Kategori 9 av 10 · Art. 21(2)(i)

Personellsikkerhet, tilgangskontroll og verdihåndtering

Hvem har tilgang til hva — og er tilgangene hensiktsmessige? Inkluderer personellsikkerhet, tilgangsstyring, og håndtering av virksomhetens verdier.

9.1

Har dere en oversikt over hvem som har tilgang til hvilke systemer og data?

Kritisk

Uten oversikt kan dere ikke vurdere om tilgangene er hensiktsmessige. En enkel matrise (hvem-har-tilgang-til-hva) for kritiske systemer er et godt utgangspunkt.

9.2

Praktiserer dere prinsippet om minste privilegium (least privilege)?

Viktig

Ansatte bør kun ha de tilgangene de trenger for å utføre jobben. Over tid samler mange opp tilganger fra ulike roller. Gjennomgår dere dette?

9.3

Har dere en rutine for å fjerne tilganger når ansatte slutter eller bytter rolle?

Kritisk

Ansatte som slutter, men beholder systemtilganger, er en alvorlig risiko. Dette bør skje automatisk eller via en sjekkliste som HR/IT følger ved offboarding. Tilsvarende bør tilganger justeres ved rollebytte.

9.4

Gjennomfører dere bakgrunnssjekk for ansatte i sensitive roller?

Standard

For roller med tilgang til spesielt sensitiv informasjon eller kritiske systemer, kan bakgrunnssjekk være hensiktsmessig. Omfanget avhenger av bransje og risiko.

9.5

Har dere en oppdatert oversikt over virksomhetens IT-verdier (hardware, programvare, data)?

Viktig

En CMDB eller enkel IT-inventarliste hjelper med å holde oversikt over hva dere har, hvem som eier det, og hvor det befinner seg. Nødvendig for risikostyring og hendelseshåndtering.

9.6

Gjennomgår dere tilganger regelmessig (access review)?

Viktig

En periodisk gjennomgang (f.eks. kvartalsvis for kritiske systemer, årlig for øvrige) sikrer at tilganger fortsatt er nødvendige og korrekte.