policy SME

Įdarbinimo ir atleidimo iš darbo politika – SVV

Užtikrinkite saugų įvedimą į darbą ir darbo santykių nutraukimo procesą, taikydami struktūrizuotus kontrolinius sąrašus, prieigos kontrolę ir atitiktį SVV, suderintą su ISO 27001 ir NIS2.

Apžvalga

Ši SVV įdarbinimo ir atleidimo iš darbo politika apibrėžia standartizuotus, audituojamus veiksmus, skirtus saugiai valdyti naudotojų prieigos valdymą, turto kontrolę ir atitiktį įdarbinimo, išėjimo ar pareigų perkėlimo metu. Ji sukurta organizacijoms be dedikuotų IT ir informacijos saugumo komandų, kartu įgyvendinant pagrindinių sistemų, tokių kaip ISO/IEC 27001:2022, reikalavimus.

Saugus naudotojo gyvavimo ciklas

Išsamios kontrolės priemonės įvedimui į darbą ir nutraukimo procesui, siekiant užkirsti kelią nesankcionuotai prieigai ir duomenų praradimui.

Struktūrizuotas, audituojamas procesas

Numato įdarbinimo ir atleidimo kontrolinius sąrašus ir tarpfunkcinę koordinaciją patvirtinimams dėl prieigos suteikimo, turto kontrolės ir dokumentacijos.

SVV pritaikyti vaidmenys

Vaidmenys supaprastinti SVV, kad būtų užtikrinta atitiktis be dedikuotų IT ir informacijos saugumo komandų.

Atitiktis reglamentavimo reikalavimams

Suderinta su ISO/IEC 27001:2022, GDPR, NIS2, DORA ir COBIT personalo saugumo reikalavimais.

Skaityti visą apžvalgą
Įdarbinimo ir atleidimo iš darbo politika (P07S) yra kritinė kontrolės priemonė organizacijoms, siekiančioms saugiai, atitikties reikalavimus atitinkančiai ir audituojamai valdyti visą naudotojo prieigos gyvavimo ciklą. Ši politika yra specialiai pritaikyta smulkiosioms ir vidutinėms įmonėms (SVV), ką rodo „S“ dokumento numeryje ir atsakomybės priskyrimas tokiems vaidmenims kaip generalinis vadovas ir biuro vadovas / žmogiškieji ištekliai, o ne specializuotoms komandoms, pavyzdžiui, dedikuotam vyriausiajam informacijos saugumo pareigūnui (CISO) ar saugumo operacijų centrui (SOC). Vis dėlto ji atitinka pagrindinių sistemų, įskaitant ISO/IEC 27001:2022, reikalavimus. Politikos tikslas – apibrėžti, standartizuoti ir dokumentuoti procesus, skirtus naujų darbuotojų, rangovų ir trečiųjų šalių paslaugų teikėjų įvedimui į darbą, kartu užtikrinant patikimas kontrolės priemones jų darbo santykių nutraukimo procesui arba pareigų perkėlimui organizacijos viduje. Ji įtvirtina mažiausių privilegijų principą suteikiant prieigos teises, naudoja kontrolinius sąrašus turto išdavimo ir grąžinimo patikrai formalizuoti ir numato dokumentuotus žurnalus paskyrų ir turto pakeitimams. Nutraukimo veiklos orientuotos į neatidėliotiną prieigos atšaukimą, organizacijos turto susigrąžinimą ir saugų skaitmeninių tapatybių uždarymą, siekiant valdyti nesankcionuotos prieigos ar duomenų ekspozicijos riziką. Vaidmenys ir atsakomybės pritaikyti tipinėms SVV struktūroms. Generalinis vadovas vykdo programos priežiūrą ir patvirtina aukštų privilegijų naudotojų prieigą, biuro vadovas arba žmogiškieji ištekliai inicijuoja įvedimą į darbą / darbo santykių nutraukimo procesą ir prižiūri kontrolinius sąrašus, o IT (vidinis arba išorinis paslaugų teikėjas) valdo paskyras ir aparatinę įrangą. Padalinių vadovai užtikrina, kad pranešimai apie vaidmenų pakeitimus būtų įgyvendinti, o kiekvienas darbuotojas ar rangovas privalo laikytis saugumo mokymų ir turto grąžinimo procesų. Valdysenos reikalavimai yra tvirti: privaloma naudoti įdarbinimo ir atleidimo kontrolinius sąrašus, prižiūrėti prieigos kontrolės registrą ir turto inventorių, taip pat nedelsiant tvarkyti skubius deaktyvavimus. Išimčių ir rizikos tvarkymo procedūros aiškiai apibrėžtos: reikalaujama dokumentuoti, informuoti generalinį vadovą ir taikyti kompensacines kontrolės priemones, jei standartiniai veiksmai praleidžiami dėl operacinio skubumo. Atitiktis užtikrinama reguliaria stebėsena, imčių peržiūromis ir aiškiomis pasekmėmis už nesilaikymą, pavyzdžiui, tiksliniu permokymu arba eskalavimu. Aiškiai numatant kasmetines peržiūras, operatyvius atnaujinimus dėl procesų ar reglamentavimo pokyčių ir politikos pakeitimų komunikavimą visam aktualiam personalui, ši politika palaiko nuolatinio tobulinimo procesą. Ji sukurta taip, kad padėtų SVV efektyviai įgyvendinti atitikties, veiklos vientisumo ir duomenų apsaugos reikalavimus net ir organizacijose be sudėtingų saugumo struktūrų.

Politikos diagrama

Įdarbinimo ir atleidimo iš darbo politikos diagrama, rodanti nuoseklius procesus: naujo darbuotojo prieigos suteikimas, turto išdavimas, naudotojų išėjimas su savalaikiu deaktyvavimu, vaidmenų pakeitimai ir atitikties kontroliniai taškai.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Taikymo sritis ir įsitraukimo taisyklės

Įdarbinimo ir atleidimo kontroliniai sąrašai

Prieigos žurnalo ir turto inventoriaus atnaujinimai

Vaidmenimis pagrįstas prieigos teisių suteikimas

Trečiųjų šalių paslaugų teikėjų ir rangovų darbo santykių nutraukimo procesas

Išimčių ir rizikos tvarkymo procedūros

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022
6.27.2
ISO/IEC 27002:2022
6.26.5
NIST SP 800-53 Rev.5
PS-4AC-2PL-4
EU NIS2
Article 21(2)(h)
EU DORA
Article 12
COBIT 2019
APO07DSS01
EU GDPR
Article 32

Susijusios politikos

Valdysenos vaidmenų ir atsakomybių politika – SVV

Užtikrina įgaliojimus ir atskaitomybę prieigos ir įvedimo į darbą procesuose

Prieigos kontrolės politika – SVV

Nustato techninį vykdymo užtikrinimą vaidmenimis grindžiamai prieigos kontrolei ir deaktyvavimui

Rizikos valdymo politika – SVV

Vertina rizikas, kylančias dėl įdarbinimo ir atleidimo iš darbo kontrolės nesuveikimo

Informacijos saugos sąmoningumo ir mokymų politika – SVV

Užtikrina įvedimo į darbą metu taikomus informacijos saugumo sąmoningumo mokymų reikalavimus

Reagavimo į incidentus politika – SVV

Laiko prieigos teisių panaikinimo nesėkmes arba turto vagystę saugumo incidentais

Apie Clarysec politikas - Įdarbinimo ir atleidimo iš darbo politika – SVV

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVV politikos nuo pat pradžių kuriamos praktiškam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Atsakomybes priskiriame vaidmenims, kuriuos jūs iš tikrųjų turite, pavyzdžiui, generaliniam vadovui ir jūsų IT paslaugų teikėjui, o ne specialistų armijai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Detalūs vaidmenų priskyrimai

Užduotys ir atsakomybės paskirstytos pagal realius SVV vaidmenis: generalinis vadovas, žmogiškieji ištekliai, IT, padalinių vadovai ir personalas.

Atominė punktų struktūra

Kiekvienas reikalavimas turi unikalų numerį, kad būtų lengva audituoti, deleguoti ir sekti – nebelieka dviprasmiškų pastraipų.

Išimčių tvarkymo procesas

Skubūs įvedimo į darbą / darbo santykių nutraukimo proceso veiksmai turi būti dokumentuoti, pagrįsti ir ištaisyti, užtikrinant visišką atskaitomybę.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Žmogiškieji ištekliai IT Saugumas Atitiktis

🏷️ Teminė aprėptis

Žmogiškųjų išteklių saugumas Prieigos kontrolė Tapatybės valdymas Atitikties valdymas
€29

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai
Onboarding and Termination Policy - SME

Produkto informacija

Tipas: policy
Kategorija: SME
Standartai: 7