policy Enterprise

Polityka zarządzania kontami użytkowników i uprawnieniami

Ustanów solidne kontrole kont i uprawnień dzięki tej kompleksowej polityce, aby ograniczyć ryzyko dostępu, zapewnić zgodność i wspierać bezpieczne operacje.

Przegląd

Niniejsza polityka wymaga ustrukturyzowanych, audytowalnych środków kontrolnych dla zarządzania kontami użytkowników i uprawnieniami w całej organizacji, zapewniając, że dostęp jest autoryzowany, monitorowany oraz zgodny z głównymi normami bezpieczeństwa.

Egzekwowana zasada najmniejszych uprawnień

Prawa dostępu i uprawnienia dostępu są przypisywane ściśle zgodnie z zasadą wiedzy koniecznej, minimalizując ryzyko nieuprawnionego dostępu.

Kompleksowy zakres

Dotyczy wszystkich kont użytkowników, w tym pracowników, wykonawców i zewnętrznych dostawców, w środowiskach: chmura obliczeniowa, infrastruktura lokalna oraz dostęp zdalny.

Solidne uwierzytelnianie

Wymaga silnego uwierzytelniania, z uwzględnieniem złożoności haseł, uwierzytelniania wieloskładnikowego oraz monitorowania i rejestrowania sesji dla sesji uprzywilejowanych.

Czytaj pełny przegląd
Polityka zarządzania kontami użytkowników i uprawnieniami (Dokument P11) zapewnia ustrukturyzowane i obowiązkowe ramy kontrolowania sposobu, w jaki konta użytkowników i uprawnienia dostępu są zarządzane we wszystkich systemach informatycznych organizacji i technologiach. Jej podstawowym celem jest zapewnienie, że zasoby organizacji są dostępne wyłącznie dla osób upoważnionych, zgodnie ze zwalidowanymi rolami i potrzebami operacyjnymi. Polityka uznaje i egzekwuje kluczowe zasady bezpieczeństwa informacji, takie jak zasada najmniejszych uprawnień oraz rozdzielenie obowiązków (SoD), i wymaga audytowalnych procesów dla nadawania dostępu, zarządzania, monitorowania oraz cofnięcia uprawnień dostępu do kont użytkowników. Mająca zastosowanie do wszystkich użytkowników, w tym pracowników, wykonawców, dostawców usług stron trzecich oraz konsultantów, polityka reguluje każdy system, w którym występuje uwierzytelnianie użytkownika. Ten kompleksowy zakres obejmuje aplikacje biznesowe, środowiska chmury obliczeniowej i SaaS, systemy administracyjne oraz narzędzia dostępu zdalnego, a także zarządzanie tożsamością i dostępem (IAM). Zarówno konta standardowe, jak i konta uprzywilejowane podlegają jej wymaganiom, ze szczególnym naciskiem na unikalne nazwy użytkowników dla każdego konta oraz zapobieganie używaniu współdzielonych poświadczeń lub kont współdzielonych/genericznych (z wyjątkiem ściśle kontrolowanych scenariuszy awaryjnych). Kluczowe cele polityki obejmują egzekwowanie unikalnych, uzasadnionych i możliwych do śledzenia kont użytkowników; wdrażanie kontroli zasady najmniejszych uprawnień w celu ochrony przed nadmiernym korzystaniem z praw dostępu; wymaganie szybkich zmian statusu kont po zmianach ról lub zakończeniu współpracy; oraz centralizację działań w zakresie zarządzania cyklem życia dostępu dla spójności i audytowalności. Ustanowiono postanowienia dotyczące proaktywnego wykrywania uśpionych danych uwierzytelniających użytkownika lub niewłaściwie używanych kont poprzez regularne przeglądy dostępu oraz wykorzystanie zautomatyzowanych narzędzi. Polityka została wyraźnie zaprojektowana w celu dostosowania do wiodących norm bezpieczeństwa (takich jak ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR oraz COBIT 2019), aby spełnić zarówno wymagania regulacyjne, jak i najlepsze praktyki branżowe. Role i obowiązki są jasno zdefiniowane — od nadzoru dyrektora ds. bezpieczeństwa informacji (CISO) i zarządzania wyjątkami, przez działania techniczne administratorów kontroli dostępu, autoryzacje dostępu przez kierowników działów, po integrację HR z procesami wdrażania i offboardingu. Procedury zapewniają, że tworzenie, modyfikacja i dezaktywacja kont są ściśle nadzorowane, a dostęp uprzywilejowany podlega dodatkowej weryfikacji, zatwierdzeniom, dostępowi ograniczonemu czasowo oraz wzmocnionemu rejestrowaniu audytowemu. Kontrole uwierzytelniania, w tym obowiązkowe zarządzanie hasłami, uwierzytelnianie wieloskładnikowe dla kluczowych kont, blokowanie sesji oraz bezpieczne protokoły dostępu zdalnego, stanowią podstawowy wymóg, zapewniając, że weryfikacja tożsamości nie może zostać ominięta. Solidne monitorowanie, rejestrowanie audytowe oraz okresowe przeglądy pomagają utrzymywać dokładne wykazy aktywnych użytkowników i egzekwować zgodność. Obsługa wyjątków jest oparta na ryzyku i kontrolowana, a scenariusze dostępu awaryjnego („break-glass”) otrzymują szczególną uwagę proceduralną. Obowiązkowa zgodność jest podkreślona przez progresywny model egzekwowania, obejmujący wyłączenie dostępu, ukierunkowane ponowne trenowanie, środki dyscyplinarne oraz eskalację prawną/regulacyjną w przypadku naruszeń. Integracja z powiązanymi politykami organizacyjnymi zapewnia spójne podejście we wszystkich obszarach bezpieczeństwa informacji, a wymóg corocznych (lub wyzwalanych zdarzeniami) przeglądów polityki gwarantuje ciągłe doskonalenie i dostosowanie do ewoluujących systemów, modeli biznesowych oraz krajobrazu regulacyjnego. Polityka zarządzania kontami użytkowników i uprawnieniami stanowi fundament strategii zarządzania ryzykiem organizacji, wzmacniając bezpieczeństwo operacyjne i zgodność regulacyjną.

Diagram polityki

Diagram ilustrujący zarządzanie cyklem życia dostępu dla kont użytkowników, pokazujący nadawanie dostępu, przypisanie uprawnień, monitorowanie, okresowy przegląd, obsługę wyjątków oraz wycofywanie dostępu.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres i zasady współpracy

Przypisanie i zarządzanie uprawnieniami

Kontrole uwierzytelniania i sesji

Procedury dostępu stron trzecich i dostawców

Okresowe przeglądy uprawnień dostępu

Procesy obsługi wyjątków i postępowania z ryzykiem

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Powiązane polityki

Polityka kontroli dostępu

Ustanawia nadrzędne zasady i mechanizmy kontroli dostępu, w tym kontrole oparte na regułach oraz kontrolę dostępu opartą na rolach (RBAC).

Polityka zatrudniania i zakończenia współpracy

Zapewnia kroki proceduralne dla inicjowania i kończenia dostępu użytkowników, zgodne z działaniami HR.

Polityka świadomości i szkoleń w zakresie bezpieczeństwa informacji

Wzmacnia odpowiedzialności użytkowników za bezpieczeństwo kont oraz ochronę danych uwierzytelniających.

Polityka klasyfikacji danych i etykietowania

Wskazuje poziomy dostępu na podstawie klasyfikacji danych, zapewniając, że granice uprawnień są zgodne z poziomami wrażliwości.

Polityka rejestrowania i monitorowania

Zapewnia, że ścieżka audytu jest zbierana dla wszystkich działań związanych z kontami oraz przeglądana w celu wykrywania anomalii lub nieautoryzowanego użycia.

Polityka reagowania na incydenty (P30)

Reguluje eskalację, powstrzymanie oraz działania po incydencie w przypadkach nadużycia uprawnień lub nieautoryzowanej aktywności kont.

O politykach Clarysec - Polityka zarządzania kontami użytkowników i uprawnieniami

Skuteczny ład bezpieczeństwa wymaga czegoś więcej niż samych deklaracji; wymaga jasności, rozliczalności i struktury, która skaluje się wraz z organizacją. Ogólne szablony często zawodzą, tworząc niejednoznaczność poprzez długie akapity i nieokreślone role. Ta polityka została zaprojektowana jako operacyjny kręgosłup programu bezpieczeństwa. Przypisujemy odpowiedzialności do konkretnych ról spotykanych w nowoczesnym przedsiębiorstwie, w tym dyrektora ds. bezpieczeństwa informacji (CISO), zespołów IT i bezpieczeństwa informacji oraz odpowiednich komitetów, zapewniając jasną rozliczalność. Każde wymaganie jest unikalnie ponumerowaną klauzulą (np. 5.1.1, 5.1.2). Taka atomowa struktura ułatwia wdrożenie, audyt względem konkretnych środków kontrolnych oraz bezpieczne dostosowanie bez naruszania integralności dokumentu, przekształcając go ze statycznego dokumentu w dynamiczne, wykonalne ramy.

Jasna rozliczalność według roli

Określa szczegółowe odpowiedzialności dla dyrektora ds. bezpieczeństwa informacji (CISO), administratorów IT, HR, kierowników oraz dostawców, doprecyzowując łańcuchy zatwierdzania i audytu.

Zautomatyzowane wdrażanie i offboarding

Wymaga integracji zarządzania tożsamością i dostępem (IAM) z systemem informatycznym HR dla terminowego, zautomatyzowanego nadawania dostępu i dezaktywacji kont użytkowników.

Możliwe do śledzenia zarządzanie wyjątkami

Formalny, oparty na ryzyku proces dla wyjątków, zapewniający, że wszystkie odstępstwa są udokumentowane, zatwierdzone i audytowalne.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

IT Bezpieczeństwo Zgodność

🏷️ Zakres tematyczny

kontrola dostępu zarządzanie tożsamością zarządzanie dostępem uprzywilejowanym (PAM) Zarządzanie zgodnością
€49

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje
User Account and Privilege Management Policy

Szczegóły produktu

Typ: policy
Kategoria: Enterprise
Standardy: 7