policy Enterprise

Perehdytys- ja työsuhteen päättämispolitiikka

Varmista turvallinen ja vaatimustenmukainen perehdytys- ja työsuhteen päättämisprosessi standardoiduilla käyttöoikeuksilla, omaisuuden hallinnalla ja auditointivaatimuksilla kaikille henkilöstötyypeille.

Yleiskatsaus

Tämä politiikka määrittää tiukat menettelyt turvalliseen perehdytykseen, sisäisiin siirtoihin ja työsuhteen päättämisprosessiin, ja se toimeenpanee pääsynhallinnan, omaisuuden palautuksen ja tarkastusjäljen keskeisten tietoturva- ja tietosuojastandardien mukaisesti.

Turvallinen käyttöoikeuksien elinkaari

Standardoi perehdytys- ja työsuhteen päättämisprosessin varmistaakseen oikea-aikaisen, riskiperusteisen käyttöoikeuksien myöntämisen ja käyttöoikeuksien perumisen.

Kattava omaisuuden hallinta

Edellyttää omaisuuserien luovutusta, seurantaa ja omaisuuden palautustoimia estääkseen menetykset ja tietovuodot henkilöstömuutosten aikana.

Sääntelyvaatimusten noudattaminen

Yhdenmukaistaa ISO/IEC 27001:n, GDPR:n, NIST:n, NIS2:n, DORA:n ja COBITin kanssa vahvan lakisääteisen ja tietoturvan vaatimustenmukaisuuden varmistamiseksi.

Lue koko yleiskatsaus
Perehdytys- ja työsuhteen päättämispolitiikka (asiakirja P07) tarjoaa kattavan, standardoidun viitekehyksen henkilöstön käyttöoikeuksien koko elinkaaren hallintaan perehdytyksestä ja sisäisistä siirroista työsuhteen päättämiseen tai sopimuksen päättymiseen. Se on suunniteltu kaikille käyttäjätyypeille, mukaan lukien työntekijät ja urakoitsijat, konsultit, toimittajat sekä kolmannet osapuolet, ja se toimeenpanee oikea-aikaisen ja turvallisen käyttöoikeuksien provisioinnin ja käytöstäpoiston sekä fyysisen pääsyn että loogisen pääsyn osalta, varmistaen, että jokainen siirtymä käsitellään asianmukaisella luottamuksellisuudella, vastuuvelvollisuudella ja omaisuuden hallinnalla. Tämä politiikka koskee koko organisaatiota ja edellyttää, että kaikki osastot sekä henkilöstöhallinto, IT, toimitilojen ja omaisuuden hallinta, tietoturva, johto, laki- ja vaatimustenmukaisuus osallistuvat määritellyllä tavalla perehdytys- ja poistumismenettelyprosesseihin. Se määrittää yksityiskohtaiset työnkulut: perehdytys sisältää taustatarkistukset, salassapitosopimus (NDA) -vaatimuksen ja politiikan hyväksyntävaiheen, tietoturvatietoisuuskoulutuksen sekä vähimmän etuoikeuden periaatteen mukaisen käyttöoikeuksien myöntämisen, jonka vastuulliset esihenkilöt katselmoivat; sisäisissä siirroissa se käynnistää riskiperusteisen käyttöoikeuksien katselmoinnin ja varmistaa, että kaikki aiemmat järjestelmätason oikeudet suljetaan ennen uuden pääsyn hyväksyntää; ja työsuhteen päättämisprosessi edellyttää, että kaikki käyttöoikeuksien provisiointi perutaan (etuoikeutetut käyttäjät neljän tunnin kuluessa), omaisuuserät kerätään, politiikat kuittataan uudelleen ja kaikki asiaankuuluva dokumentaatio ylläpidetään auditoitavuuden varmistamiseksi. Politiikan tavoitteet ulottuvat käyttöoikeuksien hallintaa laajemmalle. Sen tarkoituksena on säilyttää organisaation omaisuuserien luottamuksellisuus, eheys ja saatavuus henkilöstösiirtymien aikana sekä tukea tarkastusjälkeä ja oikeudellista puolustusta edellyttämällä perusteellista dokumentointia henkilöstötietojärjestelmässä (HRIS), identiteetin- ja pääsynhallinta (IAM) -järjestelmissä sekä omaisuusrekisteritiedoissa. Välittömät omaisuuden palautus- ja validointimenettelyt on määritelty, mukaan lukien IT-tarkastukset jäännösluonteisten arkaluonteisten tietojen poistamiseksi sekä toimitilakontrollit kulkutunnisteille, laitteille ja avaimille. Poikkeusten käsittely on tiukasti hallittua: kaikki poikkeamat on arvioitava riskien arviointimenettelyllä, dokumentoitava ja asetettava säännöllisten katselmointien piiriin ylemmän johdon toimesta (tietoturvajohtaja (CISO) tai HR-johtaja), ja jäännösriski on dokumentoitava ja jäännösriskin arviointi on tehtävä 90 päivän välein tai tilanteiden muuttuessa. Useiden kansainvälisten viitekehysten kanssa yhdenmukaistettuna, mukaan lukien ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 ja DORA, politiikka varmistaa, että organisaation käytännöt täyttävät keskeiset sääntelyvelvoitteet. Se integroi näiden standardien vaatimuksia, jotka koskevat pätevyyttä, pääsynhallintaa, vähimmän etuoikeuden periaatetta, taustatarkistuksia, lokitusta ja operatiivista hallintotapaa. Sisäinen tarkastus ja prosessiseurannan vaatimukset on sisäänrakennettu ISMS-päällikön valvonnalla sekä väärinkäytösten ilmoitusmekanismikanavilla. Rikkomukset käynnistävät kurinpitotoimenpiteet ja oikeudelliset seuraamukset sekä eskaloinnin viranomaisille, kun kyseessä ovat henkilötiedot tai sääntelyn alaiset tiedot. Politiikan ylläpito on yhtä vahvaa: se edellyttää vuosittaisia katselmointeja, päivityksiä merkittävien tietoturva- tai HR-järjestelmämuutosten jälkeen, poikkeamien ohjaamia päivityksiä sekä vanhentuneiden versioiden arkistointia. Asiakirjahallinnan menettelyt säilyttävät muutoshistorian ja omistajuustallenteet. Tämä yhdistää operatiivisen riskienhallinnan vaatimustenmukaisuuteen ja vastuuvelvollisuuteen ja muodostaa kriittisen osan organisaation integroitua kontrolliympäristöä suorilla linkityksillä siihen liittyviin politiikka-asiakirjoihin (tietoturva, pääsynhallinta, käyttäjätilit, riskienhallinta, hyväksyttävä käyttö).

Käytäntökaavio

Perehdytys- ja työsuhteen päättämispolitiikka -kaavio, joka havainnollistaa vaiheittaisen elinkaaren: perehdytyksen hyväksynnät, käyttöoikeuksien provisiointi, roolimuutosten katselmoinnit, välittömät työsuhteen päättämistoimet, omaisuuden palautus ja auditointidokumentaatio.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja pelisäännöt

Perehdytys- ja poistumismenettelytyönkulut

Omaisuuden palautus ja validointi

Pääsyoikeuksien välitön peruuttaminen -vaatimukset

Poikkeusten käsittely ja riskien käsittelyprosessi

Tarkastusjälki ja dokumentaatio

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
Clause 7.2Clause 6.2Annex A Control 6.5Annex A Control 5.9Annex A Control 6.2
ISO/IEC 27002:2022
Control 6.2Control 6.5Control 5.9
NIST SP 800-53 Rev.5
PS-4PS-5AC-2AC-6IA-4IA-5CM-5AU-2AU-6
EU GDPR
Article 5(1)(f)Article 25Article 32Recital 39
EU NIS2
Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5Article 8Article 9
COBIT 2019
APO07BAI08DSS05MEA03

Liittyvät käytännöt

P01 Tietoturvapolitiikka

Määrittää organisaation tietoturvatavoitteet, mukaan lukien henkilöstön käyttöoikeuksien hallinnointi.

Pääsynhallintapolitiikka

Tarjoaa operatiiviset vaatimukset järjestelmä- ja fyysisen pääsyn myöntämiselle ja käyttöoikeuksien perumiselle perehdytys- ja työsuhteen päättämisprosessin herätteiden perusteella.

Hyväksyttävän käytön politiikka (AUP)

Edellyttää politiikan hyväksyntävaiheen perehdytyksen aikana ja tukee täytäntöönpanoa työsuhteen päättämisen jälkeen.

Risk Management Policy

Varmistaa, että käyttäjien käyttöoikeuksiin ja siirtymiin liittyvät riskit arvioidaan ja lievennetään tietoturvallisuuden hallintajärjestelmäperiaatteiden mukaisesti.

User Account And Privilege Management Policy

Hallinnoi teknologiset hallintakeinot käyttöoikeuksien provisioinnin ja käytöstäpoiston toteuttamiseksi tämän politiikan tueksi.

Tietoa Clarysecin käytännöistä - Perehdytys- ja työsuhteen päättämispolitiikka

Tehokas tietoturvan hallinto edellyttää muutakin kuin sanoja; se vaatii selkeyttä, vastuuvelvollisuutta ja rakenteen, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Osoitamme vastuut nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuuvelvollisuuden. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon toimeenpanna, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta asiakirjasta dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Identiteetin- ja pääsynhallinta (IAM) -integraatio automatisoituihin työnkulkuihin

Edellyttää identiteetin- ja pääsynhallinta (IAM) -alustojen käyttöä käyttöoikeuksien provisiointiin, käyttöoikeuksien perumiseen ja tarkastusjälkitietoihin, vähentäen virheitä ja tukien automatisoitua perehdytystä/poistumismenettelyä.

Välitön riskiperusteinen peruminen

Edellyttää etuoikeutettujen tilien ja korkean riskin tilien deaktivointia neljän tunnin kuluessa, minimoiden altistumisen kriittisistä rooleista ja lähtötilanteista.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva Henkilöstöhallinto vaatimustenmukaisuus Sisäinen tarkastus

🏷️ Aiheen kattavuus

hallintotapa henkilöstöturvallisuus pääsynhallinta poikkeamien hallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Onboarding and Termination Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7