Norm ID.01 Toegangsrechten toewijzen

De organisatie heeft in een autorisatiematrix toegangsgroepen of rollen gedefinieerd op basis van – door het schoolbestuur – vastgestelde regels, waaronder functiescheiding. Er zijn procedures vastgesteld die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het schoolbestuur keurt wijzigingen in vastgestelde rechten voor toegangsgroepen of rollen goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu, bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord, token of biometrische informatie.

Waarom is dit nodig?

Door toegangsrechten toe te wijzen aan groepen of rollen, maak je scheiding van functies mogelijk en schep je een duidelijke grondslag voor de toekenning van rechten aan personen. Als je alle activiteiten kunt herleiden tot een persoon, kun je bij incidenten nagaan wie wat wanneer gedaan heeft. Dit komt de betrouwbaarheid van gegevens en continuïteit ten goede.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid voor informatietoegang.
  • Er is geen SOLL-autorisatiematrix.
  • Niet alle activiteiten kunnen getraceerd worden naar uniek identificeerbare gebruikers.
2 Herhaalbaar
  • Er is informeel beleid voor informatietoegang ingevoerd.
  • Er is een SOLL-autorisatiematrix gedefinieerd, maar niet formeel vastgesteld.
  • Activiteiten van gebruikers met veel rechten kunnen getraceerd worden naar uniek identificeerbare gebruikers.
  • De gedefinieerde rollen en toegangsrechten van gebruikers zijn volgens organisatiebehoeften.
  • Functie-eisen zijn verbonden aan gebruiker-ID’s.
3 Bepaald (streefniveau)
  • Het beleid en de SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn gedefinieerd, formeel vastgesteld en gecommuniceerd en worden nauwgezet onderhouden.
  • De identificatie, authenticatie en autorisatie van gebruikers zijn ingevoerd en worden afgedwongen.
  • Toegangsrechten toegekend op basis van de SOLL-matrix worden periodiek vergeleken met de IST-situatie.
  • Activiteiten van gebruikers kunnen worden getraceerd naar uniek identificeerbare gebruikers.
  • Gebruiker-ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
4 Beheerst

Aanvullend op niveau 3:

  • (Kosteneffectieve) technische en beleidsmatige maatregelen voor gebruikersidentificatie, gebruikersauthenticatie en het afdwingen van gebruikersrechten worden up-to-date gehouden en periodiek geëvalueerd en gedocumenteerd.
  • Op basis van de evaluaties worden verbeteringen bepaald.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De werking en verbeteringen van de procedures rondom toegangsrechten en toepassingen worden voortdurend gevolgd.

Voorbeelddocumenten

Gerelateerde wetten en normen

Norm ID.01 Toegangsrechten toewijzen is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022

  • A5.2
  • A5.3
  • A5.15
  • A5.16,
  • A5.17
  • A5.18
  • A8.2

Certificeringsschema ROSA

  • Integriteit van de gegevens/Herleidbaarheid
Afdrukken

Op deze pagina