GÜV.10 — İşten Ayrılanlar ve Erişim İptali Standartları

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Bu standardın amacı, şirketten ayrılan personelin veya görev değişikliği yapılan kullanıcıların bilgi sistemlerine erişim yetkilerinin zamanında ve güvenli bir şekilde iptal edilmesini sağlayarak yetkisiz erişim riskini ortadan kaldırmaktır. Standart; çalışanları, stajyerleri, danışmanları, taşeron personeli ve sistemlere erişimi olan tüm üçüncü tarafları kapsar.

Sorumluluklar

  • İnsan Kaynakları Birimi: İşten ayrılma veya görev değişikliği durumunu Bilgi Teknolojileri (BT) birimine derhal bildirir.
  • BT Birimi / Sistem Yöneticileri: Erişim iptali sürecini başlatır ve kayıt altına alır.
  • Bilgi Güvenliği Yöneticisi: Sürecin kontrollerini sağlar ve uygunsuzlukları raporlar.

Standartlar

  1. Erişim iptal süreci:
    • İşten çıkış kararı kesinleştiği anda BT birimi bilgilendirilir.
    • Çalışanın sistem erişimleri, işten ayrılma saatinden önce iptal edilir.
    • Aşağıdaki erişimlerin tamamı kaldırılır:
      • Dizin ve kimlik hesapları (Active Directory, LDAP, SSO/kimlik sağlayıcı vb.)
      • E-posta ve uzaktan erişim hesapları (VPN, sanal masaüstü, Microsoft 365 vb.)
      • Uygulama erişimleri (ERP, CRM, proje yönetim araçları vb.)
      • Fiziksel erişim (kartlı geçiş, turnike, dolap vb.)
      • Mobil cihaz yönetimi (MDM) kayıtları
  2. Erişim kayıtları: Erişim iptal işlemi kayıt altına alınır ve denetime uygun biçimde saklanır. İşten ayrılan personelin erişim iptali listesi aylık olarak gözden geçirilir.
  3. Donanım ve varlık teslimi: Bilgisayar, telefon, USB bellek, yedekleme cihazı gibi varlıklar teslim alınmadan çıkış işlemi tamamlanmaz. Teslim edilen varlıklar üzerinde şirket verisi kalmadığı doğrulanır.
  4. Yetki devri veya devralımı: Görev değişikliği durumunda eski görevle ilişkili tüm yetkiler iptal edilir ve yeni görev tanımına uygun yetkiler GÜV.06 — Erişim ve Yetkilendirme standardına uygun olarak tanımlanır. Rol çakışmalarını engellemek amacıyla "çift rol" denetimi yapılır.
  5. E-posta yönlendirme ve takip: Kurumsal e-posta hesabı devre dışı bırakılmadan önce gerekli yönlendirmeler yapılır ve gerekirse geçici bir takip süresi belirlenir. Otomatik yanıt mesajları (örn. "Bu hesap artık aktif değildir...") etkinleştirilebilir.

Referanslar

← Tüm IT Standartları