¿Existe un procedimiento para el retiro de los derechos de acceso a los sistemas y servicios de información a causa de la desvinculación o cambio de puesto de trabajo?
En respuesta a Juan Martín Morales
Re: 7.3.3.a Retiro de los derechos de acceso
de Juan Martín Morales -
Requerimientos iniciales:
- Política de seguridad de la información. Con procedimiento y responsabilidades relacionadas con el retiro de derechos de acceso.
- En caso de que el requerimiento anterior no se cumpla: documentación del proceso de retiro de derechos de acceso.
- Log con los cambios de accesos debidos a desvinculación o cambios de puesto.
- Listado de empleados con todos los derechos de acceso asignados.
En respuesta a Juan Martín Morales
Re: 7.3.3.a Retiro de los derechos de acceso
de Juan Martín Morales -
Procedimiento de cumplimiento:
- Revisar la documentación del proceso de retiro de derechos de acceso. O verificar que exista una política de seguridad de la información y que incluya los procedimientos para el retiro de derechos de acceso.
Procedimiento sustantivo:
- Obtener un listado de todos los empleados que se hayan desvinculado o cambiado de puesto de trabajo.
- Obtener información de cada caso particular. Como pueden ser cartas de renuncia o notificaciones de cambio de puesto.
- Verificar que se haya procedido al retiro de sus derechos de acceso de manera adecuada. Esto se hará verificando los logs correspondientes a los cambios y eliminaciones de accesos, mientras se contrasta con la información formal de los cambios.