policy Enterprise

Politika upravljanja korisničkim računima i privilegijama

Uspostavite snažne kontrole računa i privilegija uz ovu sveobuhvatnu politiku kako biste smanjili rizike pristupa, osigurali usklađenost i podržali sigurne operacije.

Pregled

Ova politika propisuje strukturirane, revizibilne kontrole za upravljanje korisničkim računima i privilegijama pristupa u svim organizacijskim informacijskim sustavima, osiguravajući da je pristup ovlašten, praćen i usklađen s glavnim sigurnosnim standardima.

Provedeno načelo najmanjih privilegija

Prava pristupa i privilegije pristupa dodjeljuju se strogo prema načelu nužnog poznavanja, čime se smanjuje rizik neovlaštenog pristupa.

Sveobuhvatan opseg

Primjenjuje se na sve korisničke račune, uključujući osoblje, izvođače i dobavljače trećih strana, u oblaku, u vlastitim prostorijama i u okruženjima za udaljeni pristup.

Snažna autentifikacija

Propisuje snažnu autentifikaciju uz složenost lozinke, višefaktorsku autentifikaciju (MFA) i kontrole nad povlaštenim sesijama.

Pročitaj cijeli pregled
Politika upravljanja korisničkim računima i privilegijama (Dokument P11) pruža strukturiran i obvezan okvir za kontrolu načina na koji se korisnički računi i privilegije pristupa upravljaju u svim organizacijskim informacijskim sustavima i tehnologijama. Njezina je temeljna svrha osigurati da se organizacijskim resursima pristupa isključivo od strane ovlaštenih osoba, u skladu s validiranim ulogama i operativnim potrebama. Politika prepoznaje i provodi ključna načela informacijske sigurnosti, kao što su načelo najmanjih privilegija i razdvajanje dužnosti (SoD), te propisuje revizibilne procese za dodjelu pristupa, upravljanje, praćenje i opoziv pristupa korisničkih računa. Primjenjiva na sve korisnike, uključujući zaposlenike, izvođače, pružatelje usluga treće strane i konzultante, ova politika uređuje svaki sustav u kojem je prisutna autentifikacija korisnika. Ovaj sveobuhvatni opseg obuhvaća poslovne aplikacije, oblak i SaaS okruženja, administrativne sustave i alate za udaljeni pristup, kao i platforme za upravljanje identitetom i pristupom (IAM). I standardni i povlašteni računi obuhvaćeni su zahtjevima, uz snažan naglasak na jedinstvenoj identifikaciji svakog računa i sprječavanju uporabe dijeljenih vjerodajnica ili generičkih računa (osim u strogo kontroliranim hitnim scenarijima). Ključni ciljevi politike uključuju provedbu jedinstvenih, opravdanih i pratljivih korisničkih računa; implementaciju kontrola načela najmanjih privilegija radi zaštite od prekomjernih prava pristupa; zahtijevanje pravodobnih promjena statusa računa nakon promjene uloga ili prestanka radnog odnosa; te centralizaciju aktivnosti upravljanja životnim ciklusom pristupa radi dosljednosti i revizibilnosti. Odredbe su postavljene za proaktivno otkrivanje neaktivnih korisničkih vjerodajnica ili zloupotrijebljenih računa putem redovitih pregleda pristupa i uporabe automatiziranih podsjetnika i automatiziranih upozorenja. Politika je izričito osmišljena za usklađivanje s vodećim sigurnosnim standardima (kao što su ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR i COBIT 2019) kako bi se ispunili regulatorni zahtjevi i zahtjevi najboljih industrijskih praksi. Uloge i odgovornosti jasno su definirane, od nadzorne uloge i uloge upravljanja iznimkama glavnog službenika za informacijsku sigurnost (CISO) do tehničkih radnji administratora kontrole pristupa, ovlaštenja pristupa voditelja odjela te integracije ljudskih resursa (HR) s procesima uvođenja u posao i izlaznog procesa. Postupci osiguravaju da su kreiranje, izmjena i deaktivacija računa strogo upravljani, pri čemu je povlašteni pristup podložan dodatnoj provjeri, odobrenjima, vremenski ograničenom pristupu i pojačanom revizijskom bilježenju. Kontrole autentifikacije, uključujući obvezne politike lozinki, višefaktorsku autentifikaciju (MFA) za ključne račune, zaključavanje sesije i sigurne protokole za udaljeni pristup, čine temeljni zahtjev, osiguravajući da se provjera identiteta ne može zaobići. Snažne mjere praćenja, revizijsko bilježenje i periodične revizije pristupa pomažu održati točne popise aktivnih korisnika i provoditi pridržavanje politike. Postupanje s iznimkama temelji se na riziku i kontrolirano je, pri čemu hitni scenariji pristupa („break-glass“) dobivaju posebnu proceduralnu pozornost. Obvezna usklađenost naglašena je progresivnim modelom provedbe, uključujući onemogućavanje pristupa, ciljano ponovno osposobljavanje, disciplinske mjere i pravnu/regulatornu eskalaciju za kršenja. Integracija s povezanim organizacijskim politikama osigurava koherentan pristup u svim domenama informacijske sigurnosti, a zahtjev za godišnjim (ili događajno potaknutim) pregledima politike jamči kontinuirano poboljšanje i usklađenost s razvojem sustava, poslovnih modela i regulatornih okvira. Politika upravljanja korisničkim računima i privilegijama temeljna je za strategiju upravljanja rizicima organizacije, jačajući operativnu sigurnost i usklađenost s propisima.

Dijagram politike

Dijagram koji prikazuje upravljanje životnim ciklusom pristupa korisničkih računa, uključujući dodjelu pristupa, dodjelu privilegija pristupa, praćenje, periodične revizije pristupa, postupanje s iznimkama i ukidanje pristupa.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg i pravila angažmana

Dodjela uloga i upravljanje privilegijama

Kontrole autentifikacije i sesije

Postupci pristupa trećih strana i dobavljača

Periodične revizije pristupa

Procesi iznimki i obrade rizika

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Povezane politike

Politika kontrole pristupa

Uspostavlja krovna načela i mehanizme kontrola pristupa, uključujući kontrole temeljene na pravilima i kontrole pristupa na temelju uloga (RBAC).

Politika uvođenja u posao i prestanka radnog odnosa

Pruža proceduralne korake za iniciranje i ukidanje pristupa korisnika usklađene s aktivnostima ljudskih resursa (HR).

Politika podizanja svijesti i osposobljavanja o informacijskoj sigurnosti

Jača odgovornosti korisnika za sigurnost računa i zaštitu autentifikacijskih vjerodajnica.

Politika klasifikacije i označavanja podataka

Usmjerava razine pristupa na temelju klasifikacije podataka, osiguravajući da granice privilegija pristupa odgovaraju razinama osjetljivosti.

Politika bilježenja i praćenja

Osigurava da se revizijski trag prikuplja za sve aktivnosti povezane s računima te da se provodi pregled dnevnika radi otkrivanja anomalija ili neovlaštenog pristupa.

Politika odgovora na incidente (P30)

Upravlja eskalacijom, ograničavanjem i naknadnim pregledom incidenta u slučajevima zloupotrebe privilegija pristupa ili neovlaštenih aktivnosti računa.

O Clarysec politikama - Politika upravljanja korisničkim računima i privilegijama

Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, odgovornost i strukturu koja se može skalirati s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće kroz duge odlomke i nedefinirane uloge. Ova je politika osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama prisutnima u modernom poduzeću, uključujući glavnog službenika za informacijsku sigurnost (CISO), IT i sigurnosne timove te relevantne odbore, osiguravajući jasnu odgovornost. Svaki je zahtjev jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurno prilagođavanje bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.

Jasna odgovornost po ulozi

Specificira granularne odgovornosti za glavnog službenika za informacijsku sigurnost (CISO), IT administratore, ljudske resurse (HR), rukovoditelje i dobavljače, pojašnjavajući lance odobravanja i revizije.

Automatizirano uvođenje u posao i izlazni proces

Zahtijeva integraciju upravljanja identitetom i pristupom (IAM) s informacijskim sustavom ljudskih resursa radi pravodobne, automatizirane dodjele pristupa i deaktivacije korisničkih računa.

Pratljivo upravljanje iznimkama

Formalni, na riziku utemeljen postupak za iznimke, osiguravajući da su sva odstupanja dokumentirana, odobrena i revizibilna.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT sigurnost usklađenost

🏷️ Tematska pokrivenost

kontrola pristupa upravljanje identitetom upravljanje privilegiranim pristupom (PAM) upravljanje usklađenošću
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja
User Account and Privilege Management Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: Enterprise
Standardi: 7