policy SME

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka – pk-yrityksille

Kattava politiikka käyttäjätilien ja käyttöoikeuksien turvalliseen hallintaan pk-yrityksille, varmistaen jäljitettävän pääsyn ja sääntelyvaatimusten noudattamisen.

Yleiskatsaus

Tämä politiikka määrittelee selkeät, käytännönläheiset vaatimukset käyttäjätilien ja käyttöoikeuksien hallintaan pk-yrityksissä. Se edellyttää jäljitettävää, roolipohjaista käyttöoikeutta, säännöllisiä käyttöoikeuksien tarkastuksia, salasanojen standardeja sekä muodollistettua perehdytystä ja poistumismenettelyä. Toimitusjohtaja vastaa kokonaisvastuusta tietoturvavastaavan tuella, ja kaikki prosessit varmistavat vaatimustenmukaisuuden ISO/IEC 27001:n, GDPR:n, NIS2:n ja muiden vaatimusten kanssa.

Kattava tiliturvallisuus

Kattaa käyttäjätilien koko elinkaaren luomisesta deaktivointiin ja varmistaa, että kaikki pääsy on dokumentoitu ja jäljitettävissä.

Pk-yrityksille räätälöidyt roolit ja yksinkertaisuus

Delegoi vastuut toimitusjohtajalle ja tietoturvavastaavalle, sopien organisaatioille ilman suuria IT-tiimejä.

Sääntelyvaatimusten noudattaminen

Yhdenmukainen ISO/IEC 27001:2022:n, GDPR:n, NIS2:n ja DORA:n kanssa, varmistaen vaatimustenmukaisuuden useiden standardien osalta.

Vähimpien oikeuksien periaate

Minimoi riskiä varmistamalla vain tarpeelliset käyttöoikeudet sekä pakolliset hyväksynnät korotetuille käyttöoikeuksille.

Lue koko yleiskatsaus
Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka (P11S) on kattava, pk-yrityksille suunnattu kokonaisuus, joka ohjaa käyttäjätilien ja käyttöoikeuksien luomista, käyttöä, seurantaa ja poistamista organisaatiossa. Globaalien standardien ja sääntelyvaatimusten pohjalta mukautettuna politiikka luo viitekehyksen, jolla varmistetaan, että vain valtuutetuilla käyttäjillä on asianmukainen pääsy. Tämä on kriittinen pääsynhallintakontrolli luvattoman toiminnan ehkäisemiseksi ja sisäpiiriuhkien torjuntariskin pienentämiseksi. P11S on kirjoitettu nimenomaisesti pk-yrityksille: toimitusjohtaja (GM) kantaa vastuuvelvollisuuden, eikä se edellytä monimutkaisia IT-hallintorakenteita, kuten omistettuja tietoturvaoperaatiokeskus (SOC) -toimintoja tai tietoturvajohtaja (CISO) -roolia. Näin korkean varmuustason pääsynhallinta on toteutettavissa ja hallittavissa organisaatioissa, joilla ei ole suuria tietoturvatiimejä, samalla säilyttäen yhdenmukaisuuden ISO/IEC 27001:2022:n ja siihen liittyvien viitekehysten kanssa. Politiikka koskee kaikkia työntekijöitä, urakoitsijoita, harjoittelijoita ja kolmansia osapuolia, joilla on pääsy organisaation IT-järjestelmiin. Se kattaa perinteiset käyttäjätilit, järjestelmänvalvoja- ja palvelutilit sekä väliaikaiset tai vierastunnistetiedot. Säännöt kattavat koko tilin elinkaaren perehdytyksestä ja käyttöoikeuksien myöntämisvaiheesta säännölliseen katselmointiin ja käyttöoikeuksien perumistoimiin poistumismenettelyssä. Jokaiselle käyttäjälle annetaan yksilölliset käyttäjätunnukset ja jäljitettävä identiteetti vastuuvelvollisuuden varmistamiseksi, ja jaetut tunnukset on nimenomaisesti kielletty, paitsi kontrolloiduissa, dokumentoiduissa poikkeustilanteissa. Korotetut käyttöoikeudet edellyttävät lisäperustelua ja valtuutusta, ja ne ovat aina dokumentoinnin ja säännöllisen katselmoinnin piirissä. Roolit ja vastuut ovat yksinkertaiset ja selkeät: toimitusjohtaja vastaa kokonaisvalvonnasta, politiikkojen noudattamisvaatimuksen varmistamisesta sekä käyttäjätilien tietoturvapoikkeamatilanteiden käsittelystä. Toteutus ja tekninen täytäntöönpano kuuluvat tietoturvavastaavalle (tai ulkoiselle IT-palveluntarjoajalle), joka hallinnoi käyttöoikeuksien myöntämistä, käytöstä poistamista, seurantaa ja lokitustoimia tiukasti dokumentoitujen hyväksyntöjen perusteella. Lähiesihenkilöillä on keskeinen rooli käyttöoikeuspyyntö-, katselmointi- ja käyttöoikeuksien tarkistustehtävissä, kun tiimin jäsenten roolit muuttuvat, ja jokainen käyttäjä on vastuussa tunnistetietojensa suojaamisesta ja epäilyttävän toiminnan raportoinnista. Politiikkaa hallinnoidaan tiukasti: kaikki tilimuutokset, luomiset, deaktivoinnit ja käyttöoikeuksien korotukset on kirjattava lokitietoihin ja liitettävä nimettyihin henkilöihin. Säännölliset käyttöoikeuksien tarkastukset edellytetään vähintään kuuden kuukauden välein. Salasanan monimutkaisuus, monivaiheinen todennus aina kun mahdollista, tilin lukitus epäonnistuneiden yritysten jälkeen sekä palvelu- ja kolmannen osapuolen tilien systemaattinen katselmointi on sisäänrakennettu sääntöihin. Poistumismenettelyt varmistavat nopean pääsyn poistamisen sekä kaikkien turvatunnisteiden tai laitteiden palautuksen, mikä vähentää jäljelle jäävän pääsyn riskejä. Poikkeusten hallinta on korkeatasoista: kaikki poikkeamat ydinsäännöistä (kuten harvinainen jaettujen tai testitilien käyttö) on perusteltava kirjallisesti, kompensoitava kompensoivilla hallintakeinoilla, katselmoitava neljännesvuosittain ja saatettava lopulta käyttöoikeuksien perumistilaan. Hätätilanteiden “break glass” -tilit sallitaan vain määritellyin, dokumentoiduin ehdoin ja ne on nollattava käytön jälkeen. Politiikka edellyttää säännöllisiä auditointeja, tietoturvapoikkeamakatselmointeja sekä vuosittaisia päivityksiä, jotta yhdenmukaisuus kehittyvien sääntely- ja liiketoimintavaatimusten kanssa säilyy. Lopuksi se linkittyy nimenomaisesti täydentäviin politiikkoihin, jotka kattavat hallintotavan, pääsynhallinnan, perehdytys- ja työsuhteen päättämispolitiikan, tietoturvatietoisuuskoulutuksen sekä tietoturvapoikkeamiin reagoinnin, varmistaen kokonaisvaltaisen lähestymistavan käyttöoikeuksien hallintaan ja vaatimustenmukaisuuteen.

Käytäntökaavio

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikan kaavio, joka havainnollistaa tilin elinkaaren vaiheet, mukaan lukien luominen, hyväksyntä, seuranta, käyttöoikeuksien katselmointi ja poistumismenettely vaatimustenmukaisuuden tarkistuspisteineen.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja toimintaperiaatteet

Käyttöoikeudet ja pääsynhallintavaatimukset

Käyttöoikeuksien elinkaaren hallinta

Salasanat ja monivaiheinen todennus -vaatimukset

Poistumismenettely ja hätäkäyttöoikeus

Riskien käsittely ja poikkeukset

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
5.38.1
ISO/IEC 27002:2022
8.2
NIST SP 800-53 Rev.5
AC-2AC-5AC-6
EU NIS2
Article 21(2)(d)
EU DORA
Article 9(2)(b)
COBIT 2019
DSS05.03DSS05.04
EU GDPR
Article 32

Liittyvät käytännöt

Hallintotavan roolit ja vastuut -politiikka – pk-yrityksille

Määrittää vastuuvelvollisuuden ja päätöksentekovaltuudet käyttöoikeuksien hyväksynnöille ja valvonnalle.

Pääsynhallintapolitiikka – pk-yrityksille

Ohjaa järjestelmälaajuista pääsynhallintatäytäntöönpanoa ja todennusmekanismeja.

Perehdytys- ja työsuhteen päättämispolitiikka – pk-yrityksille

Varmistaa, että tilien luominen ja poistaminen sisältyvät henkilöstöhallinnon hallinnoimiin henkilöstömuutoksiin.

Tietoturvatietoisuus- ja koulutuspolitiikka – pk-yrityksille

Kouluttaa käyttäjiä turvallisista tilikäytännöistä ja käyttöodotuksista.

Tietoturvapoikkeamiin reagoinnin politiikka (P30) – pk-yrityksille

Määrittää toimenpiteet, jos tilien väärinkäyttö johtaa tietoturvaloukkaustilanteeseen tai luvattomaan luovutukseen.

Tietoa Clarysecin käytännöistä - Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka – pk-yrityksille

Yleiset tietoturvapolitiikat on usein rakennettu suuryrityksille, jolloin pienet yritykset joutuvat soveltamaan monimutkaisia sääntöjä ja epäselviä rooleja. Tämä politiikka on erilainen. Pk-yrityksille suunnatut politiikkamme on suunniteltu alusta asti käytännön toteutusta varten organisaatioissa, joilla ei ole omistettuja tietoturvatiimejä. Määritämme vastuut rooleille, joita teillä oikeasti on, kuten toimitusjohtajalle ja IT-palveluntarjoajalle, emme joukolle erikoisasiantuntijoita. Jokainen vaatimus on jaettu yksilöllisesti numeroituun lausekkeeseen (esim. 5.2.1, 5.2.2). Tämä muuttaa politiikan selkeäksi, vaiheittaiseksi tarkistuslistaksi, jonka avulla se on helppo ottaa käyttöön, auditoida ja räätälöidä ilman kokonaisten osioiden uudelleenkirjoittamista.

Auditointivalmiit käyttöoikeustallenteet

Säilyttää yksityiskohtaiset lokit kaikista tilitoiminnoista ja hyväksynnöistä 12 kuukauden ajan, mikä helpottaa sääntelyauditointeja ja tutkintoja.

Neljännesvuosittaiset poikkeuskatselmoinnit

Varmistaa, että kaikki erityispääsy (esim. testi- tai hätäkäyttö) on tiukasti kontrolloitu, perusteltu ja säännöllisesti uudelleenarvioitu.

Saumaton poistumismenettely

Integroi selkeät tarkistuslistavaiheet tilien välittömään poistoon, omaisuuden palautustoimiin sekä varmenteiden käsittelyyn henkilöstön poistuessa.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus

🏷️ Aiheen kattavuus

pääsynhallinta Identiteetinhallinta etuoikeutetun pääsyn hallinta Vaatimustenmukaisuuden hallinta tietoturvaoperaatiot
€29

Kertaosto

Välitön lataus
Elinikäiset päivitykset
User Account and Privilege Management Policy - SME

Tuotetiedot

Tyyppi: policy
Luokka: SME
Standardit: 7