Politica de integrare și încetare a personalului

Politica de integrare și încetare a personalului (documentul P07) oferă un cadru cuprinzător și standardizat pentru gestionarea întregului ciclu de viață al accesului personalului, de la înrolare și transferuri interne până la încetare sau expirarea contractului. Proiectată pentru toate tipurile de utilizatori, inclusiv angajați și contractori, consultanți, furnizori externi și terți, aceasta impune alocarea accesului și retragerea accesului în timp util și în condiții de securitate, atât pentru acces fizic, cât și pentru acces logic, asigurând că fiecare tranziție este gestionată cu combinația potrivită de confidențialitate, autoritate și responsabilitate și control al activelor. Această politică se aplică la nivelul întregii organizații, impunând ca toate departamentele — Resurse umane, IT, managementul facilităților și al activelor, securitate, conducerea executivă, juridic și conformitate — să aibă un rol definit în procesele de integrare și încetare a colaborării. Prescrie fluxuri de lucru detaliate: integrarea include verificări de antecedente, acord de confidențialitate (NDA) și confirmare de luare la cunoștință a politicii, instruire de conștientizare a securității și atribuirea accesului conform principiului privilegiului minim, revizuită de managerii responsabili; pentru transferuri interne, declanșează revizuirea accesului bazată pe risc și asigură că toate drepturile anterioare din sisteme sunt închise înainte ca noul acces să fie aprobat; iar procesul de încetare impune ca toate drepturile de acces acordate să fie revocate (utilizatorii cu privilegii ridicate în termen de patru ore), activele colectate, politicile reconfirmate și toată documentația aferentă păstrată pentru auditabilitate. Obiectivele politicii depășesc managementul accesului. Aceasta urmărește să păstreze confidențialitatea, integritatea și disponibilitatea activelor organizației în timpul tranzițiilor de personal, susținând o pistă de audit și apărare juridică prin cerința de documentare completă în sistemul informatic de resurse umane (HRIS), managementul identității și al accesului (IAM) și registrul activelor. Sunt specificate proceduri de recuperare și validare a activelor, inclusiv verificări IT pentru eliminarea datelor sensibile reziduale și controale ale facilităților pentru badge-uri, dispozitive și chei. Gestionarea excepțiilor este strict controlată: orice abateri trebuie să fie supuse evaluării riscurilor, documentate și revizuite periodic de conducerea superioară (CISO sau director HR), cu risc rezidual documentat și evaluarea riscului rezidual la fiecare 90 de zile sau pe măsură ce situațiile se schimbă. Aliniată cu mai multe cadre internaționale, inclusiv ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 și DORA, politica asigură că practicile organizației acoperă toate cerințele-cheie de reglementare. Integrează prevederi din aceste standarde privind competența, controlul accesului, principiul privilegiului minim, verificarea, jurnalizarea de audit și guvernanța operațională. Cerințele de audit intern și monitorizare a proceselor sunt integrate, cu supraveghere de către managerul SMSI și mecanisme pentru avertizarea neregulilor. Încălcările declanșează consecințe disciplinare și legale, cu escaladare către autoritățile de reglementare atunci când sunt implicate date reglementate sau date cu caracter personal. Mentenanța politicii este la fel de robustă: impune revizuiri anuale, actualizări după schimbări majore de securitate sau ale sistemelor HR, actualizări determinate de incidente și arhivarea versiunilor învechite. Procedurile de control al documentelor păstrează istoricul modificărilor și înregistrările de proprietate. Aceasta interconectează managementul riscului operațional cu conformitatea și responsabilitatea, formând o parte critică a mediului integrat de control al organizației prin legături directe cu documente de politici conexe (securitate, controlul accesului, conturi de utilizator, managementul riscurilor, politica de utilizare acceptabilă).