Privind gestionarea cheilor și mijloacelor de acces

Toate cheile, dublurile, cheile de rezervă, badge-urile, cardurile, tag-urile, telecomenzile și orice alte mijloace de acces utilizate în cadrul unității se gestionează în mod controlat, cu trasabilitate și responsabilitate nominală.

Cheile și mijloacele de acces se utilizează exclusiv în scop de serviciu, în limitele atribuțiilor de serviciu și numai pentru spațiile, încăperile, zonele și echipamentele pentru care persoana în cauză a fost autorizată.

Se interzice utilizarea cheilor sau a mijloacelor de acces de către persoane neautorizate, precum și accesarea spațiilor pentru care nu există aprobare explicită.

Persoana căreia i s-a predat o cheie sau un mijloc de acces răspunde individual pentru păstrarea, folosirea corectă și predarea acestuia în condițiile stabilite de prezenta politică.

Gestionarea cheilor și a mijloacelor de acces se realizează în concordanță cu măsurile organizatorice și tehnice rezultate din analiza de risc la securitate fizică și din regulile interne ale unității.

Prezenta politică se aplică tuturor angajaților, colaboratorilor, personalului temporar, personalului tehnic, agenților de pază, prestatorilor și oricăror alte persoane care primesc, utilizează sau administrează chei ori mijloace de acces ale unității.

Nicio cheie sau mijloc de acces nu se predă fără aprobarea persoanei desemnate sau a conducerii, după caz, și fără consemnarea operațiunii în evidența internă.

Accesul prin chei sau mijloace electronice se acordă pe principiul necesității profesionale, numai pentru spațiile strict necesare desfășurării activității persoanei autorizate.

Cheile se clasifică în chei curente operaționale, chei de rezervă, chei tehnice, chei master, chei pentru zone restricționate și alte categorii stabilite intern.

Badge-urile, cardurile, tag-urile, telecomenzile și alte mijloace electronice de acces se clasifică în funcție de nivelul de acces, zona autorizată, programul orar și profilul utilizatorului.

Cheile operaționale curente se gestionează separat față de cheile de rezervă, astfel încât utilizarea cheilor de rezervă să fie strict controlată și justificată.

Seturile de chei se identifică prin coduri interne, numere, simboluri sau alte elemente controlate intern, fără a expune în mod direct denumirea exactă a spațiului deservit.

Nivelurile de acces se stabilesc diferențiat pentru personal operațional, personal administrativ, conducere, personal tehnic, pază, personal de curățenie, furnizori și alte categorii justificate.

Cheile master, cheile generale sau alte chei cu acces extins se supun unui regim special de aprobare, evidență și păstrare, cu număr limitat de exemplare și acces strict restricționat.

Cheile și mijloacele de acces utilizate pentru spații tehnice, camere server, tablouri electrice, arhive, casierii, depozite de valori sau alte zone sensibile se gestionează separat, în regim special.

Unitatea menține un registru de evidență a cheilor și a mijloacelor de acces, în format fizic, electronic sau mixt, care permite identificarea clară a operațiunilor efectuate.

Registrul de evidență conține cel puțin: numărul curent, data și ora operațiunii, tipul cheii sau al mijlocului de acces, persoana care predă, persoana care primește, semnătura și observații.

Fiecare cheie sau mijloc de acces predat este evidențiat nominal, cu indicarea persoanei responsabile, a spațiului deservit și a perioadei de utilizare.

Toate operațiunile privind emiterea, predarea, primirea, returnarea, blocarea, dezactivarea, pierderea, furtul sau anularea cheilor și a mijloacelor de acces trebuie să fie trasabile documentat.

Se interzice predarea oricărei chei sau a oricărui badge, card sau mijloc de acces fără înregistrarea prealabilă sau concomitentă a operațiunii în evidența internă.

Istoricul operațiunilor privind cheile și mijloacele de acces se păstrează conform regulilor interne, astfel încât să poată fi verificat ulterior în cadrul controalelor interne sau al analizei incidentelor.

Cheile de rezervă se evidențiază distinct față de cheile curente, cu menționarea locului de păstrare, a persoanelor autorizate și a fiecărei utilizări excepționale.

Badge-urile, cardurile, tag-urile și celelalte mijloace electronice de acces se evidențiază distinct, inclusiv cu menționarea drepturilor de acces acordate, a perioadei de valabilitate și a stării acestora.

Predarea cheilor și a mijloacelor de acces se face numai persoanelor autorizate în mod expres, în limitele rolului și responsabilităților atribuite.

Predarea cheilor și a mijloacelor de acces se face pe bază de semnătură, prin registru, formular intern, proces-verbal sau alt document echivalent de evidență.

Cheile și mijloacele de acces se predau, de regulă, la începutul programului sau al turei și se restituie la finalul acesteia, dacă organizarea internă impune acest mod de lucru.

Predarea se face personal, direct persoanei autorizate, fără intermediere nejustificată și fără lăsarea cheilor sau mijloacelor de acces în locuri nesupravegheate.

La predarea cheilor sau a mijloacelor de acces se verifică identitatea persoanei, dreptul acesteia de acces și existența aprobării interne aferente.

În obiectivele cu program în ture, predarea și primirea cheilor se face între persoanele desemnate, cu verificarea integrității seturilor și cu consemnarea operațiunii în evidența internă.

Se interzice împrumutarea, cedarea temporară sau transmiterea informală a cheilor și a mijloacelor de acces între angajați, fără aprobare și fără actualizarea evidenței interne.

Cheile și mijloacele de acces se restituie obligatoriu la termenul stabilit, la schimbarea atribuțiilor, la suspendarea activității, la încetarea contractului sau ori de câte ori este dispus acest lucru de conducere.

Cheile neaflate în utilizare se păstrează în dulapuri, casete, panouri sau suporturi dedicate, amplasate în spații controlate și accesibile numai persoanelor autorizate.

Accesul la dulapul, caseta sau panoul de chei se limitează strict la persoanele desemnate prin decizie internă sau prin atribuții de serviciu.

Se interzice păstrarea cheilor în sertare neasigurate, pe birouri, în spații comune, în obiecte personale neprotejate sau în orice alte locuri ușor accesibile persoanelor neautorizate.

Se interzice etichetarea cheilor într-un mod care permite identificarea directă și facilă a spațiului deservit de către persoane neautorizate.

Cheile aferente zonelor sensibile, restricționate sau cu valori importante se păstrează distinct față de cheile obișnuite, în condiții sporite de securitate.

Badge-urile, cardurile, tag-urile și telecomenzile se păstrează astfel încât să nu poată fi utilizate, copiate, fotografiate, pierdute sau accesate neautorizat.

Persoanele care utilizează chei sau mijloace de acces nu le vor lăsa nesupravegheate în vestiare, autovehicule, spații comune, recepții, săli de mese sau alte zone nesecurizate.

Codurile, PIN-urile sau alte elemente de autentificare asociate mijloacelor de acces se păstrează confidențial și nu se notează în mod vizibil împreună cu badge-ul, cardul sau telecomanda aferentă.

Cheile de rezervă se păstrează separat de cheile operaționale curente, în condiții de securitate sporite și sub controlul unei persoane desemnate.

Accesul la cheile de rezervă este permis numai persoanelor autorizate și numai în situații justificate, documentate și consemnate în evidența internă.

Cheile de rezervă se pot păstra sigilate, în plicuri, pungi, casete sau compartimente securizate, astfel încât orice utilizare să poată fi constatată și documentată.

Toate dublurile de chei se evidențiază distinct, cu menționarea numărului de exemplare existente și a persoanelor sau locurilor unde acestea se află.

Numărul de copii sau dubluri ale cheilor se limitează la strictul necesar funcționării obiectivului și al asigurării continuității activității.

Se interzice realizarea de copii, dubluri sau replici ale cheilor fără aprobarea conducerii sau a persoanei desemnate și fără actualizarea imediată a evidenței interne.

Cheile de rezervă și dublurile se verifică periodic pentru a confirma existența lor, integritatea ambalajului sau a sigiliului și corespondența cu evidența internă.

Cheile și mijloacele de acces aferente zonelor restricționate se supun unui regim special de aprobare, predare, utilizare și control.

Pentru fiecare zonă restricționată se stabilește lista persoanelor autorizate să dețină sau să utilizeze chei ori mijloace de acces aferente acelei zone.

Accesul la camere tehnice, camere server, tablouri electrice, spații de comunicații, arhive, casierii și alte zone critice este permis doar persoanelor nominalizate și instruite.

Cheile pentru zonele sensibile se gestionează distinct față de celelalte chei, cu evidență și control suplimentar, pentru a reduce riscul de acces neautorizat.

Pentru badge-uri și carduri, drepturile de acces în zonele sensibile se configurează diferențiat pe utilizator, interval orar, zonă și nivel de autorizare.

Drepturile de acces în zonele sensibile se revizuiesc periodic și ori de câte ori apar schimbări de personal, modificări de activitate sau incidente relevante.

Badge-urile, cardurile, tag-urile și telecomenzile se emit numai pe baza aprobării interne și a unei necesități operaționale justificate.

Drepturile de acces electronice se configurează în funcție de rolul, programul și responsabilitățile persoanei, evitând acordarea unor drepturi mai largi decât este necesar.

Badge-urile și cardurile temporare se emit cu valabilitate limitată, corespunzătoare perioadei strict necesare desfășurării activității autorizate.

La încetarea raportului de muncă, suspendarea activității, schimbarea funcției sau retragerea drepturilor de acces, badge-urile și cardurile se recuperează și se dezactivează fără întârziere.

Se interzice utilizarea badge-ului, cardului, tag-ului sau telecomenzii de către altă persoană decât titularul autorizat, cu excepția situațiilor expres aprobate și documentate.

Se interzice fotografierea, copierea, clonarea sau divulgarea elementelor care pot facilita reproducerea, utilizarea frauduloasă sau compromiterea mijloacelor electronice de acces.

Badge-urile, cardurile și celelalte mijloace electronice deteriorate, expirate sau nefuncționale se recuperează și se scot din uz prin procedură controlată.

În cazul pierderii, furtului sau compromiterii unui badge, card, tag sau telecomandă, acesta se dezactivează imediat ce incidentul este cunoscut, pentru limitarea riscului de acces neautorizat.

Drepturile de acces acordate prin badge-uri și carduri se verifică periodic pentru a elimina accesul excesiv, nejustificat sau devenit inutil ca urmare a schimbărilor interne.

Pierderea unei chei sau a unui mijloc de acces se raportează imediat superiorului ierarhic și persoanei responsabile cu gestionarea cheilor sau a accesului.

Furtul unei chei, al unui badge, card, tag sau al altui mijloc de acces se raportează imediat, fără întârziere, pentru luarea măsurilor tehnice și organizatorice necesare.

Orice suspiciune privind copierea, compromiterea, utilizarea frauduloasă sau accesarea neautorizată a unei chei ori a unui mijloc de acces se raportează imediat conducerii și persoanelor responsabile.

În cazul unui incident de securitate privind accesul, se dispun imediat măsuri precum blocarea accesului, dezactivarea badge-ului, anularea drepturilor, schimbarea cilindrului sau alte măsuri compensatorii adecvate.

După fiecare incident privind cheile sau mijloacele de acces, se analizează impactul, cauzele, vulnerabilitățile și necesitatea adoptării unor măsuri suplimentare.

Fiecare incident privind pierderea, furtul, nepredarea, utilizarea neautorizată sau compromiterea accesului se consemnează într-un document intern sau registru dedicat.

Atunci când riscul o impune, se procedează la înlocuirea cilindrilor, broaștelor, seturilor de chei, codurilor, profilurilor de acces sau a altor elemente compromise.

Persoanele implicate au obligația de a coopera la clarificarea incidentului, de a oferi informații corecte și complete și de a respecta măsurile dispuse după constatare.

La încetarea raporturilor de muncă, colaborării sau detașării, persoana are obligația de a preda toate cheile, badge-urile, cardurile, telecomenzile și celelalte mijloace de acces primite.

Recuperarea mijloacelor de acces se face înainte de plecarea efectivă a persoanei din unitate sau cel târziu la ultima zi de activitate autorizată.

În cazul schimbării funcției, mutării pe alt post sau modificării atribuțiilor, drepturile de acces se revizuiesc imediat, iar cheile sau mijloacele devenite nejustificate se retrag.

Predarea tuturor cheilor și a mijloacelor de acces la încetarea activității se consemnează prin proces-verbal, registru sau alt document intern echivalent.

La încetarea activității sau retragerea dreptului de acces, badge-urile, cardurile și celelalte mijloace electronice se dezactivează imediat după recuperare sau chiar în absența recuperării, dacă situația o impune.

În cazul nepredării cheilor sau a mijloacelor de acces, unitatea dispune măsuri tehnice și organizatorice adecvate pentru protejarea obiectivului și limitarea riscului de acces neautorizat.

Cheile sau mijloacele de acces temporare se acordă furnizorilor, colaboratorilor, prestatorilor sau altor persoane externe numai în măsura în care există o necesitate justificată și aprobată.

Accesul temporar se acordă pentru durata strict necesară realizării activității aprobate și se retrage imediat după încheierea acesteia.

Cheile, badge-urile sau cardurile temporare se evidențiază distinct, cu menționarea persoanei, a scopului, a intervalului de acces și a momentului returnării sau dezactivării.

Persoanele externe care accesează zone sensibile, tehnice sau restricționate sunt, după caz, însoțite de personal autorizat al unității.

Se interzice păstrarea cheilor sau a mijloacelor de acces temporare peste perioada aprobată ori utilizarea acestora în afara scopului pentru care au fost emise.

Accesul electronic temporar se configurează, pe cât posibil, cu expirare automată la finalul perioadei aprobate.

Unitatea efectuează periodic inventarierea cheilor, a dublurilor, a cheilor de rezervă și a mijloacelor de acces, pentru verificarea corespondenței dintre existența fizică și evidența scriptică.

Conducerea sau persoana desemnată poate dispune verificări inopinate privind existența, păstrarea și utilizarea corectă a cheilor și a mijloacelor de acces.

Se verifică periodic corectitudinea registrelor și documentelor de predare-primire, inclusiv completarea integrală, semnăturile și concordanța cu situația din teren.

Drepturile de acces acordate fizic sau electronic se revizuiesc periodic și ori de câte ori intervin schimbări de personal, modificări de proces, incidente sau reorganizări interne.

Respectarea prezentei politici face obiectul controalelor interne, auditului intern sau altor mecanisme de verificare stabilite de conducere.

Orice neconformitate constatată privind evidența, păstrarea, utilizarea sau predarea cheilor și a mijloacelor de acces se documentează și se tratează prin măsuri corective.

Persoanele care primesc chei sau mijloace de acces sunt instruite cu privire la obligațiile de păstrare, utilizare, raportare și predare stabilite prin prezenta politică.

Titularii cheilor și ai mijloacelor de acces sunt informați expres cu privire la interdicția cedării, copierii, utilizării de către alte persoane sau păstrării necorespunzătoare.

Persoanele vizate confirmă luarea la cunoștință a regulilor aplicabile prin semnătură, procedură electronică sau alt mecanism intern echivalent.

Instruirea privind gestionarea cheilor și a mijloacelor de acces se reia periodic și ori de câte ori intervin modificări relevante ale politicii sau ale organizării accesului.

Se interzice realizarea de copii ale cheilor, badge-urilor, cardurilor sau telecomenzilor fără aprobarea expresă a conducerii ori a persoanei desemnate.

Se interzice cedarea, împrumutarea sau predarea informală a cheilor ori a mijloacelor de acces către colegi, colaboratori sau alte persoane neautorizate.

Se interzice păstrarea cheilor împreună cu etichete, notițe, coduri, adrese, parole sau alte informații care pot facilita identificarea și utilizarea frauduloasă a acestora.

Se interzice scoaterea din obiectiv a cheilor, badge-urilor sau a altor mijloace de acces, cu excepția situațiilor aprobate și justificate de nevoile operaționale.

Se interzice utilizarea cheilor sau a mijloacelor de acces în afara programului sau în afara intervalelor autorizate, fără aprobare expresă.

Se interzice divulgarea către persoane neautorizate a regulilor privind păstrarea, distribuirea, controlul și utilizarea cheilor și a mijloacelor de acces.

Nerespectarea regulilor prevăzute de prezenta politică constituie abatere disciplinară și se tratează potrivit regulamentului intern, contractului de muncă și dispozițiilor legale aplicabile.

În cazul încălcării regulilor privind gestionarea cheilor și a mijloacelor de acces, conducerea poate dispune măsuri administrative precum retragerea dreptului de acces, restrângerea accesului sau alte măsuri adecvate.

În funcție de gravitatea incidentului, se pot dispune imediat măsuri tehnice precum reconfigurarea accesului, schimbarea cilindrilor, anularea cardurilor sau creșterea controlului asupra zonelor afectate.

Persoanele care, prin nerespectarea regulilor, cauzează sau favorizează producerea unui prejudiciu, a unui incident de securitate sau a unei vulnerabilități pot răspunde potrivit legii și regulilor interne aplicabile.

După constatarea unei neconformități sau a unui incident, se stabilesc măsuri corective, termene și responsabili pentru readucerea sistemului de gestionare a cheilor și a accesului în parametri de siguranță.

Prezenta politică intră în vigoare la data aprobării sau la data stabilită prin decizia internă și este obligatorie pentru toate persoanele vizate.

Politica se comunică persoanelor vizate prin mijloacele stabilite intern, inclusiv prin semnătură, afișare controlată, comunicare electronică sau instruire directă.

Prezenta politică se revizuiește periodic și ori de câte ori intervin schimbări organizatorice, tehnice, legislative sau incidente relevante de securitate.

Prezenta politică se aplică în corelare cu regulamentul intern, planul de pază, procedurile de control acces, procedurile de raportare incidente și celelalte documente interne relevante.

Conținutul politicii se adaptează în funcție de specificul obiectivului, de măsurile rezultate din analiza de risc la securitate fizică și de organizarea concretă a unității.