vier Stunden), Vermögenswerte eingesammelt, Richtlinien erneut bestätigt und sämtliche zugehörige Dokumentation zur Auditierbarkeit aufbewahrt wird. Die Ziele der Richtlinie gehen über die Benutzerzugriffsverwaltung hinaus. Sie dient dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten der Organisation während Personalübergängen und unterstützt Prüfpfade sowie Rechtsverteidigung durch die Anforderung einer umfassenden Dokumentation in Personalinformationssystem, Identitäts- und Zugriffsmanagement (IAM) und Asset-Register. Es werden Verfahren zur sofortigen Asset-Wiederherstellung und Validierung festgelegt, einschließlich IT-Prüfungen zur Entfernung verbleibender sensibler Daten sowie Facility-Kontrollen für Zutrittsausweise, Geräte und Schlüssel. Ausnahmebehandlung ist streng geregelt: Abweichungen müssen risikobewertet, dokumentiert und regelmäßigen Überprüfungen durch die oberste Leitung (CISO oder HR-Direktor) unterzogen werden; Restrisiko wird dokumentiert und alle 90 Tage oder bei geänderten Umständen bewertet. Ausgerichtet an mehreren internationalen Rahmenwerken, einschließlich ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU DSGVO, NIS2 und DORA, stellt die Richtlinie sicher, dass organisatorische Praktiken alle wesentlichen regulatorischen Anforderungen abdecken. Sie integriert Vorgaben aus diesen Normen zu Kompetenz, Zugangskontrolle, Prinzip der minimalen Berechtigung, Screening, Protokollierung und operativer Governance. Anforderungen an internes Audit und Prozessüberwachung sind integriert, mit Aufsicht durch den ISMS-Manager sowie Mechanismen für Hinweisgebersysteme. Verstöße lösen disziplinarische und rechtliche Konsequenzen aus, mit Eskalation an Behörden, wenn personenbezogene oder regulierte Daten betroffen sind. Auch die Pflege der Richtlinie ist robust: Sie schreibt jährliche Überprüfungen, Aktualisierungen nach wesentlichen Änderungen an Sicherheits- oder HR-Systemen, vorfallsgetriebene Updates sowie die Archivierung obsoleter Versionen vor. Dokumentenkontrollverfahren bewahren Änderungshistorie und Eigentümernachweise. Damit verknüpft sie operatives Risikomanagement mit Compliance und Rechenschaftspflicht und bildet einen kritischen Bestandteil der integrierten Kontrollumgebung der Organisation durch direkte Verknüpfungen zu verwandten Richtliniendokumenten (Sicherheit, Zugangskontrolle, Benutzerkonten, Risikomanagement, Richtlinie zur zulässigen Nutzung).