Polityka Bezpieczeństwa Zasobów Ludzkich
Weryfikacja pracowników, NDA, onboarding, offboarding i postępowanie dyscyplinarne
1. Przed Zatrudnieniem – Weryfikacja
▸ Organizacja uzupełnia – zakres weryfikacji zgodnie z polskim prawem pracy
| Element weryfikacji | Dla stanowisk | Stosowane w organizacji? | Podstawa prawna |
|---|---|---|---|
| Weryfikacja tożsamości (dowód osobisty) | Wszyscy | ▸ TAK / NIE | KP art. 22 |
| Weryfikacja kwalifikacji / dyplomów | Wszyscy (jeśli wymagane) | ▸ TAK / NIE | KP art. 22 |
| Sprawdzenie referencji | ▸ [stanowiska z dostępem do danych krytycznych] | ▸ TAK / NIE | Dobrowolna praktyka |
| Weryfikacja w KRK (Krajowy Rejestr Karny) | ▸ [zgodnie z przepisami sektorowymi] | ▸ TAK / NIE (jeśli wymaga sektor) | Ustawa o KRK – tylko dla stanowisk dopuszczonych prawem |
2. Przy Zatrudnieniu – Umowy i Zobowiązania
Każdy pracownik/współpracownik podpisuje przed uzyskaniem dostępu do systemów:
| Dokument | Obowiązkowy? | Termin podpisania |
|---|---|---|
| Umowa o zachowaniu poufności (NDA) | TAK – wszyscy | ▸ [przed pierwszym dostępem do systemów]przed dostępem |
| Oświadczenie o zapoznaniu z Polityką Bezpieczeństwa (DOC-001) | TAK – wszyscy | ▸ [w dniu onboardingu]przed dostępem |
| Akceptacja Polityki Dopuszczalnego Użytkowania (AUP) | TAK – wszyscy | ▸ [w dniu onboardingu]przed dostępem |
| Klauzula kary umownej za naruszenia | ▸ [TAK / NIE] | ▸ w umowie o pracę / współpracy |
3. Onboarding – Procedura dla Nowego Pracownika
| Krok | Działanie | Odpowiedzialny | Termin |
|---|---|---|---|
| 1 | Zgłoszenie nowego pracownika do IT (wniosek o konto) | HR | ▸ [na 3 dni przed pierwszym dniem] |
| 2 | Podpisanie NDA i oświadczeń bezpieczeństwa | HR | Dzień 1 |
| 3 | Szkolenie wstępne z bezpieczeństwa informacji | CISO / HR | ▸ [w ciągu 5 dni roboczych]max. 14 dni |
| 4 | Nadanie konta i dostępów (zgodnie z wnioskiem) | Admin IT | Dzień 1 |
| 5 | Konfiguracja MFA | Admin IT + pracownik | ▸ [Dzień 1]przed pierwszym logowaniem zdalnym |
| 6 | Zapis w rejestrze szkoleń | HR | Po szkoleniu |
4. Offboarding – Procedura Odejścia Pracownika
⚠️
Blokada dostępów musi nastąpić nie później niż w dniu odejścia pracownika (a najlepiej w momencie, gdy decyzja o odejściu jest znana – szczególnie przy rozwiązaniach bez wypowiedzenia).
| Krok | Działanie | Odpowiedzialny | Termin |
|---|---|---|---|
| 1 | HR powiadamia IT o dacie odejścia i pracowniku | HR | ▸ [min. 5 dni roboczych przed] lub natychmiast przy zwolnieniu dyscyplinarnym |
| 2 | Blokada konta AD / systemów | Admin IT | W dniu odejścia, do godziny 17:00 |
| 3 | Odebranie sprzętu firmowego (laptop, telefon, tokeny MFA) | HR / Admin IT | W dniu odejścia |
| 4 | Odwołanie kont zewnętrznych (chmura, SaaS) | Admin IT | ▸ [w ciągu 24h]max. 24h |
| 5 | Zmiana haseł kont współdzielonych (jeśli dotyczy) | Admin IT | ▸ [w ciągu 24h] |
| 6 | Odebranie fizycznych kluczy/kart dostępu | HR / Ochrona | W dniu odejścia |
| 7 | Podpisanie potwierdzenia zwrotu sprzętu i poufności | HR | W dniu odejścia |
| 8 | Archiwizacja konta (skrzynka e-mail, dane) przez ▸ [90 dni] | Admin IT | W dniu odejścia |
5. Postępowanie Dyscyplinarne za Naruszenia Bezpieczeństwa
| Typ naruszenia | Możliwe konsekwencje |
|---|---|
| Nieumyślne naruszenie polityki (pierwszorazowe) | ▸ [np. upomnienie ustne + dodatkowe szkolenie] |
| Umyślne naruszenie lub powtarzające się naruszenia | ▸ [np. upomnienie pisemne / kara finansowa / rozwiązanie umowy] |
| Poważne naruszenie (kradzież danych, sabotaż) | ▸ [rozwiązanie umowy bez wypowiedzenia + zgłoszenie organom ścigania] |
Postępowanie dyscyplinarne musi być zgodne z przepisami Kodeksu Pracy i wewnętrznego regulaminu pracy organizacji.
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-016 Bezpieczeństwo Zasobów Ludzkich | v1.0 | NIS2/KSC