Pääsyoikeuksien myöntämisprosessi työsuhteen alkaessa

Critical
High
Normal
Low

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.1: User registration and de-registration
ISO 27001
9.2.2: User access provisioning
ISO 27001

Prosessi työsuhteiden päättymishetkelle mm. laitteiston ja pääsyoikeuksien poistoon

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

  • Laitteiston palauttaminen
  • Pääsyoikeuksien poisto
  • Muun tieto-omaisuuden palauttaminen
Liittyvät muut vaatimuskehikot ja vaatimukset:
8.1.4: Return of assets
ISO 27001
9.2.1: User registration and de-registration
ISO 27001

Ohjeet pääsyoikeuksiin vaikuttavien muutosten ilmoittamisesta

Critical
High
Normal
Low

Esihenkilöitä on ohjeistettu ilmoittamaan etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.

Ilmoituksen perusteella henkilön pääsyoikeuksia voidaan päivittää joko keskitetystä hallintajärjestelmästä tai yksittäisistä tietojärjestelmistä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.6: Removal or adjustment of access rights
ISO 27001
I06: Pääsyoikeuksien hallinnointi
Katakri

Pääsyoikeusroolien määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän
Liittyvät muut vaatimuskehikot ja vaatimukset:
I06: Pääsyoikeuksien hallinnointi
Katakri
25. Sisäänrakennettu ja oletusarvoinen tietosuoja
GDPR

Ominaisuudet ja ohjeet pääsynhallintaan tarjotuissa digipalveluissa

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaation tulee tarjota tekninen toteutus, jotta asiakas voi hallita käyttäjien käyttöoikeuksia tililleen.

Organisaation tulee myös tarjota ohjeita käyttäjähallinnan käyttöön (esim. ohjeartikkelit, FAQ:t), jotka liittyvät esimerkiksi käytettävissä oleviin todennusmenetelmiin, kertakirjautumisominaisuuksiin ja erilaisiin järjestelmänvalvojan toimintoihin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
PR.AC-1: Identity and credential management
NIST
9.2.2: Pääsyoikeuksien jakaminen
ISO 27017

Ominaisuudet ja ohjeet käyttäjien rekisteröintiin ja poistamiseen tarjotuissa digipalveluissa

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaation tulee tarjota tekninen toteutus, jonka avulla asiakas voi hallita käyttäjän rekisteröintiä ja rekisteröinnin poistamista palvelussa.

Organisaation tulee myös tarjota ohjeita ja teknisiä tietoja käyttäjien luomiseen/poistamiseen (esim. ohjeartikkelit, FAQ:t), esim. liittyen eri käyttäjätasoihin, käyttäjäkutsuprosessiin ja erilaisiin järjestelmänvalvojan toimintoihin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
PR.AC-1: Identity and credential management
NIST
PR.AC-6: Proof of identity
NIST
No items found.