Establish a formal process for administration of accounts, access rights and privileges. a) The process should cover i) accounts for users, devices and system processes, ii) access rights to systems and applications, iii) privileges in relation to operating systems (e.g. admin privileges) and the organisation’s shared user database. b) The process should include the entire life cycle and cover creation, maintenance and deactivation. Deactivate rather than delete accounts and access rights in order that there is an audit trail in accordance with prevailing laws and regulations. c) The guidelines on access control (2.6.1) and the process for administering accounts, access rights and privileges (2.6.2.a) should be documented and communicated across the organisation.
Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.
Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.
Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.
Ylläpito-oikeuksia hallitaan muodollisen prosessin avulla, jonka tavoitteena on rajata ylläpito-oikeuksien jakamista ja valvoa käyttöä.
Ylläpito-oikeuksiin liittyen:
Organisaation on hallittava kaikki sen käyttäjät ja niiden käyttöoikeudet. Tähän kuuluu myös kolmannen osapuolen käyttäjät, joilla on pääsyoikeuksia organisaation tietoihin tai järjestelmiin.
Organisaation on poistettava kokonaan tai poistettava käytöstä käyttöoikeuksia, kun niitä ei enään tarvita tehtävän täyttämiseen. Esimerkiksi silloin, kun työntekijän työtehtävä vaihtuu.
Deaktivoituja tai vanhentuneita käyttäjätunnuksia ei saa koskaan käyttää uudelleen muille käyttäjille.
Tämä on relevantti yleisenä hallintoperiaatteena itse kehitetyissä pilvipalveluissa ja kaikissa muissa käytössä olevissa tietojärjestelmissä, joissa muun ylläpidon voi suorittaa kumppaniorganisaatio, mutta pääsyn/käyttäjätunnusten hallinnan organisaatio itse.
Dokumentoi identiteetin elinkaaren hallintaprosessit. Dokumentoinnin tulisi sisältää seuraavat asiat:
Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:
Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
