Politika uvajanja in prenehanja – SME

Politika uvajanja in prenehanja (P07S) je ključna kontrola za organizacije, ki želijo upravljati celoten življenjski cikel uporabniškega dostopa na varen, skladen in revidirljiv način. Ta politika je posebej prilagojena za mala in srednje velika podjetja (SME), kar je razvidno iz oznake »S« v številki dokumenta in dodelitve odgovornosti vlogam, kot sta glavni izvršni direktor in vodja pisarne/človeški viri (HR), namesto specializiranim ekipam, kot sta namenski vodja informacijske varnosti (CISO) ali center za varnostne operacije (SOC). Kljub temu izpolnjuje zahteve ključnih okvirov, vključno z ISO/IEC 27001:2022. Namen politike je opredeliti, standardizirati in dokumentirati postopke za uvajanje novih zaposlenih, pogodbenih izvajalcev in ponudnikov storitev tretjih oseb, hkrati pa zagotoviti robustne kontrole za njihov postopek prenehanja ali notranje spremembe vloge. Pri dodeljevanju dostopa uveljavlja načelo najmanjših privilegijev, uporablja kontrolne sezname za uvajanje in prenehanje za formalizacijo preverjanja izdaje in vračila sredstev ter zahteva dokumentirane dnevnike za spremembe računov in sredstev. Dejavnosti prenehanja se osredotočajo na takojšen preklic dostopa, vračilo IT-sredstev podjetja in varno zaprtje digitalnih identitet za obvladovanje tveganja nepooblaščenega dostopa ali izpostavljenosti podatkov. Vloge in odgovornosti so določene tako, da ustrezajo tipičnim strukturam SME. Glavni izvršni direktor izvaja nadzor programa in odobritev dostopa z visokimi privilegiji, vodja pisarne ali človeški viri (HR) sproži uvajanje/postopek izstopa in vzdržuje kontrolne sezname, IT (notranji ali zunanji ponudnik) pa upravlja račune in strojno opremo. Vodje oddelkov zagotavljajo, da se obvestila o spremembah vlog izvedejo, vsak zaposleni ali pogodbeni izvajalec pa mora upoštevati usposabljanje za ozaveščanje o varnosti in postopke vračila sredstev. Zahteve upravljanja so robustne in zahtevajo uporabo kontrolnih seznamov za uvajanje in prenehanje, vzdrževanje registra nadzora dostopa in popisa sredstev ter takojšnjo obravnavo nujnih deaktivacij. Postopki obravnave izjem in tveganj so jasno opredeljeni ter zahtevajo dokumentacijo, obveščanje glavnega izvršnega direktorja in nadomestne kontrole, če se standardni koraki zaradi operativne nujnosti preskočijo. Skladnost se uveljavlja z rednim spremljanjem, vzorčnimi pregledi in jasnimi posledicami za neskladnost, kot sta usmerjeno ponovno usposabljanje ali eskalacija. Z izrecno zahtevo po letnih pregledih, odzivnih posodobitvah zaradi procesnih ali regulativnih sprememb ter komunikaciji sprememb politik vsem relevantnim zaposlenim ta politika podpira nenehno izboljševanje. Strukturirana je tako, da SME pomaga učinkovito izpolnjevati zahteve skladnosti, operativne celovitosti in varstva podatkov, tudi v organizacijah brez kompleksnih varnostnih struktur.