policy SME

Darba attiecību uzsākšanas un izbeigšanas politika – MVU

Nodrošiniet drošu ievadīšanu un darbinieka atiešanas procesu ar strukturētiem uzņemšanas/izbeigšanas kontrolsarakstiem, piekļuves kontroli un atbilstību MVU, saskaņotu ar ISO 27001 un NIS2.

Pārskats

Šī MVU darba attiecību uzsākšanas un izbeigšanas politika nosaka standartizētas, auditējamas darbības drošai lietotāju piekļuves pārvaldībai, aktīvu kontrolei un atbilstībai pieņemšanas darbā, darbinieka atiešanas procesā vai lomu izmaiņās. Tā ir strukturēta organizācijām bez specializētām IT un informācijas drošības komandām, vienlaikus izpildot tādu ietvaru prasības kā ISO/IEC 27001:2022.

Drošs lietotāja dzīves cikls

Visaptveroši kontroles pasākumi ievadīšanai un izbeigšanas procesam, lai novērstu nesankcionētu piekļuvi un datu zudumu.

Strukturēts, auditējams process

Nosaka uzņemšanas/izbeigšanas kontrolsarakstus un starpfunkcionālus apstiprinājumus piekļuves piešķiršanai, aktīvu kontrolei un dokumentācijai.

MVU pielāgotas lomas

Lomas ir vienkāršotas MVU, nodrošinot atbilstību bez specializētām IT un drošības komandām.

Regulatīvā atbilstība

Saskaņota ar ISO/IEC 27001:2022, GDPR, NIS2, DORA un cilvēkresursu (HR) drošības prasībām COBIT ietvarā.

Lasīt pilnu pārskatu
Darba attiecību uzsākšanas un izbeigšanas politika (P07S) ir kritisks kontroles pasākums organizācijām, kas vēlas pārvaldīt pilnu lietotāju piekļuves dzīves ciklu drošā, atbilstošā un auditējamā veidā. Šī politika ir īpaši pielāgota mazajiem un vidējiem uzņēmumiem (MVU), ko norāda “S” dokumenta numurā un atbildības piešķiršana tādām lomām kā galvenais izpilddirektors un biroja vadītājs/personāla nodaļa, nevis specializētām komandām, piemēram, galvenais informācijas drošības vadītājs (CISO) vai drošības operāciju centrs (SOC). Vienlaikus tā atbilst galveno ietvaru prasībām, tostarp ISO/IEC 27001:2022. Politikas mērķis ir definēt, standartizēt un dokumentēt procesus jaunu darbinieku, līgumslēdzēju un trešo pušu pakalpojumu sniedzēju ievadīšanai, vienlaikus nodrošinot stingrus kontroles pasākumus izbeigšanas procesam vai iekšējām lomu izmaiņām. Tā ievieš minimālo privilēģiju principu piekļuves piešķiršanā, izmanto uzņemšanas/izbeigšanas kontrolsarakstus, lai formalizētu aktīvu izsniegšanas un atdošanas pārbaudi, un nosaka dokumentētus žurnālus kontu un aktīvu izmaiņām. Izbeigšanas darbības ir vērstas uz savlaicīgu piekļuves tiesību atsaukšanu, uzņēmuma aktīvu atgūšanu un digitālo identitāšu drošu slēgšanu, lai kontrolētu nesankcionētas piekļuves vai datu ekspozīcijas risku. Lomas un pienākumi ir noteikti atbilstoši tipiskām MVU struktūrām. Galvenais izpilddirektors nodrošina programmas uzraudzību un apstiprina augstu privilēģiju lietotājus, biroja vadītājs vai personāla nodaļa uzsāk ievadīšanu/darbinieka atiešanas procesu un uztur uzņemšanas/izbeigšanas kontrolsarakstus, bet IT (iekšējais vai ārējais pakalpojumu sniedzējs) pārvalda kontus un aparatūru. Struktūrvienību vadītāji nodrošina, ka paziņojumi par lomu izmaiņām tiek izpildīti, savukārt katram darbiniekam vai līgumslēdzējam ir pienākums ievērot drošības apmācību un aktīvu atdošanas procesus. Pārvaldības prasības ir stingras: jāizmanto uzņemšanas/izbeigšanas kontrolsaraksti, jāuztur piekļuves kontroles reģistrs un aktīvu uzskaite, kā arī nekavējoties jāapstrādā ārkārtas deaktivizācijas. Izņēmumu un riska apstrādes procedūras ir skaidri definētas, nosakot dokumentāciju, paziņošanu galvenajam izpilddirektoram un kompensējošās kontroles, ja standarta soļi tiek izlaisti operatīvas steidzamības dēļ. Atbilstība tiek nodrošināta ar regulāru uzraudzību, izlases pārskatīšanām un skaidrām sekām neatbilstības gadījumā, piemēram, mērķtiecīgu atkārtotu apmācību vai eskalāciju. Nosakot ikgadējas pārskatīšanas, operatīvas atjaunināšanas procesu vai normatīvo prasību izmaiņu gadījumā un politikas grozījumu komunikāciju visam attiecīgajam personālam, šī politika atbalsta nepārtrauktu uzlabošanu. Tā ir strukturēta, lai palīdzētu MVU efektīvi izpildīt atbilstības, operatīvās integritātes un datu aizsardzības prasības arī organizācijās bez sarežģītām drošības struktūrām.

Politikas diagramma

Darba attiecību uzsākšanas un izbeigšanas politikas diagramma, kas parāda soli pa solim procesus jaunpieņemto darbinieku piekļuvei, aktīvu izsniegšanai, lietotāju aiziešanai ar savlaicīgu deaktivizāciju, lomu izmaiņām un atbilstības kontrolpunktiem.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Piemērošanas joma un iesaistes noteikumi

Uzņemšanas/izbeigšanas kontrolsaraksti

Piekļuves žurnāla un aktīvu uzskaites atjauninājumi

Uz lomām balstīta piekļuves tiesību piešķiršana

Trešo pušu un līgumslēdzēju darbinieka atiešanas process

Izņēmumu un riska apstrādes procedūras

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27001:2022
6.27.2
ISO/IEC 27002:2022
6.26.5
NIST SP 800-53 Rev.5
PS-4AC-2PL-4
EU NIS2
Article 21(2)(h)
EU DORA
Article 12
COBIT 2019
APO07DSS01
EU GDPR
Article 32

Saistītās politikas

Pārvaldības lomas un pienākumu politika – MVU

Nodrošina pilnvaras un pārskatatbildību piekļuves un ievadīšanas procesos

Piekļuves kontroles politika – MVU

Nosaka tehnisko piespiedu izpildi lomu balstītai piekļuves piešķiršanai un deaktivizācijai

Riska pārvaldības politika – MVU

Novērtē riskus, kas rodas ievadīšanas un izbeigšanas kontroles pasākumu kļūmju dēļ

Informācijas drošības informētības un apmācības politika – MVU

Nosaka personāla orientācijas un apmācību prasības ievadīšanas laikā

Incidentu reaģēšanas politika (P30) – MVU

Kvalificē piekļuves tiesību anulēšanas neizpildi vai aktīvu zādzību kā drošības incidentus

Par Clarysec politikām - Darba attiecību uzsākšanas un izbeigšanas politika – MVU

Vispārīgas drošības politikas bieži tiek veidotas lielām korporācijām, un mazajiem uzņēmumiem ir grūti piemērot sarežģītus noteikumus un neskaidri definētas lomas. Šī politika ir citāda. Mūsu MVU politikas ir izstrādātas praktiskai ieviešanai organizācijās bez specializētām drošības komandām. Mēs piešķiram atbildību lomām, kas jums faktiski ir, piemēram, galvenais izpilddirektors un jūsu IT pakalpojumu sniedzējs, nevis speciālistu komandai, kas jums nav. Katra prasība ir sadalīta unikāli numurētā klauzulā (piem., 5.2.1, 5.2.2). Tas pārvērš politiku par skaidru soli pa solim kontrolsarakstu, padarot to viegli ieviešamu, auditējamu un pielāgojamu, nepārrakstot veselas sadaļas.

Detalizēta lomu piešķiršana

Uzdevumi un pienākumi sadalīti starp reālām MVU lomām: galvenais izpilddirektors, personāla nodaļa, IT, struktūrvienību vadītāji un personāls.

Atomiska klauzulu struktūra

Katra prasība ir unikāli numurēta, lai atvieglotu auditēšanu, deleģēšanu un izsekošanu; vairs nav neskaidru rindkopu.

Izņēmumu apstrādes process

Ārkārtas ievadīšanas/darbinieka atiešanas procesa soļi ir jādokumentē, jāpamato un jānovērš trūkumi, nodrošinot pilnu pārskatatbildību.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Cilvēkresursi (HR) IT Drošība Atbilstība

🏷️ Tematiskais pārklājums

Cilvēkresursu drošība Piekļuves kontrole Identitātes pārvaldība Atbilstības pārvaldība
€29

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi
Onboarding and Termination Policy - SME

Produkta informācija

Veids: policy
Kategorija: SME
Standarti: 7