Åtkomstkontrollpolicy

Åtkomstkontrollpolicy utgör en kritisk pelare i organisationens säkerhet och fastställer detaljerade principer och kontroller för hantering av åtkomst till informationssystem, applikationer, fysiska anläggningar och informationstillgångar. Policyn säkerställer att varje form av åtkomst, oavsett om den är logisk åtkomst eller fysiskt tillträde, styrs av affärsbehov, arbetsfunktion och organisationens riskläge, i linje med globalt erkända standarder såsom ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA och COBIT 2019. Syftet är att genomdriva strikta principer såsom principen om minsta privilegium, need-to-know-principen och funktionsåtskillnad, vilka är avgörande för att reducera risker kopplade till obehörig åtkomst och insiderhot. Policyn stödjer och operationaliserar krav för logisk åtkomst och fysiskt tillträde, användarautentisering och full livscykelhantering av behörigheter, från introduktion till behörighetsavveckling. Kontroller fastställs för både digitala och fysiska resurser för att förhindra otillåten användning, missbruk eller kompromettering. Policyn gäller universellt i hela organisationen; dess omfattning inkluderar alla användare, inklusive anställda, uppdragstagare, tredjepartsleverantörer och tillfällig personal, samt alla system och anläggningar som omfattas av ledningssystem för informationssäkerhet (ISMS). Den hanterar komplexa åtkomstscenarier och utsträcker kontroller till lokala (på plats), moln- och hybridmiljöer, företagets IT-tillgångar samt både logiska (system, nätverk, API:er) och fysiska (byggnader, datacenter) tillgångar. Policyn kräver att åtkomst styrs under hela livscykeln och integreras nära med HR-drivna händelser såsom introduktion, interna överföringar och avslutningsprocess för att säkerställa tidsmässigt korrekta uppdateringar och behörighetsindragning. Robusta styrningskrav inkluderar att definiera åtkomsträttigheter via en formaliserad rollmatris; integrera åtkomsttilldelning och behörighetsavveckling med HR-processer och tekniska processer; genomdriva strukturerade godkännandearbetsflöden; samt kräva privilegierad åtkomsthantering genom separata konton, sessionsövervakning och inspelning samt flerfaktorsautentisering. Dessa arbetssätt förstärks av krav på kvartalsvisa åtkomstgranskningar, revisionsloggning och anpassning av behörighetsstyrning till regulatoriska och affärsmässiga krav. Policyn beskriver även uttryckliga mekanismer för undantagshantering och riskhantering, tillsyn och efterlevnad samt periodisk översyn, vilket säkerställer att programmet förblir anpassningsbart till nya hot, regulatoriska förändringar och ny teknik. Vidare innehåller policyn specifika bestämmelser för användarbeteende, tredjepartsåtkomst, funktionsåtskillnad och visselblåsarfunktion. Den fastställer ett tydligt ramverk för hantering av policyöverträdelser, anger krav på översyn och uppdatering och kräver lagring av historiska versioner för regelefterlevnad. Sammantaget skapar dessa delar en behörighetsstyrning som är ansvarstagande, revisionsbar och kapabel att stödja certifiering eller rättslig granskning, utan att göra antaganden eller påståenden utöver vad som är strikt dokumenterat.