Norm ID.02 Administratie van toegangsrechten

Toegangsrechten van medewerkers worden toegewezen in overeenstemming met de toegewezen taakverantwoordelijkheden, bijvoorbeeld via op rollen gebaseerde toegang. Beheerprocedures zijn beschikbaar voor het aanvragen, uitgeven of sluiten van een account en de bijbehorende toegangsrechten voor gebruikers. Deze procedure omvat tevens de methode om deze activiteiten op de juiste wijze te autoriseren. Toegang wordt verschaft op basis van het need-to-know/need-to-have-principe.

Waarom is dit nodig?

Een goede administratie van toegangsrechten maakt het mogelijk om de continuïteit van de processen te waarborgen. Stel je voor dat een medewerker vertrekt zonder dat de toegangsrechten goed zijn gedocumenteerd en beheerd. Dit kan problemen veroorzaken, zoals het niet kunnen openen van belangrijke gegevens of het uitvoeren van cruciale taken. Daarnaast maakt een goede administratie de rechten van de individuele gebruiker zichtbaar. Dit betekent dat het duidelijk is wie toegang heeft tot welke systemen, gegevens of functies binnen je organisatie. Deze transparantie is vanwege veiligheid, compliance en verantwoording. Het stelt je in staat om te controleren of gebruikers alleen toegang hebben tot wat ze nodig hebben voor hun functie en zo risico’s op misbruik van data of datalekken te minimaliseren. Bovendien draagt het bij aan het vertrouwen van medewerkers en leerlingen dat hun gegevens veilig worden beheerd en behandeld.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid voor gebruikersaccounts en en bijbehorende rechten.
  • Er is geen administratieve procedure voor het vastleggen van gebruikers en rollen.
  • Toegangsrechten worden ad hoc toegekend afhankelijk van individuen.
  • Gebruikers zouden meer rechten kunnen hebben dan volgens het need-to-know/need-to-have-principe nodig is.
2 Herhaalbaar
  • Er is informeel beleid voor alle gebruikersaccounts en toegangsrechten (intern, extern, administrator) en omstandigheden (normaal, noodgeval).
  • Er is een administratieve procedure voor het vastleggen van accounts en rechten, maar deze is niet formeel vastgesteld.
  • Toegang tot informatie is bepaald op basis van informatierisicomanagement en komt overeen met beleids- en beveiligingseisen.
  • Accounts worden geblokkeerd en toegangsrechten ingetrokken als een gebruiker ontslag neemt of ontslagen wordt.
3 Bepaald (streefniveau)
  • Het beleid voor alle accounts en toegangsrechten is gedefinieerd, gedocumenteerd, formeel vastgesteld en gecommuniceerd.
  • Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
  • Er is een geschikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
  • De toegangsrechten van werknemers zijn ingevoerd op basis van hun rollen.
4 Beheerst

Aanvullend op niveau 3:

  • De toegangsrechten van werknemers worden periodiek vergeleken met hun verantwoordelijkheden.
  • Op basis van deze vergelijkingen worden verbeteringen voorgesteld.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De performance en verbetering van accountbeheer en gerelateerde toegangsrechten worden voortdurend gemonitord.
  • Tools (zoals provisioning) voor identity- en accessmanagement zijn succesvol ingevoerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Gerelateerde wetten en normen

Norm ID.02 Administratie van toegangsrechten is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

  • A5.2
  • A5.3
  • A5.15
  • A5.16
  • A5.17
  • A5.18
  • A8.2
Afdrukken

Op deze pagina