policy SME

Polityka zatrudniania i zakończenia współpracy - SME

Zapewnij bezpieczne wdrażanie i offboarding dzięki ustrukturyzowanym listom kontrolnym, kontroli dostępu i zgodności dla MŚP, zgodnie z ISO 27001 i NIS2.

Przegląd

Ta Polityka zatrudniania i zakończenia współpracy dla MŚP definiuje ustandaryzowane, audytowalne kroki bezpiecznego zarządzania dostępem użytkowników, kontrolą aktywów i zgodnością podczas zatrudniania, odejścia lub zmiany roli. Jest ustrukturyzowana dla organizacji bez dedykowanych zespołów ds. bezpieczeństwa IT, przy jednoczesnym spełnieniu wymagań kluczowych ram, takich jak ISO/IEC 27001:2022.

Bezpieczny cykl życia użytkownika

Kompleksowe zabezpieczenia dla wdrażania i zakończenia współpracy, aby zapobiegać nieuprawnionemu dostępowi i utracie danych (DLP).

Ustrukturyzowany, audytowalny proces

Wymaga list kontrolnych i międzyfunkcyjnych zatwierdzeń dla nadawania dostępu, kontroli aktywów i dokumentacji.

Role dostosowane do MŚP

Role są uproszczone dla MŚP, umożliwiając zgodność bez dedykowanych zespołów ds. bezpieczeństwa informacji.

Zgodność regulacyjna

Zgodne z ISO/IEC 27001:2022, RODO, NIS2, DORA oraz wymogami bezpieczeństwa HR COBIT.

Czytaj pełny przegląd
Polityka zatrudniania i zakończenia współpracy (P07S) stanowi kluczowy środek kontrolny dla organizacji, które chcą zarządzać pełnym cyklem życia dostępu użytkowników w sposób bezpieczny, zgodny i audytowalny. Polityka jest dostosowana do małych i średnich przedsiębiorstw (MŚP), co odzwierciedla litera „S” w numerze dokumentu oraz przypisanie odpowiedzialności rolom takim jak dyrektor generalny i Office Manager/HR, zamiast zespołom specjalistycznym, takim jak dedykowany Dyrektor ds. bezpieczeństwa informacji (CISO) czy centrum operacji bezpieczeństwa (SOC). Jednocześnie spełnia wymagania kluczowych ram, w tym ISO/IEC 27001:2022. Celem polityki jest zdefiniowanie, ustandaryzowanie i udokumentowanie procesów wdrażania nowych pracowników, wykonawców oraz dostawców usług stron trzecich, przy jednoczesnym zapewnieniu solidnych zabezpieczeń dla zakończenia współpracy lub wewnętrznej zmiany roli. Egzekwuje zasadę najmniejszych uprawnień podczas nadawania dostępu, wykorzystuje listy kontrolne do sformalizowania weryfikacji wydania i zwrotu aktywów oraz wymaga prowadzenia udokumentowanych rejestrów zmian kont i aktywów. Działania związane z zakończeniem współpracy koncentrują się na szybkim cofnięciu uprawnień dostępu, odzyskiwaniu aktywów organizacji oraz bezpiecznym zamknięciu tożsamości cyfrowych, aby kontrolować ryzyko nieuprawnionego dostępu lub ekspozycji danych. Role i odpowiedzialności są wyznaczone tak, aby pasowały do typowych struktur MŚP. Dyrektor generalny sprawuje nadzór nad programem i zatwierdza dostęp o wysokich uprawnieniach, Office Manager lub zasoby ludzkie (HR) inicjuje wdrażanie/offboarding i utrzymuje listy kontrolne, a IT (wewnętrzny lub zewnętrzny dostawca) zarządza kontami i sprzętem. Kierownicy działów zapewniają, że powiadomienia o zmianach ról są realizowane, a każdy pracownik lub wykonawca ma obowiązek przestrzegania szkoleń z zakresu bezpieczeństwa oraz procesów zwrotu aktywów. Wymagania dotyczące zarządzania są rozbudowane i obejmują stosowanie list kontrolnych przyjęcia i zakończenia zatrudnienia, utrzymanie rejestru kontroli dostępu oraz wykazu aktywów, a także natychmiastową obsługę awaryjnych dezaktywacji. Procedury obsługi wyjątków i ryzyka są jasno zdefiniowane, wymagając dokumentacji, powiadomienia dyrektora generalnego oraz kontroli kompensacyjnych, jeśli standardowe kroki zostaną pominięte z powodu pilnej potrzeby operacyjnej. Zgodność jest egzekwowana poprzez regularne monitorowanie, przeglądy próbek oraz jasne konsekwencje niezgodności, takie jak ukierunkowane ponowne szkolenie lub eskalacja. Poprzez wyraźne wymaganie corocznych przeglądów, reaktywnych aktualizacji w przypadku zmian procesowych lub regulacyjnych oraz komunikowania zmian polityki wszystkim właściwym pracownikom, polityka wspiera ciągłe doskonalenie. Jest ustrukturyzowana tak, aby pomóc MŚP efektywnie spełniać wymagania zgodności, integralności operacyjnej i ochrony danych, nawet w organizacjach bez złożonych struktur bezpieczeństwa.

Diagram polityki

Diagram Polityki zatrudniania i zakończenia współpracy pokazujący procesy krok po kroku dla dostępu nowego pracownika, wydania aktywów, odejść użytkowników z terminową dezaktywacją, zmian ról oraz punktów kontrolnych zgodności.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres i zasady współpracy

Listy kontrolne przyjęcia i zakończenia zatrudnienia

Aktualizacje dziennika dostępu i wykaz aktywów

Nadawanie dostępu oparte na rolach

Offboarding wykonawców i stron trzecich

Procedury obsługi wyjątków i postępowania z ryzykiem

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27001:2022
6.27.2
ISO/IEC 27002:2022
6.26.5
NIST SP 800-53 Rev.5
PS-4AC-2PL-4
EU NIS2
Article 21(2)(h)
EU DORA
Article 12
COBIT 2019
APO07DSS01
EU GDPR
Article 32

Powiązane polityki

Polityka ról i odpowiedzialności w zarządzaniu - SME

Zapewnia uprawnienia i rozliczalność w procesach dostępu i wdrażania.

Polityka kontroli dostępu SME

Ustanawia wymuszenie techniczne nadawania dostępu opartego na rolach oraz dezaktywacji.

Polityka zarządzania ryzykiem SME

Ocena ryzyka wynikająca z nieskuteczności kontroli wdrażania i zakończenia współpracy.

Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji SME

Egzekwuje wymogi orientacji personelu podczas wdrażania.

Polityka reagowania na incydenty (P30) SME

Traktuje brak odebrania uprawnień lub kradzież aktywów jako incydenty bezpieczeństwa.

O politykach Clarysec - Polityka zatrudniania i zakończenia współpracy - SME

Ogólne polityki bezpieczeństwa są często tworzone dla dużych korporacji, przez co małe firmy mają trudność z zastosowaniem złożonych zasad i niejasno zdefiniowanych ról. Ta polityka jest inna. Nasze polityki dla MŚP są projektowane od podstaw z myślą o praktycznym wdrożeniu w organizacjach bez dedykowanych zespołów bezpieczeństwa. Przypisujemy odpowiedzialności do ról, które faktycznie posiadasz, takich jak dyrektor generalny i Twój dostawca IT, a nie do armii specjalistów, których nie masz. Każde wymaganie jest rozbite na unikalnie ponumerowaną klauzulę (np. 5.2.1, 5.2.2). Dzięki temu polityka staje się jasną, krok po kroku listą kontrolną, co ułatwia wdrożenie, audyt i dostosowanie bez przepisywania całych sekcji.

Szczegółowe przypisania ról

Zadania i odpowiedzialności podzielone między rzeczywiste role MŚP: dyrektor generalny, zasoby ludzkie (HR), IT, kierownicy działów i personel.

Struktura klauzul atomowych

Każde wymaganie ma unikalny numer dla łatwego audytu, delegowania i śledzenia statusu — koniec z niejednoznacznymi akapitami.

Proces obsługi wyjątków

Awaryjne kroki wdrażania/offboardingu muszą być udokumentowane, uzasadnione i naprawione dla pełnych uprawnień i rozliczalności.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

zasoby ludzkie (HR) IT bezpieczeństwo Zgodność

🏷️ Zakres tematyczny

bezpieczeństwo zasobów ludzkich kontrola dostępu zarządzanie tożsamością zarządzanie zgodnością
€29

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje
Onboarding and Termination Policy - SME

Szczegóły produktu

Typ: policy
Kategoria: SME
Standardy: 7