Hozzáférés-vezérlési szabályzat – SME

Ez a hozzáférés-vezérlési szabályzat (P04S) átfogó keretrendszert biztosít a kis- és középvállalkozások (SME-k) számára a szervezeti rendszerekhez, adatokhoz és fizikai létesítményekhez való hozzáférés kezelésére és védelmére. SME-re szabott szabályzatként a felelősségeket egyszerűsített szerepkörökhöz rendeli, például az ügyvezetőhöz és az IT-vezetőhöz/külső IT-szolgáltatóhoz, tükrözve azt a valóságot, hogy sok SME nem rendelkezik dedikált IT-biztonsági szerepkörökkel, mint az információbiztonsági vezető (CISO) vagy a biztonsági műveleti központ (SOC). A szabályzat ugyanakkor teljes mértékben összhangban van a nemzetközileg elismert szabványokkal, különösen az ISO/IEC 27001:2022-vel, miközben gyakorlati bevezetést tesz lehetővé összetett belső erőforrások nélkül. A szabályzat részletesen rögzíti a hozzáférés-kiosztás, a módosítás és a hozzáférés visszavonása eljárásait, lefedve a felhasználói életciklus minden szakaszát. Kiterjed valamennyi felhasználó, munkavállaló és vállalkozó, ideiglenes munkatárs és külső IT-szolgáltató körére, és alkalmazandó a vállalati eszközökön vagy BYOD (saját eszköz használata) eszközökön, felhőben és helyszíni rendszereken, valamint fizikai helyszíneken, például irodákban és védett szerverterekben. A legkisebb jogosultság elvének következetes alkalmazásával a hozzáférés kizárólag üzleti szükséglet alapján kerül megadásra, minimalizálva a jogosulatlan vagy túlzott használat kockázatát a bizalmas vagy egyéb érzékeny eszközök esetében. A szabályzat középpontjában egyértelmű, végrehajtható szerepkörök és felelősségek állnak: az ügyvezető felügyeli a szabályzat jóváhagyását, az erőforrások biztosítását és a kivételkezelés folyamatát; az IT-vezető (vagy megbízható külső szolgáltató) végrehajtja a hozzáférés-kiosztást és a jogosultságmegszüntetést, fenntart egy auditálható hozzáférés-vezérlési nyilvántartást, konfigurálja a szerepköralapú hozzáférés-szabályozás (RBAC) és a többtényezős hitelesítés (MFA) beállításokat, valamint elvégzi a naplók felülvizsgálatát. Az osztályvezetők engedélyezik a hozzáférést a csapataik számára, és szerepkör-változások esetén kezdeményezik a frissítéseket, míg a munkatársak kötelesek betartani a biztonságos hozzáférési és használati protokollokat. A szabályzat rendszeres hozzáférés-felülvizsgálatokat indít, legalább éves gyakorisággal, és előírja a hozzáférés-változások és auditok automatizált és manuális dokumentálását. A szabályzatba beépülnek a kockázatkezelés, a szabályszegések kezelése és a folyamatos megfelelés-monitorozás eljárásai. A standard folyamattól való eltérések – például ideiglenes hozzáférés a munkaviszony megszűnését követően – kizárólag felső vezetés általi jóváhagyással és átfogó dokumentálással engedélyezettek. A meg nem feleléshez kapcsolódó fegyelmi következmények egyértelműek, a célzott továbbképzéstől a szerződés megszüntetéséig vagy jogi és szabályozási eszkalációig. A szabályzat reagál olyan kiváltó eseményekre is, mint a technológiai változások, szervezeti átalakulások vagy információbiztonsági incidensek, és ezek esetén frissített felülvizsgálatokat és módosított kontrollokat ír elő. Végül a szabályzatot úgy alakították ki, hogy zökkenőmentesen integrálható legyen a kapcsolódó, kritikus SME-szabályzatokkal, például az Elfogadható használati szabályzattal, a Változáskezeléssel, a Beléptetési és kiléptetési szabályzattal, az Adatvédelemmel és az Incidensreagálással. Az éves felülvizsgálati ciklus és a kötelező képzés biztosítja, hogy a szabályzat hatékony maradjon, és alkalmazható legyen a változó üzleti és megfelelési igények mellett, támogatva az SME-ket az erős, gyakorlatias és auditálható hozzáférés-ellenőrzési környezet fenntartásában.