policy SME

Polityka zarządzania kontami użytkowników i uprawnieniami – MŚP

Kompleksowa polityka bezpiecznego zarządzania kontami użytkowników i uprawnieniami dostosowana do MŚP, zapewniająca identyfikowalny dostęp i zgodność regulacyjną.

Przegląd

Ta polityka przedstawia jasne, praktyczne wymagania dotyczące zarządzania kontami użytkowników i uprawnieniami dostępu w MŚP. Wymaga identyfikowalnego dostępu opartego na rolach, okresowych przeglądów, standardów haseł oraz sformalizowanego wdrażania i offboardingu. Dyrektor generalny ponosi ogólną odpowiedzialność, wspierany przez Kierownika ds. IT, a wszystkie procesy zapewniają zgodność z ISO/IEC 27001, RODO, NIS2 i innymi wymaganiami.

Bezpieczeństwo kont w całym cyklu życia

Obejmuje pełny cykl życia kont użytkowników — od utworzenia do dezaktywacji — zapewniając, że cały dostęp jest udokumentowany i identyfikowalny.

Role i prostota dostosowane do MŚP

Deleguje odpowiedzialności na Dyrektora generalnego i Kierownika ds. IT, co odpowiada organizacjom bez dużych zespołów IT.

Zgodność regulacyjna

Jest zgodna z ISO/IEC 27001:2022, RODO, NIS2 i DORA, zapewniając zgodność z wieloma normami.

Zasada najmniejszych uprawnień

Minimalizuje ryzyko poprzez egzekwowanie wyłącznie niezbędnego dostępu oraz obowiązkowych akceptacji dla podniesionych uprawnień.

Czytaj pełny przegląd
Polityka zarządzania kontami użytkowników i uprawnieniami (P11S) to kompleksowa oferta ukierunkowana na MŚP, zaprojektowana do nadzorowania tworzenia, używania, monitorowania oraz usuwania kont użytkowników i uprawnień w organizacji. Jako polityka dostosowana do globalnych norm i wymogów regulacyjnych ustanawia ramy zapewniające, że wyłącznie uprawnieni użytkownicy mają właściwy dostęp — jest to kluczowy środek kontrolny służący zapobieganiu nieuprawnionemu dostępowi i ograniczaniu zagrożeń wewnętrznych. P11S została napisana specjalnie dla małych i średnich przedsiębiorstw (MŚP), co odzwierciedla odpowiedzialność Dyrektora generalnego (GM) oraz brak złożonych struktur ładu IT, takich jak dedykowane centrum operacji bezpieczeństwa (SOC) czy Dyrektor ds. bezpieczeństwa informacji (CISO). Takie podejście sprawia, że kontrola dostępu o wysokim poziomie zapewnienia jest osiągalna i możliwa do utrzymania w organizacjach bez dużych zespołów bezpieczeństwa, przy zachowaniu zgodności z ISO/IEC 27001:2022 i powiązanymi ramami. Polityka ma zastosowanie do wszystkich pracowników, wykonawców, stażystów oraz stron trzecich mających dostęp do systemów informatycznych organizacji. Obejmuje tradycyjne konta użytkowników, konta administratorów i konta usługowe, a także tymczasowe dane uwierzytelniające. Zasady obejmują cały cykl życia konta — od wdrażania i nadawania dostępu, przez okresowe przeglądy dostępu, po cofnięcie uprawnień dostępu w ramach offboardingu. Każdemu użytkownikowi przypisuje się unikalną, identyfikowalną tożsamość w celu zapewnienia rozliczalności, a współdzielone poświadczenia są wyraźnie zabronione, z wyjątkiem kontrolowanych, udokumentowanych odstępstw. Uprawnienia uprzywilejowane muszą przejść dodatkową warstwę uzasadnienia i autoryzacji, zawsze z wymogiem dokumentowania i okresowego przeglądu. Role i odpowiedzialności są uproszczone i jednoznaczne: GM zapewnia ogólny nadzór, dbając o przestrzeganie polityki oraz obsługę wszelkich incydentów bezpieczeństwa informacji związanych z kontami użytkowników. Zadania wdrożeniowe i wymuszenie techniczne realizuje Kierownik ds. IT (lub zewnętrzny dostawca IT), który zarządza nadawaniem dostępu, wyłączaniem, monitorowaniem oraz rejestrowaniem audytowym — ściśle na podstawie udokumentowanych ścieżek akceptacji. Bezpośredni przełożony odgrywa kluczową rolę w składaniu wniosków o dostęp, przeglądach i walidacji dostępu w miarę zmian ról członków zespołu, a każdy użytkownik odpowiada za ochronę swoich danych uwierzytelniających i zgłaszanie incydentów w przypadku podejrzanej aktywności. Polityka jest ściśle zarządzana: wszystkie zmiany kont, tworzenie, dezaktywacje oraz podniesienie uprawnień systemowych muszą być rejestrowane i powiązane z imiennie wskazanymi osobami. Okresowe przeglądy uprawnień dostępu są wymagane co najmniej co sześć miesięcy. Złożoność haseł, uwierzytelnianie wieloskładnikowe tam, gdzie to możliwe, blokada konta po nieudanych próbach oraz systematyczny przegląd kont usługowych i dostępu stron trzecich są wbudowane w zasady. Procedury offboardingu zapewniają szybkie wycofywanie dostępu oraz odzyskiwanie wszystkich tokenów dostępu lub urządzeń, ograniczając ryzyko utrzymującego się dostępu. Zarządzanie wyjątkami jest utrzymywane na wysokim poziomie: każde odstępstwo od podstawowej polityki (np. rzadkie użycie kont współdzielonych lub testowych) musi być uzasadnione na piśmie, objęte kontrolami kompensacyjnymi, przeglądane kwartalnie i podlegać docelowemu cofnięciu uprawnień dostępu. Konta awaryjne „break glass” są dozwolone wyłącznie w określonych, udokumentowanych warunkach i muszą zostać zresetowane po użyciu. Polityka wymaga regularnych audytów, przeglądów po incydencie oraz corocznych aktualizacji w celu utrzymania zgodności z ewoluującymi wymaganiami regulacyjnymi i biznesowymi. Na koniec polityka odsyła wprost do polityk towarzyszących, które obejmują odpowiednio zarządzanie, kontrolę dostępu, politykę zatrudniania i zakończenia współpracy, szkolenie z zakresu świadomości bezpieczeństwa oraz reagowanie na incydenty, zapewniając holistyczne podejście do zarządzania dostępem i zgodności.

Diagram polityki

Diagram Polityki zarządzania kontami użytkowników i uprawnieniami przedstawiający etapy cyklu życia konta, w tym utworzenie, akceptację, monitorowanie, przegląd uprawnień oraz offboarding z punktami kontrolnymi zgodności.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres i zasady współpracy

Wymagania dotyczące uprawnień i kontroli dostępu

Zarządzanie cyklem życia kont

Wymagania dotyczące haseł i uwierzytelniania wieloskładnikowego

Offboarding i dostęp awaryjny

Postępowanie z ryzykiem i zarządzanie wyjątkami

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27001:2022
5.38.1
ISO/IEC 27002:2022
8.2
NIST SP 800-53 Rev.5
AC-2AC-5AC-6
EU NIS2
Article 21(2)(d)
EU DORA
Article 9(2)(b)
COBIT 2019
DSS05.03DSS05.04
EU GDPR
Article 32

Powiązane polityki

Polityka ról i odpowiedzialności w zarządzaniu – MŚP

Ustanawia rozliczalność oraz uprawnienia decyzyjne dla akceptacji dostępu i nadzoru.

Polityka kontroli dostępu – MŚP

Reguluje egzekwowanie kontroli dostępu w całych systemach oraz mechanizmy uwierzytelniania.

Polityka zatrudniania i zakończenia współpracy – MŚP

Zapewnia, że tworzenie i usuwanie kont jest wbudowane w zmiany kadrowe zarządzane przez zasoby ludzkie (HR).

Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji – MŚP

Zapewnia szkolenie z zakresu świadomości bezpieczeństwa dotyczące praktyk bezpiecznego korzystania z kont i oczekiwań użytkowania.

Polityka reagowania na incydenty (P30) – MŚP

Określa działania, które należy podjąć, jeśli nadużycie konta prowadzi do naruszenia ochrony danych lub nieuprawnionego dostępu.

O politykach Clarysec - Polityka zarządzania kontami użytkowników i uprawnieniami – MŚP

Ogólne polityki bezpieczeństwa są często tworzone z myślą o dużych korporacjach, przez co małe firmy mają trudność z zastosowaniem złożonych zasad i niejednoznacznych ról. Ta polityka jest inna. Nasze polityki dla MŚP są projektowane od podstaw z myślą o praktycznym wdrożeniu w organizacjach bez dedykowanych zespołów bezpieczeństwa. Przypisujemy odpowiedzialności do ról, które faktycznie posiadasz — takich jak Dyrektor generalny i Twój dostawca IT — a nie do armii specjalistów, których nie masz. Każde wymaganie jest rozbite na unikalnie ponumerowaną klauzulę (np. 5.2.1, 5.2.2). Dzięki temu polityka staje się jasną listą kontrolną krok po kroku, co ułatwia wdrożenie, gotowość do audytu i dostosowanie bez przepisywania całych sekcji.

Gotowe do audytu zapisy dostępu

Utrzymuje szczegółowe rejestry zdarzeń wszystkich aktywności na kontach i akceptacji przez 12 miesięcy, upraszczając audyty regulacyjne i dochodzenia.

Kwartalne przeglądy wyjątków

Zapewnia, że każdy dostęp specjalny (np. testowy lub awaryjny) jest ściśle kontrolowany, uzasadniony i regularnie ponownie oceniany.

Spójny proces offboardingu

Integruje jasne kroki listy kontrolnej dla natychmiastowego usunięcia kont, odzyskiwania aktywów oraz obsługi certyfikatów przy odejściu pracownika.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

IT Bezpieczeństwo Zgodność

🏷️ Zakres tematyczny

kontrola dostępu zarządzanie tożsamością zarządzanie dostępem uprzywilejowanym (PAM) zarządzanie zgodnością centrum operacji bezpieczeństwa (SOC)
€29

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje
User Account and Privilege Management Policy - SME

Szczegóły produktu

Typ: policy
Kategoria: SME
Standardy: 7