policy Enterprise

Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka

Ota käyttöön vahvat tili- ja käyttöoikeuskontrollit tällä kattavalla politiikalla vähentääksesi käyttöoikeusriskejä, varmistaaksesi vaatimustenmukaisuuden ja tukeaksesi turvallisia toimintoja.

Yleiskatsaus

Tämä politiikka edellyttää jäsenneltyjä, auditoitavia kontrolleja käyttäjätilien ja käyttöoikeuksien hallintaan kaikissa organisaation tietojärjestelmissä, varmistaen, että pääsy on luvallinen, seuranta on toteutettu ja vaatimustenmukaisuus täyttyy keskeisten tietoturvastandardien mukaisesti.

Vähimpien oikeuksien periaate käytännössä

Käyttöoikeudet myönnetään tiukasti tarve tietää -periaatteen mukaisesti, mikä minimoi luvattoman pääsyn riskin.

Kattava soveltamisala

Koskee kaikkia käyttäjätilejä, mukaan lukien henkilöstöä, urakoitsijoita ja kolmannen osapuolen toimittajia, pilvi-, omissa tiloissa- ja etäympäristöissä.

Vahva todennus

Edellyttää vahvaa todennusta, mukaan lukien salasanan monimutkaisuus, monivaiheinen todennus sekä istuntojen valvonta ja tallennus etuoikeutetuissa istunnoissa.

Lue koko yleiskatsaus
Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka (asiakirja P11) tarjoaa jäsennellyn ja pakollisen viitekehyksen sille, miten käyttäjätilit ja käyttöoikeudet hallitaan kaikissa organisaation tietojärjestelmissä ja teknologioissa. Sen keskeinen tarkoitus on varmistaa, että organisaation resursseihin pääsevät vain valtuutetut henkilöt validoitujen roolien ja operatiivisten tarpeiden mukaisesti. Politiikka tunnistaa ja toimeenpanee keskeiset tietoturvaperiaatteet, kuten vähimmän etuoikeuden periaatteen ja tehtävien eriyttämisen, ja edellyttää auditoitavia prosesseja käyttäjätilien käyttöoikeuksien myöntämis-, hallinta-, seuranta- ja käyttöoikeuksien peruminen -toiminnoille. Sovellettavissa kaikkiin käyttäjäryhmiin, mukaan lukien työntekijät, urakoitsijat, kolmannen osapuolen palveluntarjoajat ja konsultit, tämä politiikka koskee kaikkia järjestelmiä, joissa käyttäjän todentaminen on käytössä. Tämä kattava soveltamisala kattaa yrityssovellukset, pilvi- ja SaaS-ympäristöt, hallinnolliset järjestelmät ja etäkäyttötyökalut sekä identiteetin- ja pääsynhallinta (IAM) -alustat. Sekä standardi- että etuoikeutetut tilit kuuluvat vaatimusten piiriin, ja painopisteenä on jokaisen tilin yksilöllinen tunnistettavuus sekä jaettujen tunnusten tai yleiskäyttöisten tilien käytön estäminen (poikkeuksena tiukasti hallitut hätätilanteet). Politiikan keskeisiä tavoitteita ovat yksilöllisten, perusteltavien ja jäljitettävien käyttäjätilien toimeenpano; vähimmän etuoikeuden periaate -kontrollien toteuttaminen liiallisen käytön riskin ehkäisemiseksi; tilan nopea päivittäminen roolimuutosten tai työsuhteen päättymisen jälkeen; sekä käyttöoikeuksien elinkaaren hallinta -toimintojen keskittäminen yhdenmukaisuuden ja auditoitavuuden varmistamiseksi. Määräykset mahdollistavat passiivisten tai väärinkäytettyjen tilien ennakoivan havaitsemisen säännöllisten käyttöoikeuksien tarkastuskatselmointien ja automatisoitujen työkalujen avulla. Politiikka on nimenomaisesti suunniteltu yhdenmukaistumaan johtavien tietoturvastandardien kanssa (kuten ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR ja COBIT 2019) täyttääkseen sekä sääntely- että parhaiden käytäntöjen vaatimukset. Roolit ja vastuut on määritelty selkeästi, tietoturvajohtajan (CISO) valvonta- ja poikkeusten hallinta -roolista pääsynhallinnan ylläpitäjien roolien teknisiin toimiin, osastopäälliköiden roolien pääsyn valtuutuksiin sekä henkilöstöhallinnon toiminnon integraatioon perehdytysprosessi- ja poistumismenettelyprosesseihin. Menettelyt varmistavat, että tilien luonti, muokkaus ja deaktivointi ovat tiukasti hallittuja, ja etuoikeutettu pääsy edellyttää lisävalvontaa, hyväksyntöjä, aikarajoitettuja käyttöoikeusrajoituksia ja tehostettua tarkastuslokitusvalvontaa. Todennuskontrollit, mukaan lukien pakolliset salasanojen hallinta -vaatimukset, monivaiheinen todennus keskeisille tileille, istuntojen lukitus ja suojatut etäkäyttöprotokollat, muodostavat ydinkokonaisuuden ja varmistavat, ettei identiteetin varmistusta voida ohittaa. Vahva seuranta, lokitus ja säännölliset katselmoinnit auttavat ylläpitämään tarkkoja tili-inventaarioita ja varmistamaan politiikkojen noudattamisen. Poikkeusten käsittely on riskiperusteista ja hallittua, ja hätäkäyttötilanteet ("break-glass") saavat erityistä menettelyllistä huomiota. Pakollista noudattamista korostetaan asteittaisella täytäntöönpanomallilla, joka sisältää pääsyn poistamisen käytöstä, kohdennetun uudelleenkoulutuksen, kurinpitotoimet ja laki- ja sääntelyasioiden eskaloinnin rikkomustapauksissa. Integraatio organisaation muihin politiikkoihin varmistaa yhtenäisen lähestymistavan kaikilla tietoturvakontrollien osa-alueilla, ja vaatimus vuosittaisista (tai tapahtumapohjaisista) katselmoinneista takaa jatkuvan parantamisen periaatteen mukaisen yhdenmukaisuuden kehittyvien järjestelmien, liiketoimintamallien ja sääntely-ympäristöjen kanssa. Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka on organisaation riskienhallintaprosessistrategian perusta, joka vahvistaa operatiivista turvallisuutta ja sääntelyvaatimusten noudattamisen tavoitteita.

Käytäntökaavio

Kaavio, joka havainnollistaa käyttäjätilien käyttöoikeuksien elinkaaren hallinta -prosessin: käyttöoikeuksien myöntäminen, käyttöoikeuksien osoittaminen, seuranta, säännöllinen katselmointi, poikkeusten käsittely ja käyttöoikeuksien poistaminen.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja pelisäännöt

Käyttöoikeuksien myöntäminen ja hallinta

Todennus- ja istuntokontrollit

Kolmansien osapuolten ja toimittajien pääsymenettelyt

Säännölliset käyttöoikeuksien katselmoinnit

Poikkeusten ja riskien käsittelyprosessit

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Liittyvät käytännöt

Pääsynhallintapolitiikka

Määrittää yleiset pääsynhallintaperiaatteet ja -mekanismit, mukaan lukien sääntöpohjaiset ja roolipohjaiset käyttöoikeuksien hallintakontrollit.

Perehdytys- ja työsuhteen päättämispolitiikka

Tarjoaa menettelyvaiheet käyttäjäpääsyn aloittamiseen ja päättämiseen henkilöstöhallinnon toiminnon toimiin linjattuna.

Tietoturvatietoisuus- ja koulutuspolitiikka

Vahvistaa käyttäjien vastuut tiliturvallisuudesta ja todennustietojen suojaamisesta.

Tietojen luokittelu- ja merkintäpolitiikka

Ohjaa pääsytasoja tietojen luokittelun perusteella ja varmistaa, että käyttöoikeusrajat ovat linjassa arkaluonteisuustasojen kanssa.

Lokitus- ja valvontapolitiikka

Varmistaa, että tarkastusjälki kerätään kaikista tiliin liittyvistä toiminnoista ja että niitä katselmoidaan poikkeamien tai luvattoman käytön havaitsemiseksi.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Ohjaa eskalointi-, rajaamis- ja poikkeaman jälkiarviointi -toimia tilanteissa, joissa käyttöoikeuksia käytetään väärin tai tilitoiminta on luvatonta.

Tietoa Clarysecin käytännöistä - Käyttäjätilien ja käyttöoikeuksien hallintapolitiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuuvelvollisuutta ja rakennetta, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Määritämme vastuut nykyaikaisessa yrityksessä esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat toimikunnat, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida yksittäisiä kontrollivaatimuksia vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi ja toimeenpantavaksi viitekehykseksi.

Selkeä vastuunjako rooleittain

Määrittää yksityiskohtaiset vastuut tietoturvajohtajalle (CISO), IT-järjestelmänvalvojien rooleille, henkilöstöhallinnon toiminnolle, esihenkilöille ja toimittajille sekä selkeyttää hyväksyntä- ja auditointiketjut.

Automatisoitu perehdytys ja poistumismenettely

Edellyttää identiteetin- ja pääsynhallinta (IAM) -integraatiota HRMS-järjestelmään käyttäjätilien oikea-aikaista, automatisoitua käyttöoikeuksien provisiointia ja deaktivointia varten.

Jäljitettävä poikkeusten hallinta

Muodollinen, riskiperusteinen prosessi poikkeuksille, joka varmistaa, että kaikki poikkeamat dokumentoidaan, hyväksytään ja ovat auditoitavissa.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT Tietoturva Vaatimustenmukaisuus

🏷️ Aiheen kattavuus

pääsynhallinta Identiteetinhallinta etuoikeutetun pääsyn hallinta vaatimustenmukaisuuden hallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
User Account and Privilege Management Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7