Pilot previewMáte záujem?
NISMap
Všetky templates
09
NIS2 čl. 21(2)(i)

Politika HR bezpečnosti, prístupových práv a správy aktív

Kap. 10 — Human resources security, access control policies and asset management · CISO / HR / IT Ops · 125 riadkov · 10 placeholders

Stiahnuť markdownSpustiť NIS2 scan
Placeholders na vyplnenie pred finálnou schvalbou:
{{OWNER_NAME}}{{OWNER_ROLE}}{{APPROVER_NAME}}{{APPROVER_ROLE}}{{APPROVAL_DATE}}{{NEXT_REVIEW_DATE}}{{SCOPE}}{{COMPANY_NAME}}{{IDP_PROVIDER}}{{BYOD_POLICY}}
PreviewStiahnuť markdown

# Politika HR bezpečnosti, prístupových práv a správy aktív

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Integruje HR bezpečnosť, access control a asset management do jedného riadiaceho rámca podľa NIS2 čl. 21(2)(i) a ENISA IR kap. 10.

## 2. Rozsah
Vzťahuje sa na celý lifecycle zamestnanca (nástup, zmeny, výstup), všetky IT a fyzické aktíva, a prístupové práva k systémom a dátam {{COMPANY_NAME}}.

---

## Časť A: HR bezpečnosť

## A1. Pred nástupom
- **Background checks** podľa citlivosti role:
  - Standard role: identity verification, employment history.
  - Sensitive role (admin, finance, HR): criminal record check, creditworthiness.
  - Security-cleared role: vládne vetting ak vyžadované.
- **NDA** podpísaná pred prvým dňom.

## A2. Onboarding
- **Prvý deň:** security induction + acknowledgement politík.
- **Account provisioning:** default least privilege; eskalácia cez access request.
- **Školenie:** viď politika kybernetickej hygieny.

## A3. Zmena role
- **Access review** pri každej internej zmene role — staré prístupy revokované do 5 pracovných dní.
- **Re-training** ak nová role má iné security požiadavky.

## A4. Offboarding
- **Revoke access** do 2 hodín od koncového dňa (cross-functional checklist: IT, HR, fyzický prístup).
- **Return of assets** — laptop, tokens, keys.
- **Exit interview** s HR / CISO pri rizikových roliach.
- **Post-employment** — NDA platí podľa zmluvy (typicky 12-24 mesiacov po skončení).

---

## Časť B: Prístupové práva (Access Control)

## B1. Princípy
- **Least privilege** — len minimum práv potrebných na výkon role.
- **Need-to-know** — citlivé dáta dostupné iba roliam s explicitnou potrebou.
- **Segregation of duties (SoD)** — kritické operácie (payments, prod deploy) vyžadujú 2+ osoby.

## B2. Identity management
- **Centralizovaný IdP:** {{IDP_PROVIDER}} (SSO pre všetky SaaS a interné apky).
- **Zero trust:** ne-domain účet nemá autorita zo siete, explicitné oprávnenia.
- **Service accounts:** non-human identity, monitorované, s rotujúcimi credentials.

## B3. MFA
- **Povinné:** pre admin účty, VPN, email, finančné systémy, cloud konzoly.
- **Akceptované faktory:** FIDO2/WebAuthn (preferred), TOTP, push notifications.
- **Zakázané ako primary:** SMS (len fallback), voice.

## B4. Privileged Access Management (PAM)
- **Dedikované admin účty** oddelené od bežných používateľských.
- **Just-in-time access** — privilegovaný prístup len pre časové okno s justifikáciou.
- **Session recording** pre všetky PAM sessions.
- **Review admin account list** monthly, retire unused.

## B5. Access reviews
- **Quarterly:** manager vlastník systému validuje user list.
- **Annual:** full SoD a orphan account audit.
- **Attestation:** každý user prehodnotí svoje vlastné prístupy (self-service flow).

---

## Časť C: Správa aktív (Asset Management)

## C1. Inventár aktív
- **Hardware:** laptops, servery, sieťové prvky, mobilné zariadenia — evidované v CMDB.
- **Software:** licensy, verzie, installovaný kde.
- **Cloud resources:** auto-discovery cez cloud inventory API.
- **Dátové aktíva:** klasifikovaný register (viď C3).

Inventár aktualizovaný kontinuálne, audit mesačne.

## C2. Vlastníctvo
Každé aktívum má:
- **Owner** (role, nie osoba) — zodpovedný za security a lifecycle.
- **Custodian** — operačne spravuje.
- **Users** — kto má prístup.

## C3. Klasifikácia dát
| Úroveň | Príklady | Ochrana |
|--------|----------|---------|
| **Public** | Marketing materiály, verejné rozhodnutia | Žiadne špeciálne |
| **Internal** | Interná komunikácia, procesy | Prístupom obmedzené |
| **Confidential** | Obchodné plány, klientske dáta, PII | Šifrovanie + MFA prístup |
| **Restricted** | Credentials, kryptografické kľúče, zdravotné dáta | Šifrovanie + audit log + need-to-know |

## C4. Bring-Your-Own-Device (BYOD)
- **Policy:** {{BYOD_POLICY}} — povolené / zakázané / obmedzené.
- **Technické kontroly:** MDM, containerizácia firemných dát, remote wipe capability.
- **User agreement:** explicitný consent pre device management.

## C5. Lifecycle zariadení
- **Deployment:** imaged cez MDM s baseline konfiguráciou.
- **Maintenance:** patch compliance sledovaná kontinuálne.
- **Decommissioning:** data sanitization podľa NIST SP 800-88 + certifikát o deštrukcii.

## 3. Revízia
Ročne + pri významných zmenách v regulácii alebo organizačnej štruktúre.

## 4. Súvisiace dokumenty
- Politika kybernetickej hygieny a školení
- Politika kryptografie (šifrovanie aktív)
- MFA policy
- Incident response policy

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________

Orientačná šablóna v súlade s ENISA IR 2024/2690 a NIS2 čl. 21. Pre záväzné určenie scope obligácií a schvaľovania kontaktujte NBÚ (SR), NÚKIB (ČR) alebo interný právny tím. Šablóna nenahrádza právne poradenstvo.