policy SME

Töölevõtu ja töösuhte lõpetamise poliitika – VKE

Tagage turvaline sisseelamine ja lahkumisprotsess struktureeritud kontrollnimekirjade, juurdepääsukontrolli ja vastavusega VKE-dele, kooskõlas ISO 27001 ja NIS2-ga.

Ülevaade

See VKE töölevõtu ja töösuhte lõpetamise poliitika määratleb standardiseeritud, auditeeritavad sammud kasutajate juurdepääsuhalduse, varade kontrolli ja vastavuse turvaliseks haldamiseks värbamise, lahkumise või rollimuudatuse ajal. See on struktureeritud organisatsioonidele ilma pühendunud infoturbemeeskondadeta, täites samal ajal peamiste raamistike, sh ISO/IEC 27001:2022, nõuded.

Turvaline kasutaja elutsükkel

Põhjalikud kontrollimeetmed sisseelamiseks ja lahkumisprotsessiks, et vältida volitamata juurdepääsu ja andmekadu.

Struktureeritud, auditeeritav protsess

Nõuab kontrollnimekirju ja valdkondadeülest kinnitamist juurdepääsuõiguste andmiseks, varade kontrolliks ja dokumentatsiooniks.

VKE-dele kohandatud rollid

Rollid on VKE-de jaoks lihtsustatud, võimaldades vastavust ilma pühendunud IT- ja infoturbemeeskondadeta.

Õigusnormidele vastavus

Kooskõlas ISO/IEC 27001:2022, GDPR-i, NIS2, DORA ja COBIT-i personalivaldkonna turbenõuetega.

Loe täielikku ülevaadet
Töölevõtu ja töösuhte lõpetamise poliitika (P07S) on kriitiline kontrollimeede organisatsioonidele, kes soovivad hallata kasutajate juurdepääsu elutsüklit turvaliselt, nõuetele vastavalt ja auditeeritavalt. See poliitika on kohandatud väikestele ja keskmise suurusega ettevõtetele (VKE-d), mida näitab dokumendinumbri „S“ ning vastutuse määramine rollidele nagu tegevjuht ja kontorijuht/personal (HR), mitte spetsialistidele nagu pühendunud infoturbejuht või turbeoperatsioonide keskus. Sellest hoolimata täidab see peamiste raamistike, sh ISO/IEC 27001:2022, nõuded. Poliitika eesmärk on määratleda, standardiseerida ja dokumenteerida protsessid uute töötajate, töövõtjate ja kolmanda osapoole teenuseosutajate sisseelamiseks, tagades samal ajal tugevad kontrollimeetmed nende töösuhte lõpetamiseks või sisemiseks rollimuudatuseks. See jõustab vähimate õiguste põhimõtte juurdepääsuõiguste andmisel, kasutab kontrollnimekirju varade väljastamise ja tagastamise kontrolli formaliseerimiseks ning nõuab dokumenteeritud logisid konto- ja varamuudatuste kohta. Töösuhte lõpetamise tegevused keskenduvad kiirele juurdepääsuõiguste tühistamisele, ettevõtte varade tagasisaamisele ning digitaalse identiteedi turvalisele sulgemisele, et ohjata volitamata juurdepääsu või andmete avalikustamise riski. Rollid ja vastutused on määratud VKE-dele tüüpiliste struktuuride järgi. Tegevjuht teostab programmi järelevalvet ja kinnitab kõrgete õigustega kasutajate juurdepääsu, kontorijuht või personal (HR) algatab sisseelamise/lahkumisprotsessi ja haldab kontrollnimekirju ning IT (sisemine või väline teenuseosutaja) haldab kontosid ja riistvara. Osakonnajuhid tagavad, et rollimuudatuste teavitused viiakse ellu, ning iga töötaja või töövõtja peab järgima turvakoolituse ja varade tagastamise protsesse. Juhtimisnõuded on tugevad, nõudes tööleasumise ja töölt lahkumise kontrollnimekirjade kasutamist, juurdepääsukontrolli registri ja varade registri haldamist ning erakorraliste deaktiveerimiste viivitamatut käsitlemist. Erandite ja riskide käsitlemise protseduurid on selgelt määratletud, nõudes dokumenteerimist, tegevjuhi teavitamist ning kompenseerivaid kontrollimeetmeid, kui standardseid samme jäetakse operatiivse kiireloomulisuse tõttu vahele. Vastavust jõustatakse regulaarse seire, valimipõhiste ülevaatuste ja selgete tagajärgedega mittevastavuse korral, nagu sihipärane ümberõpe või eskaleerimine. Nõudes sõnaselgelt iga-aastaseid ülevaatusi, reageerivaid uuendusi protsessi- või regulatiivsete muudatuste korral ning poliitikamuudatuste teavitamist kõigile asjakohastele töötajatele, toetab see poliitika protsessi pidevat täiustamist. See on struktureeritud nii, et aidata VKE-del tõhusalt täita vastavuse, operatiivse tervikluse ja andmekaitse nõudeid ka organisatsioonides, kus puuduvad keerukad turbestruktuurid.

Poliitika diagramm

Töölevõtu ja töösuhte lõpetamise poliitika diagramm, mis näitab samm-sammult protsesse uue töötaja juurdepääsu jaoks, varade väljastamiseks, kasutajate lahkumiseks koos õigeaegse deaktiveerimisega, rollimuudatusteks ja vastavuse kontrollpunktideks.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Käsitlusala piirid ja reeglid

tööleasumise ja töölt lahkumise kontrollnimekirjad

juurdepääsulogide ja varade registri uuendused

rollipõhine juurdepääsuõiguste andmine

töövõtjate ja kolmanda osapoole teenuseosutajate lahkumisprotsess

erandite ja riskide käsitlemise protseduurid

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
6.27.2
ISO/IEC 27002:2022
6.26.5
NIST SP 800-53 Rev.5
PS-4AC-2PL-4
EU NIS2
Article 21(2)(h)
EU DORA
Article 12
COBIT 2019
APO07DSS01
EU GDPR
Article 32

Seotud poliitikad

Juhtimise rollide ja vastutuste poliitika – VKE

Tagab volitused ja aruandekohustuse juurdepääsu ja sisseelamise protsessides

Juurdepääsukontrolli poliitika – VKE

Kehtestab rollipõhise juurdepääsuõiguste andmise ja deaktiveerimise tehnilise jõustamise

Riskijuhtimise poliitika – VKE

Hindab riske, mis tulenevad sisseelamise ja töösuhte lõpetamise kontrollimeetmete tõrgetest

Infoturbe teadlikkuse ja koolituse poliitika – VKE

Jõustab töötajate sisseelamise käigus orientatsiooni- ja koolitusnõuded

Intsidentidele reageerimise poliitika – VKE

Käsitleb juurdepääsuõiguste eemaldamata jätmist või varavargust kui turbeintsidente

Claryseci poliitikate kohta - Töölevõtu ja töösuhte lõpetamise poliitika – VKE

Üldised turbepoliitikad on sageli koostatud suurkorporatsioonidele, mistõttu väikestel ettevõtetel on keeruline rakendada keerukaid reegleid ja ebaselgeid rolle. See poliitika on teistsugune. Meie VKE poliitikad on algusest peale kavandatud praktiliseks rakendamiseks organisatsioonides, kus puuduvad pühendunud turvameeskonnad. Me määrame vastutused rollidele, mis teil tegelikult olemas on, nagu tegevjuht ja teie IT-teenuseosutaja, mitte spetsialistide armeele, mida teil ei ole. Iga nõue on jaotatud unikaalselt nummerdatud punktideks (nt 5.2.1, 5.2.2). See muudab poliitika selgeks samm-sammuliseks kontrollnimekirjaks, mida on lihtne rakendada, auditeerida ja kohandada ilma tervete jaotiste ümberkirjutamiseta.

Granulaarsed rollimäärangud

Ülesanded ja vastutused on jaotatud VKE-de reaalses elus esinevate rollide vahel: tegevjuht, personal (HR), IT, osakonnajuhid ja töötajad.

Aatomiline punktistruktuur

Iga nõue on unikaalselt nummerdatud, et lihtsustada auditeerimist, delegeerimist ja jälgimist – enam ei ole ebaselgeid lõike.

Erandite käsitlemise protsess

Erakorralised sisseelamise/lahkumisprotsessi sammud tuleb dokumenteerida, põhjendada ja parandada, et tagada täielikud volitused ja aruandekohustus.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

personal (HR) IT-operatsioonid turvalisus Audit ja nõuetele vastavus

🏷️ Temaatiline katvus

Personalivaldkonna turve Juurdepääsukontroll Identiteedihaldus Vastavuse juhtimine
€29

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Onboarding and Termination Policy - SME

Toote üksikasjad

Tüüp: policy
Kategooria: SME
Standardid: 7