Norm ID.02 Administratie van toegangsrechten
Waarom is dit nodig?
Een goede administratie van toegangsrechten maakt het mogelijk om de continuïteit van de processen te waarborgen. Stel je voor dat een medewerker vertrekt zonder dat de toegangsrechten goed zijn gedocumenteerd en beheerd. Dit kan problemen veroorzaken, zoals het niet kunnen openen van belangrijke gegevens of het uitvoeren van cruciale taken. Daarnaast maakt een goede administratie de rechten van de individuele gebruiker zichtbaar. Dit betekent dat het duidelijk is wie toegang heeft tot welke systemen, gegevens of functies binnen je organisatie. Deze transparantieHelder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet. is vanwege veiligheid, compliance en verantwoording. Het stelt je in staat om te controleren of gebruikers alleen toegang hebben tot wat ze nodig hebben voor hun functie en zo risico’s op misbruik van data of datalekken te minimaliseren. Bovendien draagt het bij aan het vertrouwen van medewerkers en leerlingen dat hun gegevens veilig worden beheerd en behandeld.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor gebruikersaccounts en en bijbehorende rechten.
- Er is geen administratieve procedure voor het vastleggen van gebruikers en rollen.
- Toegangsrechten worden ad hoc toegekend afhankelijk van individuen.
- Gebruikers zouden meer rechten kunnen hebben dan volgens het need-to-know/need-to-have-principe nodig is.
2 Herhaalbaar
- Er is informeel beleid voor alle gebruikersaccounts en toegangsrechten (intern, extern, administrator) en omstandigheden (normaal, noodgeval).
- Er is een administratieve procedure voor het vastleggen van accounts en rechten, maar deze is niet formeel vastgesteld.
- Toegang tot informatie is bepaald op basis van informatierisicomanagementHet beheersen van risico’s voor informatie, systemen, applicaties en processen langs de lijnen van de betrouwbaarheidskenmerken voor informatiebeveiliging (beschikbaarheid, vertrouwelijkheid en integriteit). Met andere woorden: het gaat hier om risicomanagement binnen het informatiebeveiligingsdomein. en komt overeen met beleids- en beveiligingseisen.
- Accounts worden geblokkeerd en toegangsrechten ingetrokken als een gebruiker ontslag neemt of ontslagen wordt.
3 Bepaald (streefniveau)
- Het beleid voor alle accounts en toegangsrechten is gedefinieerd, gedocumenteerd, formeel vastgesteld en gecommuniceerd.
- Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
- Er is een geschikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
- De toegangsrechten van werknemers zijn ingevoerd op basis van hun rollen.
4 Beheerst
Aanvullend op niveau 3:
- De toegangsrechten van werknemers worden periodiek vergeleken met hun verantwoordelijkheden.
- Op basis van deze vergelijkingen worden verbeteringen voorgesteld.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De performance en verbetering van accountbeheer en gerelateerde toegangsrechten worden voortdurend gemonitord.
- Tools (zoals provisioning) voor identity- en accessmanagement zijn succesvol ingevoerd.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Zie norm ID.01 Toegangsrechten toewijzen voor beleid en rol gebaseerde toegang.
- Stel een proces op voor het toekennen en wijzigen van toegangsrechten.
Gerelateerde wetten en normen
Norm ID.02 Administratie van toegangsrechten is gerelateerd aan de ISO-standaard 27001/2:2022.
ISO 27001/2:2022
- A5.2
- A5.3
- A5.15
- A5.16
- A5.17
- A5.18
- A8.2