Beléptetési és kiléptetési szabályzat – KKV

A beléptetési és kiléptetési szabályzat (P07S) kritikus kontrollként szolgál azon szervezetek számára, amelyek a felhasználói hozzáférés teljes életciklusát biztonságos, megfelelő és auditálható módon kívánják kezelni. A szabályzat kifejezetten kis- és középvállalkozásokra (KKV-k) van szabva, amit a dokumentumszámban szereplő „S” jelölés, valamint az olyan szerepkörökhöz rendelt felelősségek is jeleznek, mint az ügyvezető igazgató és az irodavezető/HR, nem pedig olyan specialistákhoz, mint egy dedikált információbiztonsági vezető (CISO) vagy biztonsági műveleti központ (SOC). Ennek ellenére teljesíti a kulcsfontosságú keretrendszerek – többek között az ISO/IEC 27001:2022 – követelményeit. A szabályzat célja a beléptetési folyamatok meghatározása, szabványosítása és dokumentálása új munkavállalók, vállalkozók és harmadik fél szolgáltatók esetén, miközben erős kontrollokat biztosít a megszüntetési folyamat vagy a belső munkaköri áthelyezés során. A hozzáférés-kiosztás során érvényesíti a legkisebb jogosultság elvét, ellenőrzőlistákat alkalmaz az eszközök kiadásának és visszavételének formalizálására, és dokumentált naplókat ír elő a fiók- és eszközváltozásokhoz. A megszüntetési folyamat tevékenységei a gyors hozzáférés-visszavonásra, a vállalati informatikai eszközök visszaszerzésére, valamint a digitális identitások biztonságos lezárására összpontosítanak a jogosulatlan hozzáférés vagy az adatkitettség kockázatának kontrollálása érdekében. A szerepkörök és felelősségek a tipikus KKV-struktúrákhoz illeszkednek. Az ügyvezető igazgató látja el a programfelügyeletet és a kiemelt jogosultságú hozzáférések jóváhagyását; az irodavezető vagy HR indítja a beléptetési/kiléptetési folyamatokat és karbantartja az ellenőrzőlistákat; az IT (belső vagy külső szolgáltató) kezeli a fiókokat és a hardvert. Az osztályvezetők biztosítják, hogy a szerepkör-változásokról szóló értesítések végrehajtásra kerüljenek, míg minden munkavállalónak vagy vállalkozónak be kell tartania a biztonságtudatossági képzés és az eszközvisszaadás folyamatait. Az irányítási követelmények erősek: előírják a belépési és kiléptetési ellenőrzőlisták használatát, egy hozzáférés-vezérlési nyilvántartás és az eszközleltár karbantartását, valamint a sürgősségi deaktiválások azonnali kezelését. A kivételkezelési és kockázatkezelési eljárások egyértelműek: dokumentálást, az ügyvezető igazgató értesítését, valamint kompenzáló kontrollok alkalmazását írják elő, ha az operatív sürgősség miatt a standard lépések kimaradnak. A megfelelés rendszeres monitorozással, mintavételes felülvizsgálatokkal és a meg nem felelés egyértelmű következményeivel (például célzott továbbképzés vagy eszkaláció) kerül kikényszerítésre. Az éves felülvizsgálatok, a folyamat- vagy szabályozási változásokra adott gyors frissítések, valamint a szabályzatmódosítások kommunikálása révén a szabályzat támogatja a folyamatos fejlesztés folyamatát. Úgy van felépítve, hogy a KKV-k hatékonyan teljesíthessék a megfelelés, az operatív sértetlenség és az adatvédelem követelményeit még összetett biztonsági struktúrák nélkül is.