Darba attiecību uzsākšanas un izbeigšanas politika

Darba attiecību uzsākšanas un izbeigšanas politika (dokuments P07) nodrošina visaptverošu, standartizētu ietvaru personāla piekļuves pilna dzīves cikla pārvaldībai — no ievadīšanas un iekšējiem pārvedumiem līdz izbeigšanas procesam vai līguma termiņa beigām. Tā ir paredzēta visiem lietotāju veidiem, tostarp darbiniekiem, līgumslēdzējiem, konsultantiem, piegādātājiem un trešajām pusēm, un tā nodrošina savlaicīgu un drošu piekļuves piešķiršanu un piekļuves tiesību anulēšanu gan fiziskajai piekļuvei, gan loģiskajai piekļuvei, nodrošinot, ka katra pāreja tiek apstrādāta ar atbilstošu konfidencialitāti, pilnvarām un pārskatatbildību, kā arī aktīvu kontroli. Šī politika ir piemērojama visā organizācijā un nosaka, ka visām struktūrvienībām — Cilvēkresursiem (HR), IT, objektu un aktīvu pārvaldībai, drošībai, vadībai, juridiskajām lietām un atbilstībai — ir definēta loma ievadīšanas un darbinieka atiešanas procesu procesos. Tā paredz detalizētas darbplūsmas: ievadīšana ietver fona pārbaudes, konfidencialitātes līgumu un politikas iepazīšanās apliecinājumu, drošības izpratnes apmācību un minimālo privilēģiju principa piekļuves piešķiršanu, ko pārskata atbildīgie vadītāji; iekšējo pārvedumu gadījumā tā aktivizē uz risku balstītu piekļuves tiesību pārskatīšanu un nodrošina, ka visas iepriekšējās sistēmu piekļuves tiesības tiek slēgtas pirms jaunas piekļuves apstiprināšanas; savukārt izbeigšanas process prasa, lai visa piekļuve tiktu atsaukta (privilēģētie konti — četru stundu laikā), aktīvi savākti, politikas atkārtoti apliecinātas un visa saistītā dokumentācija uzturēta auditējamības nodrošināšanai. Politikas mērķi pārsniedz tikai piekļuves pārvaldību. Tā mērķis ir saglabāt konfidencialitāti, integritāti, pieejamību organizācijas aktīviem personāla pāreju laikā, atbalstot audita pēdas un tiesisko aizsardzību, pieprasot rūpīgu dokumentēšanu personālvadības informācijas sistēmā (HRIS), identitātes un piekļuves pārvaldībā (IAM) un aktīvu reģistrā. Ir noteiktas tūlītējas aktīvu atgūšanas un validācijas procedūras, tostarp IT pārbaudes, lai noņemtu atlikušos sensitīvos datus, un objektu kontroles pasākumi piekļuves kartēm, ierīcēm un atslēgām. Izņēmumu apstrāde ir stingri kontrolēta: jebkuras novirzes ir jāveic riska novērtēšana, tās jādokumentē un periodiski jāpārskata augstākajai vadībai (CISO vai personāla nodaļas vadītājam), bet atlikušais risks jādokumentē un jāveic atlikušā riska novērtēšana ik pēc 90 dienām vai mainoties situācijai. Saskaņota ar vairākiem starptautiskiem ietvariem, tostarp ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, ES GDPR, NIS2 un DORA, politika nodrošina, ka organizācijas prakses aptver visas galvenās regulatīvās prasības. Tā integrē šo standartu prasības par kompetenci, piekļuves kontroli, minimālo privilēģiju principu, fona pārbaudēm, audita žurnālu veidošanu un operacionālo pārvaldību. Iekšējais audits un procesu uzraudzības prasības ir iebūvētas, ar ISMS pārvaldības sistēmas vadītāja uzraudzību un trauksmes celšanas mehānisma ziņošanas iespējām. Pārkāpumi izraisa disciplināras un juridiskas sekas, ar eskalāciju regulatīvajām iestādēm, ja ir iesaistīti personas dati vai reglamentēti dati. Politikas uzturēšana ir tikpat stingra: tā nosaka ikgadējus pārskatus, atjauninājumus pēc būtiskām drošības vai personālvadības informācijas sistēmas (HRIS) izmaiņām, atjauninājumus pēc incidentiem un novecojušu versiju arhivēšanu. Dokumentu kontroles procedūras saglabā izmaiņu vēsturi un īpašumtiesību ierakstus. Tas sasaista operacionālo risku pārvaldību ar atbilstību un pārskatatbildību, veidojot būtisku organizācijas integrētās kontroles vides daļu, izmantojot tiešas saites uz saistītajiem politikas dokumentiem (drošība, piekļuves kontroles politika, lietotāju konti, risku pārvaldība, pieļaujamās izmantošanas politika).