Politika uvođenja u posao i prestanka radnog odnosa

Politika uvođenja u posao i prestanka radnog odnosa (dokument P07) pruža sveobuhvatan, standardiziran okvir za upravljanje punim životnim ciklusom pristupa osoblja, od uvođenja u posao i internih prijenosa do prestanka radnog odnosa ili isteka ugovora. Dizajnirana je za sve vrste korisnika, uključujući zaposlenike i ugovorne izvođače, konzultante, dobavljače i treće strane, te provodi pravodobnu i sigurnu dodjelu pristupa i ukidanje pristupa za fizički pristup i logički pristup, osiguravajući da se svaka tranzicija provodi uz odgovarajuću razinu povjerljivosti, odgovornosti i kontrole imovine. Ova politika primjenjuje se na razini cijele organizacije te propisuje da svi odjeli, ljudski resursi (HR), IT, upravljanje objektima i imovinom, sigurnost, izvršni menadžment, pravni poslovi i usklađenost imaju definiranu ulogu u procesima uvođenja i izlaznom procesu. Propisuje detaljne tijekove rada: uvođenje uključuje sigurnosne provjere, ugovor o povjerljivosti i potvrdu upoznatosti s politikom, obuku o sigurnosnoj svijesti te dodjelu pristupa prema načelu najmanjih privilegija uz pregled od strane neposrednog rukovoditelja; za interne prijenose pokreće procjene rizika novih projekata i preglede pristupa temeljene na riziku te osigurava da su sva prethodna prava u sustavima zatvorena prije odobrenja novog pristupa; a postupak prestanka radnog odnosa zahtijeva da se sva dodjela pristupa opozove (korisnicima s visokim ovlastima u roku od četiri sata), da se imovina prikupi, da se politike ponovno potvrde te da se sva povezana dokumentacija održava radi revizivosti. Ciljevi politike nadilaze upravljanje pristupom. Cilj je očuvati povjerljivost, cjelovitost i dostupnost (CIA) organizacijske imovine tijekom tranzicija osoblja, uz podršku revizijskog traga i pravne obrane zahtijevanjem temeljite dokumentacije u informacijskom sustavu za upravljanje ljudskim resursima (HRIS), upravljanju identitetom i pristupom (IAM) i registru imovine. Odmah se propisuju postupci povrata imovine, oporavka i provjere imovine, uključujući IT provjere radi uklanjanja preostalih osjetljivih podataka te kontrole objekata za pristupne iskaznice, uređaje i ključeve. Postupanje s iznimkama strogo je kontrolirano: svaka odstupanja moraju biti procijenjena u smislu rizika, dokumentirana i podložna periodičnim revizijama pristupa od strane višeg rukovodstva (glavnog službenika za informacijsku sigurnost (CISO) ili direktora HR-a), uz preostali rizik dokumentiran i vrednovanje preostalog rizika svakih 90 dana ili kada se okolnosti promijene. Usklađena s više međunarodnih okvira, uključujući ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 i DORA, politika osigurava da organizacijske prakse adresiraju ključne regulatorne obveze. Integrira odredbe ovih standarda koje pokrivaju kompetencije, kontrolu pristupa, načelo najmanjih privilegija, sigurnosne provjere, revizijsko bilježenje i operativno upravljanje. Ugrađeni su zahtjevi za unutarnju reviziju i praćenje procesa, uz nadzor voditelja ISMS-a i mehanizam prijave nepravilnosti. Kršenja pokreću disciplinske mjere i pravne posljedice, uz eskalaciju prema regulatornim tijelima kada su uključeni osobni ili regulirani podaci. Održavanje politike jednako je robusno: propisuje godišnje preglede, ažuriranja nakon većih promjena sigurnosnih ili HR sustava, ažuriranja potaknuta incidentima te arhiviranje zastarjelih verzija. Postupci kontrole dokumenata čuvaju povijest promjena i zapise o vlasništvu. Time se operativno upravljanje rizicima povezuje s usklađenošću i odgovornošću, čineći kritičan dio integriranog okruženja kontrola organizacije kroz izravne poveznice na povezane dokumente politika (sigurnost, kontrola pristupa, korisnički računi, upravljanje rizicima, Politika prihvatljivog korištenja (AUP)).