policy Enterprise

Beléptetési és kiléptetési szabályzat

Biztosítsa a biztonságos, megfelelő beléptetést és kiléptetést szabványosított hozzáférés-ellenőrzés, eszközkezelés és auditkövetelmények alkalmazásával valamennyi munkatárs-típus esetén.

Áttekintés

Ez a szabályzat szigorú eljárásokat határoz meg a biztonságos beléptetés, belső adattovábbítás és kiléptetés kezelésére, kikényszerítve a hozzáférés-ellenőrzést, az eszközvisszaszerzést és az ellenőrzési nyomvonalakat a főbb biztonsági és adatvédelmi szabványokkal összhangban.

Biztonságos hozzáférési életciklus

Szabványosítja a beléptetést és a kiléptetést a kockázatalapú hozzáférés-kiosztás és a hozzáférés visszavonásának időben történő biztosítása érdekében.

Átfogó eszközkezelés

Előírja az eszközök kiadását, nyomon követését és eszközvisszaszerzését a veszteségek és az adatszivárgás megelőzése érdekében személyi változások során.

Jogszabályi megfelelés

Összhangban van az ISO/IEC 27001, GDPR, NIST, NIS2, DORA és COBIT követelményeivel a megbízható jogi és biztonsági megfelelés érdekében.

Teljes áttekintés olvasása
A beléptetési és kiléptetési szabályzat (P07 dokumentum) átfogó, szabványosított keretrendszert biztosít a személyi hozzáférés teljes életciklusának kezeléséhez, a beléptetéstől és a belső áthelyezésektől a kiléptetésig vagy a szerződés lejártáig. Valamennyi felhasználótípusra készült, beleértve a munkavállalókat, vállalkozókat, tanácsadókat, beszállítókat és harmadik feleket, és kikényszeríti a fizikai hozzáférés és a logikai hozzáférés időben történő, biztonságos hozzáférés-kiosztását és jogosultságmegszüntetését, biztosítva, hogy minden átmenet a bizalmasság, az elszámoltathatóság és az eszközkezelés megfelelő kombinációjával történjen. A szabályzat szervezetszinten alkalmazandó, és előírja, hogy minden szervezeti egység, az emberi erőforrások, az IT, a létesítmény- és eszközgazdálkodás, a biztonság, a felső vezetés, a jogi és megfelelőség, valamint a megfelelés meghatározott szerepet töltsön be a beléptetés és kiléptetés folyamataiban. Részletes munkafolyamatokat ír elő: a beléptetés magában foglalja a háttérellenőrzéseket, a titoktartási megállapodást és a szabályzat tudomásulvételét, a biztonságtudatossági képzést, valamint a legkisebb jogosultság elve szerinti hozzáférés-hozzárendelést, amelyet a felelős vezetők felülvizsgálnak; belső áthelyezések esetén kockázatalapú hozzáférés-felülvizsgálatokat indít, és biztosítja, hogy minden korábbi rendszerjogosultság lezárásra kerüljön, mielőtt az új hozzáférés jóváhagyásra kerül; a kiléptetési folyamat pedig megköveteli, hogy minden hozzáférés-kiosztás visszavonásra kerüljön (kiemelt jogosultságú felhasználók esetén négy órán belül), az eszközök begyűjtésre kerüljenek, a szabályzatok újra tudomásulvételre kerüljenek, és minden kapcsolódó dokumentáció auditálhatóság céljából megőrzésre kerüljön. A szabályzat célkitűzései túlmutatnak a hozzáférés-kezelésen. Célja a szervezeti eszközök bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése személyi átmenetek során, támogatva az ellenőrzési nyomvonalakat és a jogi védelem biztosítását azáltal, hogy alapos dokumentálást ír elő a humánerőforrás-információs rendszerben, az identitás- és hozzáférés-kezelés (IAM) rendszerekben és az eszköznyilvántartásokban. Azonnali eszközvisszaszerzési és validálási eljárásokat határoz meg, beleértve az IT-ellenőrzéseket a maradék érzékeny adatok eltávolítására, valamint a belépőkártyákra, eszközökre és kulcsokra vonatkozó létesítményi kontrollokat. A kivételkezelés szigorúan kontrollált: bármely eltérésnek kockázatértékelésen kell átesnie, dokumentáltnak kell lennie, és időszakos felülvizsgálat tárgyát kell képeznie a felső vezetés részéről (CISO vagy HR-igazgató), a maradék kockázatokat pedig dokumentálni és értékelni kell 90 naponta vagy a helyzet változásakor. Több nemzetközi keretrendszerrel összhangban, beleértve az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 és DORA előírásait, a szabályzat biztosítja, hogy a szervezeti gyakorlatok minden kulcsfontosságú szabályozási követelményt lefedjenek. Integrálja e szabványok kompetenciára, hozzáférés-ellenőrzésre, a legkisebb jogosultság elvére, átvilágításra, naplózásra és operatív irányításra vonatkozó rendelkezéseit. Beépített belső audit- és folyamati monitorozási követelményeket tartalmaz, IBIR-vezetői felügyelettel és visszaélés-bejelentési mechanizmusokkal. A szabálysértések fegyelmi és jogi következményeket váltanak ki, és személyes vagy szabályozott adatok érintettsége esetén eszkalációt a szabályozó hatóságok felé. A szabályzat karbantartása ugyancsak robusztus: éves felülvizsgálatokat ír elő, frissítéseket jelentős biztonsági vagy HR-rendszerváltozások után, incidens által kiváltott frissítéseket, valamint az elavult verziók archiválását. A dokumentumkezelési eljárások megőrzik a változástörténetet és a tulajdonosi nyilvántartásokat. Ez összekapcsolja az operatív kockázatkezelést a megfeleléssel és az elszámoltathatósággal, és a szervezet integrált kontrollkörnyezetének kritikus részét képezi a kapcsolódó szabályzatdokumentumokhoz (biztonság, hozzáférés-vezérlés, felhasználói fiókok, kockázatkezelés, elfogadható használati szabályzat) való közvetlen kapcsolódásokon keresztül.

Irányelv-diagram

Beléptetési és kiléptetési szabályzat diagram, amely a lépésről lépésre történő életciklust szemlélteti: beléptetési jóváhagyások, hozzáférés-kiosztás, szerepkör-változások felülvizsgálata, azonnali kiléptetési intézkedések, eszközvisszaszerzés és auditdokumentáció.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Alkalmazási terület és együttműködési szabályok

Beléptetési és kiléptetési munkafolyamatok

eszközvisszaszerzés és validálás

Azonnali hozzáférés-visszavonás követelményei

Kivételkezelés és kockázatkezelési folyamat

Ellenőrzési nyomvonal és dokumentáció

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
Clause 7.2Clause 6.2Annex A Control 6.5Annex A Control 5.9Annex A Control 6.2
ISO/IEC 27002:2022
Control 6.2Control 6.5Control 5.9
NIST SP 800-53 Rev.5
PS-4PS-5AC-2AC-6IA-4IA-5CM-5AU-2AU-6
EU GDPR
Article 5(1)(f)Article 25Article 32Recital 39
EU NIS2
Article 21(2)(b)Article 21(2)(c)Article 21(2)(d)
EU DORA
Article 5Article 8Article 9
COBIT 2019
APO07BAI08DSS05MEA03

Kapcsolódó irányelvek

P01 Információbiztonsági szabályzat

Meghatározza a szervezet biztonsági célkitűzéseit, beleértve a személyi hozzáférés-irányítást.

Hozzáférés-vezérlési szabályzat

Operatív követelményeket ad a rendszerszintű és fizikai hozzáférés beléptetési és kiléptetési kiváltó eseményei szerinti kiosztásához és visszavonásához.

Elfogadható használati szabályzat

Előírja a szabályzat tudomásulvételét a beléptetés során, és támogatja az érvényesítést a kiléptetést követően.

Kockázatkezelési szabályzat

Biztosítja, hogy a felhasználói hozzáférési és átmeneti kockázatok az IBIR elveivel összhangban értékelésre és mérséklésre kerüljenek.

Felhasználói fiók- és jogosultságkezelési szabályzat

Szabályozza a hozzáférés-kiosztás és jogosultságmegszüntetés technikai kontrolljait e szabályzat támogatására.

A Clarysec irányelveiről - Beléptetési és kiléptetési szabályzat

A hatékony biztonsági irányítás nem csupán megfogalmazás kérdése; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázható struktúrát igényel. Az általános sablonok gyakran kudarcot vallanak, mert kétértelműséget teremtenek hosszú bekezdésekkel és meghatározatlan szerepkörökkel. Ez a szabályzat úgy készült, hogy a biztonsági program operatív gerincét adja. A felelősségeket a modern vállalatban megtalálható konkrét szerepkörökhöz rendeljük, beleértve az információbiztonsági vezető (CISO) szerepét, az IT- és információbiztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedileg számozott záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a szabályzat bevezetését, az egyes kontrollok szerinti auditálást, valamint a biztonságos testreszabást a dokumentum sértetlenségének befolyásolása nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

IAM-integráció automatizált munkafolyamatokhoz

Előírja az identitás- és hozzáférés-kezelés (IAM) platformok használatát a hozzáférés-kiosztás, a hozzáférés visszavonása és az ellenőrzési nyomvonalak biztosítására, csökkentve a hibákat és támogatva az automatizált beléptetést/kiléptetést.

Azonnali, kockázatvezérelt visszavonás

Megköveteli a kiemelt jogosultságú és magas kockázatú fiókok deaktiválását négy órán belül, minimalizálva a kritikus szerepkörökből és távozásokból eredő kitettséget.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT biztonság Emberi erőforrások Megfelelés Audit és megfelelés

🏷️ Témafedezet

irányítás humánerőforrás-biztonság hozzáférés-ellenőrzés incidenskezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Onboarding and Termination Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7