Кто должен регистрировать пользователей в ИС - Форум по вопросам информационной безопасности

Уважаемые гуру, такой вопрос!
Кто должен регистрировать пользователей в ИС - инфбез или ИТ админы?

По уму - отдел кадров, HR.
Но я только один раз видел как это реализовано на практике.

А есть ли какой то нормативный документ или стандарт, который определяет это?

IT - регистрация по заявкам к различным системам, блокировка/удаление, уточнение реквизитов.
ИБ- согласования (по списку работников, иногда по ролям - если идёт запрос на повышенные привилегии администратора) и контроль УЗ (инвентаризация)
HR - занесение в систему штатной книги, предоставлять актуальные списки работников,

Если в системах имеется автоматическая блокировка УЗ, отмеченного в системе штатной книги как уволенного работника - большой плюс.

можно развести ещё бюрократию:
+ Рук. подразделения работника - согласование действительности необходимости доступа его работника в систему
+ "Владелец" системы - согласование доступа указанного работника к данным его ("владельца") системы.

Не думаю что в ИСО описано что именно кто то должен это делать, выбор за организацией, учитывая свои риски.
Хотя может ошибаюсь возможно и есть документ

Если по существу вопроса, то следует исходить из того, что по стастике 80% целевых атак предполагает получение прав системного администратора, кроме того, именно системный администратор - это наиболее опасный потенциальный инсайдер. Усечение прав и контроль действий системных администраторов - это одна из важнейших современных задач защиты информации.
Вот и думайте, кто и что должен делать в ИС.
Относительно "бумажной безопасности" не подскажу, это не интересно.