Įdarbinimo ir atleidimo iš darbo politika

Įdarbinimo ir atleidimo iš darbo politika (dokumentas P07) pateikia išsamią, standartizuotą sistemą, skirtą valdyti visą personalo prieigos gyvavimo ciklą – nuo įvedimo į darbą ir vidaus duomenų perdavimų iki darbo santykių nutraukimo arba sutarties galiojimo pabaigos. Skirta visiems naudotojų tipams, įskaitant darbuotojus, rangovus, konsultantus, išorinius tiekėjus ir trečiąsias šalis, ji užtikrina savalaikį ir saugų prieigos suteikimą ir prieigos teisių panaikinimą tiek fizinei, tiek loginei prieigai, kad kiekvienas perėjimas būtų valdomas tinkamu konfidencialumo, atskaitomybės ir turto kontrolės deriniu. Ši politika taikoma visoje organizacijoje ir reikalauja, kad visi departamentai – Žmogiškieji ištekliai, IT, patalpų ir turto valdymas, saugumas, vadovybė, teisė ir atitiktis – atliktų apibrėžtą vaidmenį įvedimo į darbą ir darbo santykių nutraukimo proceso procesuose. Joje nustatytos detalios darbo eigos: įvedimas į darbą apima asmens patikimumo patikrinimus, konfidencialumo sutartį ir politikos susipažinimo patvirtinimą, saugumo informuotumo mokymus ir mažiausių privilegijų principo prieigos priskyrimą, kurį peržiūri atsakingi vadovai; vidaus duomenų perdavimų atveju inicijuojama rizika pagrįsta prieigos peržiūra ir užtikrinama, kad visos ankstesnės sistemos teisės būtų uždarytos prieš patvirtinant naują prieigą; o darbo santykių nutraukimo procesas reikalauja, kad būtų atliktas nedelstinas prieigos atšaukimas (aukštų privilegijų naudotojams – per keturias valandas), surinktas turtas, pakartotinai patvirtintos politikos ir visa susijusi dokumentacija būtų išlaikoma audituojamumo tikslais. Politikos tikslai apima daugiau nei vien prieigos valdymą. Ji siekia išsaugoti organizacijos turto konfidencialumą, vientisumą, prieinamumą (KVP) personalo perėjimų metu, palaikant audito pėdsaką ir teisinę gynybą, reikalaujant išsamios dokumentacijos Žmogiškųjų išteklių informacinėje sistemoje (HRIS), tapatybės ir prieigos valdyme (IAM) ir turto registre. Nustatytos nedelsiant taikomos turto atkūrimo ir validavimo procedūros, įskaitant IT patikras, skirtas pašalinti likutinius jautrius duomenis, ir fizinės prieigos saugumo kontrolės priemones prieigos kortelėms, įrenginiams ir raktams. Išimčių tvarkymas yra griežtai kontroliuojamas: bet kokiems nukrypimams turi būti atliktas rizikos vertinimas, jie turi būti dokumentuoti ir periodiškai peržiūrimi aukščiausiosios vadovybės (vyriausiojo informacijos saugumo pareigūno (CISO) arba personalo direktoriaus), o likutinė rizika dokumentuojama ir vertinama kas 90 dienų arba pasikeitus situacijai. Suderinta su keliais tarptautiniais pagrindais, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, ES BDAR, NIS2 ir DORA, politika užtikrina, kad organizacijos praktikos atitiktų visus pagrindinius reglamentavimo įpareigojimus. Ji integruoja šių standartų nuostatas, apimančias kompetenciją, prieigos kontrolę, mažiausių privilegijų principą, patikras, žurnalinimo ir stebėsenos politiką ir operacinę valdyseną. Įtraukti vidaus audito ir procesų stebėsenos reikalavimai, su ISVS vadovo priežiūra ir pranešimų apie pažeidimus teikimo mechanizmu. Pažeidimai sukelia drausmines ir teisines pasekmes, o kai susiję asmens duomenys ar reglamentuojami duomenys – eskalavimą reguliavimo institucijoms. Politikos priežiūra taip pat yra tvirta: reikalaujamos metinės peržiūros, atnaujinimai po reikšmingų saugumo ar HR sistemų pakeitimų, incidentais grindžiami atnaujinimai ir pasenusių versijų archyvavimas. Dokumentų kontrolės procedūros išsaugo pakeitimų istoriją ir savininkystės įrašus. Tai susieja operacinį rizikos valdymą su atitiktimi ir atskaitomybe, sudarydama kritinę organizacijos integruotos kontrolės aplinkos dalį per tiesiogines sąsajas su susijusiais politikos dokumentais (saugumo, prieigos kontrolės, naudotojų paskyrų, rizikos valdymo, priimtino naudojimo politikos).