Policy för introduktion och avslut

Policy för introduktion och avslut (dokument P07) tillhandahåller ett omfattande, standardiserat ramverk för att hantera hela livscykeln för personalens åtkomst, från introduktion och interna överföringar till avslut eller avtalsutgång. Utformad för alla användartyper, inklusive anställda, uppdragstagare, konsulter, leverantörer och tredje parter, genomdriver den snabb och säker åtkomsttilldelning och behörighetsavveckling av både fysiskt tillträde och logisk åtkomst, och säkerställer att varje övergång hanteras med rätt kombination av konfidentialitet, ansvarsskyldighet och tillgångskontroll. Denna policy gäller i hela organisationen och kräver att alla avdelningar, Personalresurser (HR), IT, fastighets- och tillgångsförvaltning, Security, ledning, juridik och regelefterlevnad samt regelefterlevnad spelar en definierad roll i introduktions- och offboardingprocesser. Den föreskriver detaljerade arbetsflöden: introduktion omfattar bakgrundskontroller, sekretessavtal (NDA) och policybekräftelse, säkerhetsmedvetenhetsutbildning samt tilldelning enligt principen om minsta privilegium som granskas av ansvariga chefer; vid interna överföringar utlöser den riskbaserad behörighetsgranskning och säkerställer att alla tidigare systembehörigheter stängs innan ny åtkomst godkänns; och avslutningsprocessen kräver att all åtkomsttilldelning återkallas (privilegierade användare inom fyra timmar), tillgångar samlas in, policyer bekräftas på nytt och att all relaterad dokumentation bevaras för revisionsbarhet. Policyens mål sträcker sig bortom användaråtkomsthantering. Den syftar till att bevara konfidentialitet, riktighet och tillgänglighet för organisationens tillgångar vid personalövergångar, och stödjer revisionsspår och rättsligt försvar genom att kräva grundlig dokumentation i personalinformationssystem (HRIS), identitets- och åtkomsthantering (IAM) och tillgångsförteckning. Omedelbar återställning och validering av tillgångar specificeras, inklusive IT-kontroller för att ta bort kvarvarande känsliga data och anläggningskontroller för passerkort, enheter och nycklar. Undantagshantering är strikt kontrollerad: alla avvikelser måste riskbedömas, dokumenteras och omfattas av periodiska granskningar av högre chefer (informationssäkerhetschef (CISO) eller HR-direktör), med kvarstående risker dokumenterade och utvärdering av kvarstående risk var 90:e dag eller när situationer förändras. Anpassad till flera internationella ramverk, inklusive ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 och DORA, säkerställer policyn att organisationens praxis uppfyller centrala regulatoriska krav. Den integrerar bestämmelser från dessa standarder som omfattar kompetens, åtkomstkontroll, principen om minsta privilegium, bakgrundskontroller, revisionsloggning och operativ styrning. Krav på internrevision och processövervakning är inbyggda, med tillsyn av ISMS-ansvarig och mekanismer för visselblåsarfunktion. Överträdelser utlöser disciplinära åtgärder och rättsliga konsekvenser, med eskalering till myndigheter där personuppgifter eller reglerade data berörs. Policyunderhåll är lika robust: den kräver årliga översyner, uppdateringar efter större säkerhets- eller HR-systemförändringar, incidentdrivna uppdateringar och arkivering av föråldrade versioner. Rutiner för dokumentstyrning bevarar ändringshistorik och ägarskapsregister. Detta kopplar samman operativ riskhantering med regelefterlevnad och ansvarsskyldighet och utgör en kritisk del av organisationens integrerade kontrollmiljö genom direkta kopplingar till relaterade policydokument (säkerhet, åtkomstkontroll, användarkonton, riskhantering, policy för godtagbar användning).