policy SME

Felhasználói fiók- és jogosultságkezelési szabályzat – KKV

Átfogó szabályzat a felhasználói fiókok és hozzáférési jogosultságok biztonságos kezelésére KKV-k számára, biztosítva a nyomon követhető hozzáférést és a jogszabályi megfelelést.

Áttekintés

Ez a szabályzat egyértelmű, végrehajtható követelményeket határoz meg a felhasználói fiók- és jogosultságkezelésre KKV-k esetében. Előírja a nyomon követhető, szerepköralapú hozzáférés-vezérlést, az időszakos hozzáférés-felülvizsgálatokat, a jelszószabványokat, valamint a formalizált beléptetési és kiléptetési folyamatot. A vezérigazgató viseli az átfogó elszámoltathatóságot, az IT-vezető támogatásával, és minden folyamat biztosítja az ISO/IEC 27001, a GDPR, a NIS2 és további követelményeknek való megfelelést.

Teljes életciklusú fiókbiztonság

Lefedi a felhasználói fiókok teljes életciklusát a létrehozástól a deaktiválásig, biztosítva, hogy minden hozzáférés dokumentált és nyomon követhető legyen.

KKV-ra szabott szerepkörök és egyszerűség

A felelősségeket a vezérigazgatóra és az IT-vezetőre delegálja, illeszkedve a nagy IT-csapat nélküli szervezetekhez.

Jogszabályi megfelelés

Összhangban van az ISO/IEC 27001:2022, a GDPR, a NIS2 és a DORA követelményeivel, biztosítva a megfelelést több szabvány mentén.

Legkisebb jogosultság elve

Csökkenti a kockázatot azzal, hogy csak a szükséges hozzáférést engedélyezi, és kötelező jóváhagyásokat ír elő a kiemelt jogosultságokhoz.

Teljes áttekintés olvasása
A Felhasználói fiók- és jogosultságkezelési szabályzat (P11S) egy átfogó, KKV-kra fókuszáló szabályzat, amely a felhasználói fiókok és hozzáférési jogosultságok létrehozását, használatát, monitorozását és megszüntetését irányítja a szervezeten belül. A globális szabványokból és szabályozói előírásokból adaptált szabályzat keretrendszert hoz létre annak biztosítására, hogy kizárólag jogosult felhasználók rendelkezzenek megfelelő hozzáféréssel; ez kritikus kontroll a jogosulatlan tevékenységek megelőzéséhez és a belső fenyegetések mérsékléséhez. A P11S kifejezetten kis- és középvállalkozások számára készült, amit a vezérigazgató (GM) elszámoltathatósága és a dedikált SOC-ok vagy CISO-k jellegű összetett IT-irányítási struktúrák hiánya is jelez. Ez a megközelítés a magas biztonsági szintű hozzáférés-ellenőrzést megvalósíthatóvá és kezelhetővé teszi a nagy biztonsági csapatokkal nem rendelkező szervezetek számára, miközben megőrzi az ISO/IEC 27001:2022 és kapcsolódó keretrendszerek szerinti összhangot. A szabályzat valamennyi munkatársra, vállalkozóra, gyakornokra és harmadik félre vonatkozik, akik hozzáférnek a szervezet informatikai infrastruktúrájához és információs rendszereihez. Lefedi a hagyományos felhasználói fiókokat, a rendszergazdai és szolgáltatásfiókokat, valamint az ideiglenes vagy vendég hitelesítő adatokat. A szabályok a teljes fiókéletciklust lefedik: a beléptetés és hozzáférés-kiosztás kezdeti lépéseitől az időszakos felülvizsgálatokon át a kiléptetés során végrehajtott hozzáférés visszavonásáig. Minden felhasználó egyedi felhasználónevet kap az elszámoltathatóság biztosítására; a megosztott hitelesítő adatok használata kifejezetten tiltott, kivéve ellenőrzött, dokumentált kivételek esetén. A kiemelt jogosultságok további indoklási és engedélyezési rétegen mennek keresztül, és minden esetben dokumentálás és időszakos felülvizsgálat tárgyát képezik. A szerepkörök és felelősségek egyszerűek és egyértelműek: a GM átfogó felügyeletet biztosít, gondoskodik a szabályzatok betartásáról, és kezeli a felhasználói fiókokhoz kapcsolódó információbiztonsági incidenseket. A megvalósítás és a technikai kikényszerítés feladatai az IT-vezetőre (vagy külső IT-szolgáltatóra) hárulnak, aki a hozzáférés-kiosztást, letiltást, monitorozást és naplózást végzi, szigorúan dokumentált jóváhagyások alapján. A közvetlen felettesek kulcsszerepet játszanak a hozzáférési kérelmek benyújtásában, a hozzáférés-felülvizsgálatokban és a hozzáférés-validálásban, amikor a csapattagok szerepköre változik, míg minden felhasználó felelős a hitelesítő adatai védelméért és a gyanús tevékenységek incidensbejelentéséért. A szabályzat szigorú irányítás alatt áll: minden fiókmódosítást, létrehozást, deaktiválást és jogosultság-eszkalációt naplózni kell, és név szerint azonosított személyekhez kell rendelni. Az időszakos hozzáférés-felülvizsgálatok legalább félévente kötelezőek. A jelszókomplexitás, a többtényezős hitelesítés, ahol lehetséges, a sikertelen próbálkozások utáni fiókzárolás, valamint a szolgáltatásfiókok és harmadik felek hozzáféréseinek szisztematikus felülvizsgálata a szabályokba beépített követelmények. A kiléptetési eljárások biztosítják a hozzáférések gyors megszüntetését és minden hozzáférési token vagy eszköz visszaszerzését, csökkentve a fennmaradó hozzáférési kockázatokat. A kivételkezelés magas színvonalú: bármely eltérés az alapkövetelményektől (például a megosztott vagy tesztfiókok ritka használata) írásos indoklást igényel, kompenzáló kontrollok alkalmazásával, negyedéves felülvizsgálattal, és végső visszavonás alá esik. A sürgősségi „break glass” fiókok csak meghatározott, dokumentált feltételek mellett engedélyezettek, és használat után vissza kell állítani őket. A szabályzat rendszeres auditokat, információbiztonsági incidens utáni felülvizsgálatokat és éves frissítéseket ír elő a változó szabályozói és üzleti követelményekkel való összhang fenntartására. Végül kifejezetten hivatkozik a kapcsolódó szabályzatokra, amelyek az irányítást, a hozzáférés-ellenőrzést, a beléptetési és kiléptetési folyamatot, a biztonságtudatossági képzést és az incidensreagálás területét fedik le, biztosítva a hozzáféréskezelés és a megfelelés holisztikus megközelítését.

Irányelv-diagram

A Felhasználói fiók- és jogosultságkezelési szabályzat ábrája, amely a fiókéletciklus lépéseit szemlélteti, beleértve a létrehozást, jóváhagyást, monitorozást, jogosultság-felülvizsgálatot és a kiléptetést megfelelőségi ellenőrzési pontokkal.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és alkalmazási szabályok

Jogosultságok és hozzáférés-ellenőrzési követelmények

Hozzáférési életciklus-kezelés

Jelszó- és többtényezős hitelesítés követelmények

Kiléptetés és sürgősségi hozzáférés

Kockázatkezelés és kivételek

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
5.38.1
ISO/IEC 27002:2022
8.2
NIST SP 800-53 Rev.5
AC-2AC-5AC-6
EU NIS2
Article 21(2)(d)
EU DORA
Article 9(2)(b)
COBIT 2019
DSS05.03DSS05.04
EU GDPR
Article 32

Kapcsolódó irányelvek

Irányítási szerepkörök és felelősségek szabályzat – KKV

Meghatározza az elszámoltathatóságot és a döntési hatáskört a hozzáférés-jóváhagyásokhoz és a felügyelethez.

Hozzáférés-vezérlési szabályzat – KKV

A rendszerszintű hozzáférés-ellenőrzés kikényszerítését és a hitelesítési mechanizmusokat szabályozza.

Beléptetési és kiléptetési szabályzat – KKV

Biztosítja, hogy a fióklétrehozás és -megszüntetés a HR által kezelt személyi változásokba beépüljön.

Információbiztonsági tudatossági és képzési szabályzat – KKV

A felhasználókat a biztonságos fiókhasználati gyakorlatokra és elvárásokra képezi.

Incidenskezelési szabályzat – KKV

Meghatározza a teendőket, ha a fiókokkal való visszaélés biztonsági incidenshez vagy jogosulatlan közzétételhez vezet.

A Clarysec irányelveiről - Felhasználói fiók- és jogosultságkezelési szabályzat – KKV

Az általános biztonsági szabályzatok gyakran nagyvállalatokra készülnek, így a kisvállalkozások számára nehezen alkalmazható, összetett szabályokat és nem egyértelmű szerepköröket hagynak maguk után. Ez a szabályzat más. A KKV-szabályzatainkat eleve gyakorlati bevezetésre terveztük olyan szervezetekben, ahol nincs dedikált biztonsági csapat. A felelősségeket olyan szerepkörökhöz rendeljük, amelyek ténylegesen rendelkezésre állnak, például a vezérigazgatóhoz és az IT-szolgáltatóhoz, nem pedig olyan specialisták tömegéhez, akik nincsenek. Minden követelményt egyedileg számozott záradékokra bontunk (pl. 5.2.1, 5.2.2). Ez a szabályzatot egy egyértelmű, lépésről lépésre követhető ellenőrzőlistává alakítja, megkönnyítve a bevezetést, az auditálást és a testreszabást anélkül, hogy teljes fejezeteket kellene újraírni.

Auditálásra kész hozzáférési feljegyzések

12 hónapig megőrzi az összes fióktevékenység és jóváhagyás részletes naplóit, egyszerűsítve a szabályozói auditokat és vizsgálatokat.

Negyedéves kivételfelülvizsgálatok

Biztosítja, hogy bármely speciális hozzáférés (pl. teszt- vagy sürgősségi) szigorúan kontrollált, indokolt és rendszeresen újraértékelt legyen.

Zökkenőmentes kiléptetési folyamat

Egyértelmű ellenőrzőlista-lépéseket integrál az azonnali fiókeltávolításhoz, eszközvisszaszerzéshez és tanúsítványkezeléshez a munkatárs távozásakor.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés

🏷️ Témafedezet

hozzáférés-ellenőrzés identitáskezelés kiváltságos hozzáférés-kezelés (PAM) Megfelelés biztonsági műveleti központ (SOC)
€29

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
User Account and Privilege Management Policy - SME

Termék részletei

Típus: policy
Kategória: SME
Szabványok: 7