policy Enterprise

Juurdepääsukontrolli poliitika

Põhjalik juurdepääsukontrolli poliitika tagab turvalise, rollipõhise juurdepääsu, juurdepääsu elutsükli halduse ja õigusnormidele vastavuse kõigi süsteemide ja kasutajate jaoks.

Ülevaade

Juurdepääsukontrolli poliitika määratleb kohustuslikud põhimõtted ja kontrollimeetmed, et piirata ja hallata juurdepääsu süsteemidele, rajatistele ja andmetele vastavalt ärilistele rollidele ja regulatiivsetele nõuetele. See kehtestab protsessid juurdepääsuõiguste andmiseks, juurdepääsuõiguste ülevaatamiseks ja juurdepääsuõiguste tühistamiseks, tagades, et ainult volitatud kasutajatel on nende vastutuse ja töövajadustega kooskõlas olevad juurdepääsuõigused.

Tugevad rollipõhised kontrollimeetmed

Rakendab vähimate õiguste põhimõtet, vajaduspõhimõtet ja ülesannete lahusust, et kaitsta süsteeme ja andmeid.

Integreeritud identiteedi elutsükkel

Koordineerib juurdepääsuõiguste andmist, juurdepääsuõiguste tühistamist ja ajakohastusi personali (HR) ja tehniliste töövoogudega.

Regulatiivne ühtlustamine

Koostatud vastavuse tagamiseks standarditele ISO/IEC 27001, NIST SP 800-53, GDPR, NIS2, DORA ja COBIT.

Automaatsed juurdepääsuõiguste ülevaatamised

Nõuab audititõenduspõhiseid, kord kvartalis toimuvaid ülevaatusi kasutajate juurdepääsuõiguste ja kõrgete õigustega kasutajate juurdepääsu kohta.

Põhjalik kohaldamisala

Kehtib kõigile kasutajatele, süsteemidele ja hübriidkeskkondadele, sh oma seadme kasutamisele (BYOD) ja kolmandate isikute juurdepääsule.

Loe täielikku ülevaadet
Juurdepääsukontrolli poliitika on organisatsiooni turvalisuse kriitiline tugisammas, mis kehtestab üksikasjalikud põhimõtted ja kontrollimeetmed juurdepääsu haldamiseks infosüsteemidele, rakendustele, füüsilistele rajatistele ja andmevaradele. See poliitika tagab, et iga juurdepääsu vorm, olgu loogiline või füüsiline, on juhitud ärivajaduse, tööfunktsiooni ja organisatsiooni riskipositsiooni alusel kooskõlas ülemaailmselt tunnustatud standarditega, nagu ISO/IEC 27001:2022, NIST SP 800-53, ELi GDPR, ELi NIS2, ELi DORA ja COBIT 2019. Selle eesmärk on jõustada ranged põhimõtted, nagu vähimate õiguste põhimõte, vajaduspõhimõte ja ülesannete lahusus, mis on olulised volitamata juurdepääsu ja siseohtudega seotud riskide maandamiseks. Poliitika toetab ja rakendab nõudeid loogilise ja füüsilise juurdepääsu, kasutaja autentimise ning juurdepääsu elutsükli halduse kohta, alates sisseelamisest kuni juurdepääsuõiguste eemaldamiseni. Kontrollimeetmed on määratletud nii digitaalsete kui ka reaalse maailma ressursside jaoks, et vältida volitamata kasutamist, kuritarvitamist või kompromiteerimist. See poliitika kehtib kogu organisatsioonis; selle kohaldamisala hõlmab kõiki kasutajaid, sh töötajaid, töövõtjaid, tarnijaid ja ajutist personali, samuti kõiki süsteeme ja rajatisi, mida katab infoturbe juhtimissüsteem (ISMS). See käsitleb keerukaid juurdepääsustsenaariume, laiendades kontrollimeetmeid kohapealsetele, pilve- ja hübriidkeskkondadele, ettevõtte IT-varadele ning nii loogilistele (süsteemid, võrgud, rakendusliidesed) kui ka füüsilistele (hooned, andmekeskused) varadele. Oluline on, et poliitika nõuab juurdepääsu juhtimist kogu elutsükli vältel, integreerudes tihedalt personali (HR) juhitud sündmustega, nagu sisseelamine, teisele ametikohale üleviimine ja lõpetamisprotsess, et tagada õigeaegsed ajakohastused ja tühistamised. Tugevad juhtimisnõuded hõlmavad juurdepääsuõiguste määratlemist ametliku rollimaatriksi kaudu; juurdepääsuõiguste andmise ja juurdepääsuõiguste eemaldamise integreerimist personali (HR) ja tehniliste protsessidega; kinnitustöövoogude jõustamist; ning privilegeeritud juurdepääsu halduse (PAM) kohustuslikkust eraldi kontode, sessiooni seire ja salvestamise ning mitmefaktorilise autentimise (MFA) kaudu. Neid tavasid täiendavad nõuded kord kvartalis toimuvate juurdepääsuõiguste ülevaatamiste, auditilogimise ning juurdepääsuhalduse praktikate kooskõlastamise kohta regulatiivsete ja äriliste imperatiividega. Poliitika kirjeldab ka selgesõnalisi mehhanisme erandite halduseks, riskijuhtimiseks, jõustamiseks ja perioodiliseks läbivaatamiseks, tagades, et programm püsib kohanemisvõimeline uute ohtude, regulatiivsete muudatuste ja uute tehnoloogiate suhtes. Lisaks sätestab poliitika konkreetsed sätted kasutajakäitumise, kolmandate isikute juurdepääsu, ülesannete lahususe ja rikkumisest teavitamise mehhanismide kohta. See jõustab selge raamistiku poliitika rikkumiste käsitlemiseks, seab ootused perioodiliseks läbivaatamiseks ja ajakohastamiseks ning nõuab vastavuse tagamiseks ajalooliste versioonide säilitamist. Kõik need elemendid koos loovad juurdepääsuvalitsemise keskkonna, mis on aruandekohustuslik, auditeeritav ja võimeline toetama sertifitseerimist või õiguslikku kontrolli, tegemata eeldusi ega väiteid, mis ületaksid rangelt dokumenteeritu.

Poliitika diagramm

Juurdepääsukontrolli poliitika diagramm, mis illustreerib juurdepääsu elutsükli samme, sh juurdepääsuõiguste andmist, kinnitustöövooge, autentimist, privilegeeritud haldust, perioodilist läbivaatamist ja juurdepääsuõiguste tühistamise protsesse.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kohaldamisala ja kaasamise reeglid

Kinnitamise ja tühistamise töövood

Privilegeeritud juurdepääsu haldus

Identiteedi elutsükli integreerimine

Kolmanda osapoole ja tarnija testimine

Perioodilised juurdepääsuõiguste ülevaatused

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
5.155.175.18
ISO/IEC 27002:2022
8.28.3
NIST SP 800-53 Rev.5
AC-1AC-2AC-3AC-4AC-5AC-6AC-7AC-8AC-9AC-10AC-11AC-12AC-13AC-14AC-15AC-16AC-17AC-18AC-19AC-20IA-1IA-2IA-3IA-4IA-5IA-6IA-7IA-8
EU GDPR
5(1)(f)32(1)(b)Recital 39
EU NIS2
21(2)(c)21(2)(d)21(2)(e)
EU DORA
69(2)
COBIT 2019
APO07BAI03DSS01DSS05MEA03

Seotud poliitikad

Infoturbepoliitika

Määratleb organisatsiooni turvalisuse pühendumuse ja kõrgetasemelised juurdepääsukontrolli ootused.

Lubatud kasutuse poliitika

Sätestab käitumuslikud tingimused juurdepääsu jaoks ning kasutajate aruandekohustuse vastutustundlikuks süsteemikasutuseks.

Muudatuste juhtimise poliitika

Reguleerib, kuidas juurdepääsukonfiguratsioonide, rollide või grupistruktuuride muudatused tuleb turvaliselt rakendada ja testida.

Töölevõtu ja töösuhte lõpetamise poliitika

Käivitab juurdepääsuõiguste andmise ja juurdepääsuõiguste tühistamise vastavalt kasutaja elutsükli sündmustele.

Kasutajakonto ja privileegide halduse poliitika

Rakendab kontotaseme kontrollimeetmeid ja täiendab seda poliitikat tehniliste juurdepääsu jõustamise suunistega.

Claryseci poliitikate kohta - Juurdepääsukontrolli poliitika

Tõhus turbejuhtimine nõuab enamat kui sõnu; see eeldab selgust, aruandekohustust ja struktuuri, mis skaleerub koos organisatsiooniga. Üldised mallid ebaõnnestuvad sageli, tekitades ebaselgust pikkade lõikude ja määratlemata rollidega. See poliitika on loodud olema teie turbeprogrammi operatiivne selgroog. Määrame vastutused kaasaegses ettevõttes esinevatele konkreetsetele rollidele, sh infoturbejuht, IT- ja turvameeskonnad ning asjakohased komiteed, tagades selged volitused ja aruandekohustuse. Iga nõue on unikaalselt nummerdatud klausel (nt 5.1.1, 5.1.2). See atomaarne struktuur muudab poliitika lihtsasti rakendatavaks, auditeeritavaks konkreetsete kontrollimeetmete vastu ning turvaliselt kohandatavaks ilma dokumendi terviklust mõjutamata, muutes selle staatilisest dokumendist dünaamiliseks, rakendatavaks raamistikuks.

Automatiseeritud jõustamine ja automaatsed teavitused

Integreerib automatiseeritud juurdepääsuõiguste andmise ja automaatsed teavitused ebaõnnestunud juurdepääsuõiguste eemaldamise, omanikuta kasutajakontode ja juurdepääsurikkumiste korral.

Üksikasjalik erandite jälgimine

Nõuab põhjendust, heakskiitu ja perioodilist läbivaatamist kõigi juurdepääsukontrolli erandite jaoks, minimeerides kontrollimata riske.

Sujuv kolmanda osapoole turvalisus

Nõuab lepinguliselt jõustatud, ajaliselt piiratud ja seiratud juurdepääsu välistele tarnijatele ja partneritele.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT Turvalisus Vastavus Audit

🏷️ Temaatiline katvus

Juurdepääsukontroll Identiteedihaldus Privilegeeritud juurdepääsu haldus Vastavuse juhtimine
€69

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Access Control Policy

Toote üksikasjad

Tüüp: policy
Kategooria: Enterprise
Standardid: 7