Home » Informatiebeveiliging » Domein 10: Identity- en accessmanagement » Norm ID.01

Norm ID.01 Toegangsrechten toewijzen

De organisatie heeft in een autorisatiematrix toegangsgroepen of rollen gedefinieerd op basis van – door het schoolbestuur – vastgestelde regels, waaronder functiescheiding. Er zijn procedures vastgesteld die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het schoolbestuur keurt wijzigingen in vastgestelde rechten voor toegangsgroepen of rollen goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu, bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord, token of biometrische informatie.

Waarom is dit nodig?

Door toegangsrechten toe te wijzen aan groepen of rollen, maak je scheiding van functies mogelijk en schep je een duidelijke grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. voor de toekenning van rechten aan personen. Als je alle activiteiten kunt herleiden tot een persoon, kun je bij incidenten nagaan wie wat wanneer gedaan heeft. Dit komt de betrouwbaarheid van gegevens en continuïteit ten goede.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid voor informatietoegang.
Er is geen SOLL-autorisatiematrix.
Niet alle activiteiten kunnen getraceerd worden naar uniek identificeerbare gebruikers.

2 Herhaalbaar

Er is informeel beleid voor informatietoegang ingevoerd.
Er is een SOLL-autorisatiematrix gedefinieerd, maar niet formeel vastgesteld.
Activiteiten van gebruikers met veel rechten kunnen getraceerd worden naar uniek identificeerbare gebruikers.
De gedefinieerde rollen en toegangsrechten van gebruikers zijn volgens organisatiebehoeften.
Functie-eisen zijn verbonden aan gebruiker-id’s.

3 Bepaald (streefniveau)

Het beleid en de SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn gedefinieerd, formeel vastgesteld en gecommuniceerd en worden nauwgezet onderhouden.
De identificatie, authenticatieAuthenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt. en autorisatie van gebruikers zijn ingevoerd en worden afgedwongen.
Toegangsrechten toegekend op basis van de SOLL-matrix worden periodiek vergeleken met de IST-situatie.
Activiteiten van gebruikers kunnen worden getraceerd naar uniek identificeerbare gebruikers.
Gebruiker-id’s en toegangsrechten worden bijgehouden in een centrale opslag.

4 Beheerst

Aanvullend op niveau 3:

(Kosteneffectieve) technische en beleidsmatige maatregelen voor gebruikersidentificatie, gebruikersauthenticatie en het afdwingen van gebruikersrechten worden up-to-date gehouden en periodiek geëvalueerd en gedocumenteerd.
Op basis van de evaluaties worden verbeteringen bepaald.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De werking en verbeteringen van de procedures rondom toegangsrechten en toepassingen worden voortdurend gevolgd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Maak logische toegangsbeveiliging onderdeel van het IBP-beleid. Zie voor meer informatie over het IBP-beleid norm GO.02 Beleid informatiebeveiliging.
Laat een autorisatiematrixEen schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens. Dat gebeurt bij voorkeur op basis van rollen, functies of een mix daarvan, zodat het need-to-know-principe wordt toegepast. vaststellen door de systeem- of proceseigenaar voor alle kritische applicaties. Denk hierbij aan financiële administratie, personeelsadministratie, leerlingenadministratie, LAS en elektronische leeromgevingen. Hiermee wordt voorkomen dat op individueel niveau telkens opnieuw toegangsrechten bepaald moeten worden en het maakt uitzonderingen goed te beargumenteren. Gebruikers krijgen alleen toegang tot de systemen en informatie op een need to know basis. Dat wil zeggen op basis van wat ze vanuit hun rol nodig hebben.
Onderzoek minimaal elk kwartaal of de toegekende toegangsrechten overeenkomen met de vastgestelde autorisatiematrix. Leg afwijkingen voor aan de systeemeigenaar.
Zorg ervoor dat elke applicatie werkt met identificatie, authenticatie en autorisatie van gebruikers.
SlaService Level Agreement ook wel dienstverleningsovereenkomst (DVO). Bijlage bij een contract waarin de kwaliteit van de dienstverlening beschreven staat. Zo weet de afnemer bijvoorbeeld welke ondersteuning hij kan verwachten, is bepaald wat de beschikbaarheidseisen van de dienst zijn en hoe snel incidenten opgelost worden. gebruiker-id’s en toegangsrechten centraal op.

Gerelateerde wetten en normen

Norm ID.01 Toegangsrechten toewijzen is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022

A5.2
A5.3
A5.15
A5.16,
A5.17
A5.18
A8.2

Certificeringsschema ROSA

Integriteit van de gegevens/Herleidbaarheid

Afdrukken