Rutine for avvikling av IT-rettigheter ved USIT

Rutine for avvikling av IT-rettigheter for ansatte ved USIT som g?r ut i permisjon, slutter eller g?r av med pensjon.

Denne rutinen skal benyttes for enhver ansatt ved USIT som g?r ut i permisjon, slutter eller g?r av med pensjon.

N?rmeste linjeleder er ansvarlig for at rutinen blir fulgt.

Hensikten med rutinen er ? sikre at ingen som slutter eller g?r ut i permisjon urettmessig har tilgang til UiO sine IT-systemer. Den skal ogs? sikre at de evt. beholder rettigheter gj?r det p? bakgrunn av et bevisst valg.

 

Ved avgang eller permisjon s? deles arbeidstakere inn i tre grupper:

  1. Personer som g?r ut i f?dselspermisjon, studiepermisjon eller annet kortvarig opphold fra arbeidet som er mindre enn ett ?r, og som i perioden ikke skal utf?re l?nnet eller ul?nnet arbeid som er eller kan v?re i interessekonflikt med arbeidet ved UiO
  2. Personer som g?r av med pensjon, det regnes da fra en g?r ut i 100% pensjon.
  3. Personer som slutter eller g?r ut i permisjon for ? starte i ny jobb hos andre enn USIT.

De tre grupperingene behandles ulikt.
 

Gruppe 1

Personer som faller inn under gruppe 1 skal:

  • I utgangspunktet beholde rettigheter som om de var i full jobb.
  • Spesiellt priviligerte rettigheter som root, adminstrator, tilgang til serverrom eller annet som anses av linjeleder som relevant skal vurderes.

Gruppe 2

Personer som g?r av med pensjon skal, om de ?nsker det, f? beholde en konto p? UiOs IT-systemer.

F?r arbeidstaker g?r av med pensjon:

  • I god tid f?r fratredelse skal det varsles om at vedkommende vil miste sine tilganger ved UiOs datasystemer, og maksimalt kunne beholde en brukerkonto ved UiO.
  • S?rge for at alle relevante data enten er tatt ut p? eget lagringsmedium eller v?re overf?rt til den kontoen det er valg ? overf?re data til.
  • S?rge for at ingen automatiske prosedyrer eller andre jobber som l?sninger USIT drifter er avhengig av slutter ? virke hvis vedkommendes konto blir deaktivert. Avvik skal rapporteres skriftlig til linjeleder.
  • Destruere n?kkelmatriell og annen relevant informasjon som kan kompromittere USITs eller USITs kunders sikkehet. Slik som krypton?kler, passord, e-post og annen informasjon som kun er beregnet for USITs ansatte.
  • Ansatte som slutter eller g?r av med pensjon skal kvittere p? at overnevnte punkter er utf?rt.

N?r arbeidstaker har hatt sin siste ordin?re arbeidsdag ved USIT s? har linjeleder ansvar for at:

  • Hvis personen ?nsker ? beholde en konto s? skal personen registreres iht. rutine for tilknyttede brukere. Dette m? gj?res innen 1. mnd. fra fratredelse, hvis ikke vil bruker bli sperret.
  • Personen mister alle sine IT-tilganger bortsett fra e-post og innlogging p? fellesmaskiner innen 1 uke etter fratredelse. Se sjekkliste under.
  • Personen kan f? tilganger til relevante e-postlister eller grupper som gir lese tilgang til relevant interninformasjon. Disse tilgangene kan gis og godkjennes av linjeleder for de relevante fagomr?dene.
  • Skal personen f? skrivetilgang eller andre h?yere privilegier s? skal det skrives en avtale om dette. Slik tilgang kan foresl?s av linjeleder, og skal godkjennes av IT-sikkerhetssjef.
  • Avtale om skrivetilgang sendes IT-sikkerhetssjef og personal.

Gruppe 3

Personer som faller inn under gruppe 3 skal:

F?r arbeidstaker slutter:

  • Spesiellt priviligerte rettigheter som root, adminstrator, tilgang til serverrom eller annet skal fjernes ved fratredelse (siste ordin?re arbeidsdag).
  • I god tid f?r fratredelse, minimum innenfor oppsigelsestiden, varsles om at vedkommende vil miste sine tilganger ved UiOs datasystemer, og maksimalt kunne beholde en brukerkonto ved UiO.
  • S?rge for at alle relevante data enten er tatt ut p? eget lagringsmedium eller v?re overf?rt til den kontoen det er valg ? overf?re data til.
  • S?rge for at ingen automatiske prosedyrer eller andre jobber som l?sninger USIT drifter er avhengig av slutter ? virke hvis vedkommendes konto blir deaktivert. Avvik skal rapporteres skriftlig til linjeleder.
  • Destruere n?kkelmatriell og annen relevant informasjon som kan kompromittere USITs eller USITs kunders sikkehet. Slik som krypton?kler, passord, e-post og annen informasjon som kun er beregnet for USITs ansatte.
  • Ansatte som slutter eller g?r ut i permisjon skal kvittere p? at overnevnte punkter er utf?rt.

N?r arbeidstaker har hatt sin siste ordin?re arbeidsdag ved USIT s? har linjeleder ansvar for at:

  • Personen mister alle sine IT-tilganger bortsett fra e-post og innlogging p? fellesmaskiner innen 1 uke etter fratredelse. Se sjekkliste under.
  • Etter to uker settes bruker i karantene, etter 1 mnd. slettes bruker.
  • Personer som skal ha tilgang til e-post  og fellesmaskiner ut over dette skal registreres iht. rutine for tilknyttede brukere. Dette m? gj?res innen 1 mnd. fra fratredelse, hvis ikke vil tilgang bli fjernet.
  • Personer som er i permisjon beholder tilgang til e-post og fellesmaskiner i permisjonstiden, men m? ved permisjonstidens utl?p registreres som for punktet over.
  • F?r tilganger til alt annet enn e-post og fellestjenester gis s? skal skriftlig avtale v?re inng?tt og godkjent av IT-sikkerhetssjef.
  • Liste over hvilke tilganger som er gitt og kopi av avtale skal sendes IT-sikkerhetssjef og personal.
  • Avvik fra denne rutine ang. tidsfrister, antall kontoer eller privilegier skal rapporteres til IT-sikkerhetssjef.

Ved s?rs kritiske tilfeller s? kan seksjonledere, gruppeledere eller leder for UiO-CERT gi dispensasjon fra disse bestemmelsene. Det skal da leveres skriftlig avviksrapport til IT-direkt?r og IT-sikkerhetssjef s? fort normalsituasjon er oppn?dd, eller maksimalt  innen 1 uke etter at behovet oppstod. Den som innvilget dispensasjonen er ansvarlig for at tilgang enten fjernes eller registeres riktig.

 

Hvis tilganger ikke er fjernet iht. denne rutinen s? vil konto bli sperret uten ytterligere varsel.

 

Sjekkliste for fjerning av tilganger

  • Hvis personen ikke allerede har personlig filgruppe s? skal dette opprettes og settes som prim?rgruppe.
  • Personer skal meldes ut av alle grupper bortsett fra personlig filgruppe ( ogs? gruppe USIT )
  • Personer skal kun beholde en konto
  • Husk fjerning av tilganger som ikke er styrt av Cerebrum, slik som andre systempassord, applikasjonspassord, krypton?kler osv.
  • Husk utmelding fra tjeneste-relaterte e-postlister
  • Database, system og applikasjonspassord som arbeidstaker har hatt / eller kan ha hatt tilgang til skal skiftes ved fratredelse.
  • Husk fjerning av brukers maskin i host.allow filer og acl'er - medmindre maskinen skal gjenbrukes av ny person i samme rolle, med samme tilganger.
  • Husk fjerning av ssh n?kler fra authorized_keys

 

 Sjekkliste for rydding for hjemmeomr?de

  • Slett evt. passorddatabaser, signeringsn?kler, jobbrelaterte SSH n?kler ol.
  • Sjekk om du har kildekode, script, lisensn?kler eller annet som er n?dvendig for videre drift ved USIT. Overlever dette i s?fall til linjeleder.
  • Sjekk om du har utredninger, m?tereferater, kontrakter eller andre viktige dokumenter lagret - s?rg i tilfelle for ? overlevere til linjeleder.
  • Sjekk at du ikke har teknisk dokumentasjon, kontrakter, prislister eller annen info. som du etter fratredelse ikke skal ha tilgang til.
  • Sjekk at du ikke har e-post arkiver som inneholder passord, sensitiv eller beskyttelsesverdig informasjon eller annet du ikke skal ha tilgang til etter fratredelse.

 

Publisert 3. mai 2017 09:21 - Sist endret 3. des. 2018 13:04
Del p? e-post