Policy för hantering av användarkonton och behörigheter

Policy för hantering av användarkonton och behörigheter (Dokument P11) tillhandahåller ett strukturerat och obligatoriskt ramverk för att styra hur användarkonton och åtkomstbehörigheter hanteras i alla organisatoriska informationssystem och tekniker. Dess huvudsakliga syfte är att säkerställa att organisatoriska resurser endast nås av behöriga individer, i enlighet med validerade roller och operativa behov. Policyn erkänner och genomdriver centrala principer för informationssäkerhet, såsom principen om minsta privilegium och funktionsåtskillnad, och kräver revisionsbara processer för åtkomsttilldelning, hantering, övervakning och behörighetsindragning av användarkonton. Policyn gäller alla användare, inklusive anställda, uppdragstagare, tredjepartstjänsteleverantörer och konsulter, och styr alla system där användarautentisering förekommer. Denna omfattande omfattning täcker affärsapplikationer, moln- och SaaS-miljöer, administrativa system och verktyg för fjärråtkomst, samt identitets- och åtkomsthantering (IAM)-plattformar. Både standardkonton och privilegierade konton omfattas av kraven, med stark betoning på unik identifiering av varje konto och förebyggande av användning av delade inloggningsuppgifter eller generiska konton (förutom i strikt kontrollerade akuta scenarier). Centrala mål för policyn inkluderar att genomdriva unika, motiverade och spårbara användarkonton; implementera kontroller enligt principen om minsta privilegium för att skydda mot överdrivna åtkomsträttigheter; kräva snabba ändringar av kontostatus efter rolländringar eller avslut; samt centralisera aktiviteter för livscykelhantering av behörigheter för konsekvens och revisionsbarhet. Bestämmelser finns för proaktiv upptäckt av inaktiva inloggningsuppgifter eller missbrukade konton genom regelbundna åtkomstgranskningar och användning av automatiserade verktyg. Policyn är uttryckligen utformad för att vara i linje med ledande säkerhetsstandarder (såsom ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR och COBIT 2019) för att uppfylla både regulatoriska krav och krav enligt bästa branschpraxis. Roller och ansvar definieras tydligt, från informationssäkerhetschef (CISO):s tillsyn och hantering av undantag till administratörer för åtkomstkontrolls tekniska åtgärder, avdelningschefers åtkomstgodkännanden och HR:s integrering med introduktions-/offboardingprocesser. Förfaranden säkerställer att skapande, ändring och avaktivering av konton styrs strikt, med privilegierad åtkomst föremål för extra granskning, godkännanden, tidsbegränsningar och förstärkt revisionsloggning. Autentiseringskontroller, inklusive obligatoriska lösenordspolicyer, flerfaktorsautentisering (MFA) för nyckelkonton, sessionslåsning och säkra protokoll för fjärråtkomst, utgör ett kärnkrav och säkerställer att identitetsverifiering inte kan kringgås. Robust övervakning, revisionsloggning och periodiska granskningsåtgärder hjälper till att upprätthålla korrekta tillgångsförteckningar över konton och genomdriva policyefterlevnad. Undantagshantering är riskbaserad och kontrollerad, med akuta åtkomstscenarier (”break-glass”) som får särskild processuell uppmärksamhet. Obligatorisk efterlevnad understryks av en progressiv modell för tillsyn och efterlevnad, inklusive inaktivering av åtkomst, riktad omträning, disciplinära åtgärder och juridisk/regulatorisk eskalering vid överträdelser. Integrering med relaterade organisatoriska policyer säkerställer ett sammanhållet angreppssätt över alla säkerhetskontrollområden, och kravet på årlig (eller händelsestyrd) policyöversyn garanterar ständig förbättring och fortsatt anpassning till föränderliga system, affärsmodeller och regulatoriska landskap. Policy för hantering av användarkonton och behörigheter är grundläggande för organisationens riskhanteringsramverk och stärker operativ säkerhet och regelefterlevnad.