Töölevõtu ja töösuhte lõpetamise poliitika

Töölevõtu ja töösuhte lõpetamise poliitika (dokument P07) annab tervikliku, standardiseeritud raamistiku personali juurdepääsu täieliku elutsükli haldamiseks alates sisseelamisest ja sisemistest üleviimistest kuni töösuhte lõpetamise või lepingu lõppemiseni. See on mõeldud kõigile kasutajatüüpidele, sh töötajatele ja töövõtjatele, konsultantidele, tarnijatele ja kolmandatele isikutele, ning jõustab õigeaegse ja turvalise juurdepääsuõiguste andmise ja juurdepääsuõiguste eemaldamise nii füüsilise kui ka loogilise juurdepääsu ulatuses, tagades, et iga üleminek on käsitletud sobiva konfidentsiaalsuse, volituste ja aruandekohustuse ning varade kontrolli tasakaaluga. See poliitika kehtib kogu organisatsioonis ning nõuab, et kõik talitused — personal (HR), IT, rajatiste ja varade haldus, turvalisus, juhtkond, õigus ja vastavus ning vastavusmeeskonnad — täidaksid sisseelamise ja lahkumisprotsessi protsessides määratletud rolle. Poliitika kirjeldab üksikasjalikke töövooge: sisseelamine hõlmab taustakontrolli, konfidentsiaalsuslepingut (NDA) ja poliitika tutvumiskinnitust, turvateadlikkuse koolitust ning vähimate privileegide põhimõtte alusel juurdepääsuõiguste määramist, mille vaatavad üle vastutavad juhid; sisemiste üleviimiste korral käivitab see riskipõhised juurdepääsuõiguste ülevaatused ning tagab, et kõik varasemad süsteemiõigused suletakse enne uue juurdepääsu heakskiitmist; ning lahkumisprotsess nõuab, et kõik juurdepääsuõigused tühistataks (kõrgete õigustega kasutajatel nelja tunni jooksul), varad kogutaks, kinnitused uuendataks ning kogu seotud dokumentatsioon säilitataks auditeeritavuse tagamiseks. Poliitika eesmärgid ulatuvad kaugemale juurdepääsuhaldusest. Selle eesmärk on säilitada organisatsiooni varade konfidentsiaalsus, terviklus ja käideldavus personalimuudatuste ajal, toetades auditijälge ja õiguslikku kaitset, nõudes põhjalikku dokumenteerimist personaliinfosüsteemi (HRIS), identiteedi- ja juurdepääsuhalduse (IAM) ja varade registri süsteemides. Määratletud on viivitamatu varade taastamise ja valideerimise protseduurid, sh IT-kontrollid jääktundlike andmete eemaldamiseks ning rajatiste kontrollid juurdepääsukaartide, seadmete ja võtmete jaoks. Erandite käsitlemine on rangelt kontrollitud: kõik kõrvalekalded peavad läbima riskihindamise, olema dokumenteeritud ning alluma perioodilistele ülevaatustele tippjuhtkonna poolt (infoturbejuhi või personaliosakonna juhi poolt), kus jääkriskid dokumenteeritakse ja hinnatakse iga 90 päeva järel või olukorra muutumisel. Kooskõlas mitme rahvusvahelise raamistikuga, sh ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EL GDPR, NIS2 ja DORA, tagab poliitika, et organisatsiooni praktikad katavad kõik peamised regulatiivsed kohustused. See integreerib nende standardite sätted, mis käsitlevad pädevust, juurdepääsukontrolli, vähimate õiguste põhimõtet, taustakontrolli, logimist ja seiret ning operatiivset juhtimist. Siseauditi ja protsessiseire nõuded on sisse ehitatud ISMS-i juhi järelevalvega ning rikkumisest teavitamise mehhanismi kasutamise võimalusega. Rikkumised käivitavad distsiplinaarsed ja õiguslikud tagajärjed, sh eskaleerimise regulatiivsetele asutustele, kui kaasatud on isikuandmed või reguleeritud andmed. Poliitika hooldus on samavõrd tugev: see nõuab iga-aastaseid ülevaatusi, ajakohastusi pärast suuri turbe- või personalisüsteemide muudatusi, intsidentidest ajendatud uuendusi ning aegunud versioonide arhiveerimist. Dokumendihalduse protseduurid säilitavad muudatuste ajaloo ja omandiõiguse kirjed. See seob operatiivse riskijuhtimise vastavuse ja aruandekohustusega, moodustades kriitilise osa organisatsiooni integreeritud kontrollikeskkonnast läbi otseste seoste seotud poliitikadokumentidega (infoturbepoliitika, juurdepääsukontrolli poliitika, lubatud kasutuse poliitika, riskijuhtimise poliitika, kasutajakontode ja privileegide haldus).