Politika uvajanja in prenehanja

Politika uvajanja in prenehanja (dokument P07) zagotavlja celovit, standardiziran okvir za upravljanje celotnega življenjskega cikla dostopa osebja, od uvajanja in notranjih prenosov do postopka prenehanja ali izteka pogodbe. Zasnovana je za vse vrste uporabnikov, vključno z zaposlenimi, pogodbenimi izvajalci, svetovalci, dobavitelji in tretjimi osebami, ter uveljavlja pravočasno in varno dodeljevanje dostopa in odvzem dostopa tako za fizični dostop kot za logični dostop, s čimer zagotavlja, da je vsak prehod obravnavan z ustrezno kombinacijo zaupnosti, odgovornosti in nadzora nad sredstvi. Ta politika velja na ravni celotne organizacije in zahteva, da imajo vsi oddelki, človeški viri (HR), IT, upravljanje objektov in sredstev, varnost, vodstvo, pravo in skladnost, opredeljeno vlogo v procesih uvajanja in postopka izstopa. Predpisuje podrobne delovne tokove: uvajanje vključuje preverjanje preteklosti, pogodbo o nerazkrivanju informacij in potrditev seznanitve s politiko, usposabljanje za ozaveščanje o varnosti ter dodelitev dostopa po načelu najmanjših privilegijev, ki jo pregledajo odgovorni neposredni vodja; pri notranjih prenosih sproži pregled dostopov na podlagi tveganj in zagotovi, da so vse predhodne pravice v sistemih zaprte, preden je odobren nov dostop; postopek prenehanja pa zahteva, da se prekliče vse dodelitve dostopa (uporabnikom z visokimi privilegiji v štirih urah), zberejo sredstva, ponovno potrdi politika sprejemljive uporabe ter da se vsa povezana dokumentacija ohrani za revidirljivost. Cilji politike presegajo upravljanje uporabniškega dostopa. Namenjena je ohranjanju zaupnosti, celovitosti in razpoložljivosti organizacijskih sredstev med prehodi osebja ter podpira revizijsko sled in pravno obrambo z zahtevo po temeljiti dokumentaciji v kadrovskem informacijskem sistemu (HRIS), upravljanju identitet in dostopa (IAM) ter registru sredstev. Določeni so postopki takojšnjega vračila in preverjanja sredstev, vključno s preverjanji IT za odstranitev preostalih občutljivih podatkov ter kontrolami objektov za dostopne kartice, naprave in ključe. Obravnava izjem je strogo nadzorovana: vsa odstopanja morajo biti ocenjena glede na tveganje, dokumentirana in predmet periodičnih pregledov s strani najvišjega vodstva (vodje informacijske varnosti (CISO) ali direktorja človeških virov), pri čemer je preostalo tveganje dokumentirano in ocenjeno vsakih 90 dni ali ob spremembi okoliščin. Usklajena z več mednarodnimi okviri, vključno z ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 in DORA, politika zagotavlja, da organizacijske prakse obravnavajo vse ključne regulativne obveznosti. Vključuje določbe teh standardov glede kompetenc, nadzora dostopa, načela najmanjših privilegijev, preverjanja preteklosti, revizijskega beleženja in operativnega upravljanja. Vgrajene so zahteve za notranjo revizijo in spremljanje procesov, z nadzorom vodje ISMS in mehanizmi za prijavo nepravilnosti. Kršitve sprožijo disciplinske in pravne posledice, z eskalacijo do regulatornih organov, kadar so vključeni osebni ali regulirani podatki. Vzdrževanje politike je enako robustno: zahteva letno ponovno potrjevanje, posodobitve po večjih spremembah varnosti ali kadrovskih sistemov, posodobitve na podlagi incidentov ter arhiviranje zastarelih različic. Postopki nadzora dokumentov ohranjajo zgodovino sprememb in zapise o lastništvu. To povezuje operativno obvladovanje tveganj s skladnostjo in odgovornostjo ter predstavlja kritični del integriranega kontrolnega okolja organizacije prek neposrednih povezav s povezanimi dokumenti politik (varnost, nadzor dostopa, uporabniški računi, obvladovanje tveganj, politika sprejemljive uporabe).