9.1
Har dere en oversikt over hvem som har tilgang til hvilke systemer og data?
Uten oversikt kan dere ikke vurdere om tilgangene er hensiktsmessige. En enkel matrise (hvem-har-tilgang-til-hva) for kritiske systemer er et godt utgangspunkt.
Kategori 9 av 10 · Art. 21(2)(i)
Hvem har tilgang til hva — og er tilgangene hensiktsmessige? Inkluderer personellsikkerhet, tilgangsstyring, og håndtering av virksomhetens verdier.
9.1
Uten oversikt kan dere ikke vurdere om tilgangene er hensiktsmessige. En enkel matrise (hvem-har-tilgang-til-hva) for kritiske systemer er et godt utgangspunkt.
9.2
Ansatte bør kun ha de tilgangene de trenger for å utføre jobben. Over tid samler mange opp tilganger fra ulike roller. Gjennomgår dere dette?
9.3
Ansatte som slutter, men beholder systemtilganger, er en alvorlig risiko. Dette bør skje automatisk eller via en sjekkliste som HR/IT følger ved offboarding. Tilsvarende bør tilganger justeres ved rollebytte.
9.4
For roller med tilgang til spesielt sensitiv informasjon eller kritiske systemer, kan bakgrunnssjekk være hensiktsmessig. Omfanget avhenger av bransje og risiko.
9.5
En CMDB eller enkel IT-inventarliste hjelper med å holde oversikt over hva dere har, hvem som eier det, og hvor det befinner seg. Nødvendig for risikostyring og hendelseshåndtering.
9.6
En periodisk gjennomgang (f.eks. kvartalsvis for kritiske systemer, årlig for øvrige) sikrer at tilganger fortsatt er nødvendige og korrekte.