policy Enterprise

Felhasználói fiók- és jogosultságkezelési szabályzat

Hozzon létre robusztus fiók- és jogosultságkontrollokat ezzel az átfogó szabályzattal a hozzáférési kockázatok csökkentése, a megfelelés biztosítása és a biztonságos üzemeltetés támogatása érdekében.

Áttekintés

Ez a szabályzat strukturált, auditálható kontrollokat ír elő a felhasználói fiók- és jogosultságkezeléshez valamennyi szervezeti információs rendszerben, biztosítva, hogy a hozzáférés engedélyezett, monitorozott és a főbb biztonsági szabványoknak megfelelő legyen.

Legkisebb jogosultság elve kikényszerítve

A hozzáférési jogosultságok kiosztása szigorúan a szükséges ismeret elve alapján történik, minimalizálva a jogosulatlan hozzáférés kockázatát.

Átfogó hatókör

Valamennyi felhasználó valamennyi felhasználói fiókjára vonatkozik, beleértve a munkavállalókat, vállalkozókat és harmadik fél beszállítókat, felhő-, helyszíni és távoli környezetekben.

Robusztus hitelesítés

Erős hitelesítést ír elő jelszókomplexitással, többtényezős hitelesítéssel, valamint a kiemelt jogosultságú munkamenetekre vonatkozó kontrollokkal.

Teljes áttekintés olvasása
A Felhasználói fiók- és jogosultságkezelési szabályzat (P11 dokumentum) strukturált és kötelező keretrendszert biztosít annak szabályozására, hogy a felhasználói fiókok és hozzáférési jogosultságok hogyan kerülnek kezelésre valamennyi szervezeti információs rendszerben és technológiában. Alapvető célja annak biztosítása, hogy a szervezeti erőforrásokhoz kizárólag jogosult személyek férjenek hozzá, validált szerepkörök és üzemeltetési szükségletek alapján. A szabályzat elismeri és kikényszeríti a kulcsfontosságú információbiztonsági elveket, mint a legkisebb jogosultság elve és a feladatkörök szétválasztása, továbbá auditálható folyamatokat ír elő a felhasználói fiókok hozzáférés-kiosztásához, kezeléséhez, monitorozásához és a hozzáférés visszavonásához. Valamennyi felhasználóra alkalmazandó, beleértve a munkavállalókat, vállalkozókat, harmadik fél szolgáltatókat és tanácsadókat; a szabályzat minden olyan rendszert irányít, ahol felhasználóhitelesítés van. Ez az átfogó hatókör kiterjed a vállalati alkalmazásokra, felhő- és SaaS-környezetekre, adminisztratív rendszerekre és távoli hozzáférési eszközökre, valamint az identitás- és hozzáférés-kezelés (IAM) platformokra. A követelmények mind a standard, mind a kiemelt jogosultságú fiókokra vonatkoznak, erős hangsúllyal minden fiók egyedi azonosíthatóságán, valamint a megosztott hitelesítő adatok vagy generikus fiókok használatának megelőzésén (kivéve szigorúan kontrollált sürgősségi forgatókönyvek esetén). A szabályzat fő célkitűzései közé tartozik az egyedi, indokolható és nyomon követhető felhasználói fiókok kikényszerítése; a legkisebb jogosultság elve szerinti kontrollok bevezetése a túlzott hozzáférési jogosultságok elleni védelem érdekében; a fiókállapotok gyors módosításának megkövetelése szerepkör-változások vagy megszüntetés esetén; valamint a fiókéletciklus-tevékenységek központosítása a következetesség és auditálhatóság érdekében. A szabályzat rendelkezéseket tartalmaz az inaktív felhasználói hitelesítési adatokkal rendelkező vagy visszaélésszerűen használt fiókok proaktív észlelésére rendszeres hozzáférés-felülvizsgálatok és automatizált eszközök alkalmazásával. A szabályzat kifejezetten úgy került kialakításra, hogy összhangban legyen a vezető biztonsági szabványokkal (például ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR és COBIT 2019), a szabályozási és iparági legjobb gyakorlatok szerinti követelmények teljesítése érdekében. A szerepek és felelősségek egyértelműen meghatározottak, az információbiztonsági vezető (CISO) felügyeleti és kivételkezelési szerepétől a hozzáférés-ellenőrzési menedzserek technikai intézkedésein, az osztályvezetők hozzáférés-engedélyezésein és a HR beléptetési és kiléptetési folyamataival való integrációján át. Az eljárások biztosítják, hogy a fióklétrehozás, módosítás és deaktiválás szigorúan irányított legyen, a kiemelt jogosultságú hozzáférés pedig fokozott ellenőrzés, jóváhagyások, időkorlátozások és megerősített auditnaplózás alá essen. A hitelesítési kontrollok – beleértve a kötelező jelszószabályzatokat, a többtényezős hitelesítést a kulcsfontosságú fiókok esetén, a munkamenet-zárolást és a biztonságos távoli hozzáférési protokollokat – alapkövetelményt képeznek, biztosítva, hogy az identitás-ellenőrzés ne legyen megkerülhető. A robusztus monitorozás, naplózás és időszakos felülvizsgálati intézkedések segítenek a pontos fiókleltár fenntartásában és a megfelelés kikényszerítésében. A kivételkezelés kockázatalapú és kontrollált, a sürgősségi hozzáférési („break-glass”) forgatókönyvek pedig külön eljárási figyelmet kapnak. A kötelező megfelelés hangsúlyozott, progresszív érvényesítési modellel, amely magában foglalja a hozzáférés letiltását, célzott továbbképzést, fegyelmi intézkedéseket, valamint jogi és szabályozási eszkalációt szabályszegések esetén. A kapcsolódó szervezeti szabályzatokkal való integráció koherens megközelítést biztosít valamennyi információbiztonsági kontrollterületen, az éves (vagy eseményvezérelt) felülvizsgálati követelmény pedig garantálja a folyamatos fejlesztést és az összhangot a változó rendszerekkel, üzleti modellekkel és szabályozási környezettel. A Felhasználói fiók- és jogosultságkezelési szabályzat a szervezet kockázatkezelési stratégiájának alapvető eleme, megerősítve az üzemeltetési biztonságot és a jogszabályi megfelelést.

Irányelv-diagram

Diagram, amely a felhasználói fiókok hozzáférési életciklus-kezelését szemlélteti, bemutatva a hozzáférés-kiosztást, jogosultság-hozzárendelést, monitorozást, időszakos felülvizsgálatot, kivételkezelést és jogosultságmegszüntetés lépéseit.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Jogosultság-hozzárendelés és -kezelés

Hitelesítési és munkamenet-kontrollok

Harmadik fél és beszállítói hozzáférési eljárások

Időszakos hozzáférés-felülvizsgálatok

Kivételkezelés és kockázatkezelési folyamatok

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Kapcsolódó irányelvek

Hozzáférés-vezérlési szabályzat

Meghatározza az átfogó hozzáférés-ellenőrzési elveket és hitelesítési mechanizmusokat, beleértve a szabályalapú és szerepköralapú hozzáférés-vezérlési kontrollokat.

Beléptetési és kiléptetési szabályzat

Eljárási lépéseket biztosít a felhasználói hozzáférés indításához és megszüntetéséhez, a HR-intézkedésekkel összehangolva.

Információbiztonsági tudatossági és képzési szabályzat

Megerősíti a felhasználói felelősségeket a fiókbiztonság és a hitelesítő adatok védelme terén.

Adatosztályozási és címkézési szabályzat

Az adatosztályozás alapján irányítja a hozzáférési szinteket, biztosítva, hogy a jogosultsági határok igazodjanak az érzékenységi szintekhez.

Naplózási és monitorozási szabályzat

Biztosítja, hogy az ellenőrzési nyomvonalak összegyűjtésre kerüljenek minden fiókkal kapcsolatos tevékenységhez, és felülvizsgálatra kerüljenek anomáliák vagy jogosulatlan használat észlelésére.

Incidenskezelési szabályzat

Szabályozza az eszkalációt, az elszigetelést és az incidens utáni felülvizsgálati tevékenységeket jogosultsággal való visszaélés vagy jogosulatlan fióktevékenység esetén.

A Clarysec irányelveiről - Felhasználói fiók- és jogosultságkezelési szabályzat

A hatékony biztonsági irányítás több mint szavak: egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázható struktúrát igényel. Az általános sablonok gyakran nem működnek, mert kétértelműséget teremtenek hosszú bekezdésekkel és nem definiált szerepkörökkel. Ez a szabályzat úgy készült, hogy az Ön biztonsági programjának üzemeltetési gerincét adja. A felelősségeket a modern vállalatokban jellemző konkrét szerepkörökhöz rendeljük, beleértve az információbiztonsági vezetőt (CISO), az IT- és információbiztonsági csapatokat és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedileg számozott záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok mentén, valamint a biztonságos testreszabást a dokumentum integritásának sérülése nélkül, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Egyértelmű elszámoltathatóság szerepkörök szerint

Részletes felelősségeket határoz meg az információbiztonsági vezető (CISO), informatikai rendszergazdák, HR, vezetők és beszállítók számára, tisztázva a jóváhagyási és auditláncokat.

Automatizált beléptetés és kiléptetés

Megköveteli az identitás- és hozzáférés-kezelés (IAM) integrációját a humánerőforrás-információs rendszerrel (HRIS) a felhasználói fiókok időben történő, automatizált hozzáférés-kiosztása és deaktiválása érdekében.

Nyomon követhető kivételkezelés

Formális, kockázatalapú folyamat a kivételekre, biztosítva, hogy minden eltérés dokumentált, jóváhagyott és auditálható legyen.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés

🏷️ Témafedezet

hozzáférés-ellenőrzés identitáskezelés kiváltságos hozzáférés-kezelés (PAM) megfelelés-kezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
User Account and Privilege Management Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7