Polityka zatrudniania i zakończenia współpracy

Polityka zatrudniania i zakończenia współpracy (dokument P07) zapewnia kompleksowe, ustandaryzowane ramy zarządzania pełnym cyklem życia dostępu personelu — od wdrażania i transferów wewnętrznych po zakończenie współpracy lub wygaśnięcie umowy. Zaprojektowana dla wszystkich typów użytkowników, w tym pracowników, wykonawców, konsultantów, zewnętrznych dostawców oraz stron trzecich, egzekwuje terminowe i bezpieczne nadawanie dostępu oraz odbieranie uprawnień zarówno do dostępu fizycznego, jak i dostępu logicznego, zapewniając, że każda zmiana jest obsługiwana z właściwą równowagą poufności, uprawnień i rozliczalności oraz kontrolą aktywów. Ta polityka ma zastosowanie w całej organizacji i wymaga, aby wszystkie działy — zasoby ludzkie (HR), IT, zarządzanie obiektami i aktywami, bezpieczeństwo, kierownictwo, prawo i zgodność oraz zgodność — pełniły zdefiniowaną rolę w procesach wdrażania i offboardingu. Określa szczegółowe przepływy pracy: wdrażanie obejmuje sprawdzenie przeszłości, umowę o zachowaniu poufności oraz potwierdzenie zapoznania się z polityką, szkolenie z zakresu świadomości bezpieczeństwa oraz przypisanie dostępu zgodnie z zasadą najmniejszych uprawnień, weryfikowane przez odpowiedzialnych menedżerów; w przypadku transferów wewnętrznych uruchamia przegląd praw dostępu oparty na ryzyku i zapewnia, że wszystkie wcześniejsze uprawnienia systemowe są zamknięte przed zatwierdzeniem nowego dostępu; a proces zakończenia współpracy wymaga, aby wszystkie uprawnienia dostępu zostały cofnięte (użytkownikom uprzywilejowanym w ciągu czterech godzin), aktywa zebrane, polityki ponownie potwierdzone oraz aby cała powiązana dokumentacja była utrzymywana dla audytowalności. Cele polityki wykraczają poza zarządzanie dostępem. Ma ona na celu zachowanie poufności, integralności i dostępności (CIA) aktywów organizacji podczas zmian personalnych, wspierając ścieżkę audytu i obronę prawną poprzez wymaganie rzetelnej dokumentacji w systemie informatycznym zarządzania zasobami ludzkimi (HRIS), zarządzaniu tożsamością i dostępem (IAM) oraz rejestrach aktywów. Określono procedury odzyskiwania i walidacji aktywów, w tym kontrole IT w celu usunięcia rezydualnych danych wrażliwych oraz kontrole obiektowe dla przepustek budynkowych, urządzeń i kluczy. Obsługa wyjątków jest ściśle kontrolowana: wszelkie odstępstwa muszą zostać poddane ocenie ryzyka, udokumentowane i podlegać okresowym przeglądom przez kierownictwo wyższego szczebla (dyrektora ds. bezpieczeństwa informacji (CISO) lub dyrektora HR), a ryzyko szczątkowe musi być udokumentowane i poddawane ocenie ryzyka rezydualnego co 90 dni lub wraz ze zmianą sytuacji. Dostosowana do wielu międzynarodowych ram, w tym ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, unijnego RODO, NIS2 i DORA, polityka zapewnia, że praktyki organizacji spełniają kluczowe obowiązki regulacyjne. Integruje postanowienia tych norm obejmujące kompetencje, kontrolę dostępu, zasadę najmniejszych uprawnień, sprawdzenie przeszłości, rejestrowanie audytowe oraz zarządzanie operacyjne. Wbudowano wymagania dotyczące audytu wewnętrznego i monitorowania procesów, z nadzorem menedżera systemu zarządzania bezpieczeństwem informacji oraz mechanizmu zgłaszania naruszeń. Naruszenia uruchamiają konsekwencje dyscyplinarne i prawne, z eskalacją do organów regulacyjnych, gdy dotyczą danych osobowych lub danych regulowanych. Utrzymanie polityki jest równie solidne: wymaga corocznych przeglądów, aktualizacji po istotnych zmianach w bezpieczeństwie lub systemach HR, aktualizacji wywołanych incydentami oraz archiwizacji wersji wycofanych. Procedury kontroli dokumentów zachowują historię zmian i zapisy własności. Łączy to operacyjne zarządzanie ryzykiem z zgodnością i rozliczalnością, stanowiąc kluczowy element zintegrowanego środowiska kontrolnego organizacji poprzez bezpośrednie powiązania z powiązanymi dokumentami polityk (bezpieczeństwo, kontrola dostępu, konta użytkowników, zarządzanie ryzykiem, polityka dopuszczalnego użytkowania).