← Indice pacchetto onboarding
Access Review & Recertification — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P3 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Template per la revisione periodica degli accessi (recertification): verificare a intervalli regolari che chi ha accesso a un sistema/dato ne abbia ancora bisogno, con firma dell'owner del sistema. È un requisito NIS 2 (gestione del ciclo di vita degli accessi) e serve a mantenere pulito nel tempo lo stato ricostruito con gli audit P1/P2. Attività di governance ricorrente, non una tantum.
Principi
- Ogni sistema/dato ha un owner (business o IT) che approva gli accessi.
- La revisione conferma o revoca; ogni decisione è tracciata e firmata.
- Least privilege: in dubbio si revoca (dopo verifica con l'interessato).
- Gli account dormienti e i permessi diretti individuati negli audit confluiscono qui per la decertificazione.
Cadenza
| Ambito | Frequenza | Owner della revisione |
|---|
| Account privilegiati (admin, servizio, break-glass) | Trimestrale | Responsabile IT di Gruppo |
| Accessi a dati sensibili (HR, finanza, legale, IP) | Semestrale | Owner del dato + IT |
| Accessi utente standard per società/reparto | Annuale | Responsabile di reparto |
| Accessi fornitori esterni | Ad ogni rinnovo contratto + semestrale | IT + referente contratto |
| Off-boarding (uscita persona) | Immediato (evento) | HR → IT |
Scheda di revisione (una per sistema/ambito)
Sistema/ambito: [da compilare]
Owner: [da compilare] · Data revisione: [da compilare] · Periodo coperto: [da compilare]
| # | Utente/account | Accesso attuale (ruolo/permesso) | Ancora necessario? (S/N) | Motivazione | Decisione (mantieni/riduci/revoca) | Note |
|---|
| 1 | [da compilare] | | | | | |
| 2 | | | | | | |
Esito sintetico: accessi confermati [__] · ridotti [__] · revocati [__]
Firma owner
| Ruolo | Nome | Firma | Data |
|---|
| Owner del sistema/dato | [da compilare] | | |
| Responsabile IT di Gruppo | [da compilare] | | |
Registro delle campagne di revisione
| Campagna | Ambito | Data avvio | Data chiusura | Owner | Accessi revocati | Note |
|---|
| [da compilare] | | | | | | |
Collegamenti con gli altri documenti
- Input account privilegiati →
privileged-accounts-register.md - Input account di servizio →
service-accounts-inventory.md - Input dormienti/MFA →
identity-access-audit.md - Input permessi file →
fileserver-acl-report.md
Note operative
- Prima campagna consigliata: subito dopo il completamento degli audit P1/P2, come chiusura del ciclo di ricostruzione.
- Automatizzabile in parte con Entra ID Access Reviews (se licenza P2 disponibile):
[da verificare licenze]. - Ogni revoca va coordinata col team e con l'interessato per evitare interruzioni operative.