Politika nástupu a ukončenia

Politika nástupu a ukončenia (dokument P07) poskytuje komplexný, štandardizovaný rámec na riadenie celého životného cyklu prístupu personálu – od procesu nástupu a vnútorných prenosov až po ukončenie alebo vypršanie zmluvy. Je navrhnutá pre všetky typy používateľov vrátane zamestnancov, dodávateľov, konzultantov a tretích strán a vynucuje včasné a bezpečné zriaďovanie prístupu a rušenie prístupov pre fyzický aj logický prístup, čím zabezpečuje, že každá zmena je riešená so správnou kombináciou dôvernosti, zodpovednosti a riadenia aktív. Táto politika sa uplatňuje v celej organizácii a vyžaduje, aby všetky útvary – ľudské zdroje (HR), IT, správa zariadení a aktív, bezpečnosť, vrcholový manažment, právne záležitosti a súlad s predpismi a súlad – mali definovanú rolu v procesoch nástupu a offboardingu. Predpisuje podrobné pracovné postupy: proces nástupu zahŕňa previerky spoľahlivosti, dohodu o mlčanlivosti a potvrdenie oboznámenia sa s politikou, školenie bezpečnostného povedomia a priradenie prístupových oprávnení podľa zásady minimálnych oprávnení, ktoré preskúmajú zodpovední manažéri; pri vnútorných prenosoch spúšťa preskúmanie prístupov založené na riziku a zabezpečuje, že všetky predchádzajúce oprávnenia v systémoch sú uzavreté pred schválením nového prístupu; a proces ukončenia vyžaduje, aby bolo zrušenie prístupových oprávnení vykonané pre všetky prístupové práva (privilegovaní používatelia do štyroch hodín), aby boli aktíva vyzbierané, politiky opätovne potvrdené a aby bola všetka súvisiaca dokumentácia udržiavaná pre auditovateľnosť. Ciele politiky presahujú riadenie prístupu. Jej cieľom je zachovať dôvernosť, integritu a dostupnosť aktív organizácie počas personálnych zmien a podporiť auditnú stopu a právnu obhájiteľnosť prostredníctvom požiadavky na dôkladnú dokumentáciu v informačnom systéme ľudských zdrojov (HRIS), správe identít a prístupov (IAM) a registri aktív. Špecifikované sú postupy okamžitej obnovy aktív a validácie aktív vrátane IT kontrol na odstránenie reziduálnych citlivých údajov a kontrol zariadení pre prístupové preukazy, zariadenia a kľúče. Ošetrenie výnimiek je prísne riadené: akékoľvek odchýlky musia byť posúdené z hľadiska rizika, zdokumentované a podliehajú pravidelným preskúmaniam vrcholovým vedením (riaditeľom informačnej bezpečnosti (CISO) alebo riaditeľom HR), pričom reziduálne riziko je zdokumentované a hodnotené každých 90 dní alebo pri zmene situácie. V súlade s viacerými medzinárodnými rámcami vrátane ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, COBIT 2019, EU GDPR, NIS2 a DORA politika zabezpečuje, že postupy organizácie pokrývajú všetky kľúčové regulačné požiadavky. Integruje ustanovenia týchto noriem týkajúce sa kompetencií, riadenia prístupu, zásady minimálnych oprávnení, previerok spoľahlivosti, auditného logovania a prevádzkovej správy a riadenia. Požiadavky na vnútorný audit a monitorovanie procesov sú zabudované, vrátane dohľadu manažéra ISMS a mechanizmu oznamovania porušení. Porušenia spúšťajú disciplinárne a právne dôsledky s eskaláciou k regulačným orgánom, ak sú dotknuté osobné alebo regulované údaje. Údržba politiky je rovnako robustná: vyžaduje ročné opakovacie školenie, aktualizácie po významných zmenách bezpečnostných alebo HR systémov, aktualizácie vyvolané incidentmi a archiváciu zastaraných verzií. Postupy riadenia dokumentov zachovávajú históriu zmien a záznamy o vlastníctve. Týmto sa prepája operatívne riadenie rizík so súladom a zodpovednosťou a tvorí sa kritická súčasť integrovaného kontrolného prostredia organizácie prostredníctvom priamych prepojení na súvisiace dokumenty politík (bezpečnosť, riadenie prístupu, používateľské účty, riadenie rizík, politika prijateľného používania).