Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl
Home » Informatiebeveiliging » Domein 10: Identity- en accessmanagement » Norm ID.04

Norm ID.04 Noodprocedure superuserrechten

Er is een procedure vastgesteld om in geval van nood toegang van accounts met superuserrechten te beheren.

Waarom is dit nodig?

Om tijdens een noodgeval adequaat te kunnen handelen is een noodprocedure nodig. Tijdens een noodgeval kan het nodig zijn om bepaalde handelingen uit te voeren die alleen gedaan kunnen worden met een superuseraccount. De reguliere procedure voor de toekenning van deze accounts is bij een noodsituatie mogelijk te complex. Denk aan het uitvallen van een kritiek systeem, waarbij een superuseraccount nodig is om het te kunnen herstellen. Het kan dan voor de continuïteit nodig zijn dat iemand zonder superuserrechten handelingen kan uitvoeren die eigenlijk voorbehouden zijn aan gebruikers met superuserrechten.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen noodprocedure.
  • Het gebruik van noodtoegang met superuserrechten wordt niet of ad hoc gemonitord.
2 Herhaalbaar
  • Er is een noodprocedure maar deze is niet formeel vastgesteld.
  • Er is bepaald welke individuen geautoriseerd zijn om tijdelijke superuserrechten toe te kennen.
  • Noodingrepen worden vastgelegd.
  • Na elke noodtoegang worden wachtwoorden gewijzigd.
3 Bepaald (streefniveau)
  • De formele noodprocedure is gedefinieerd, gedocumenteerd en gecommuniceerd.
  • Het gebruik van de noodprocedure wordt bijgehouden.
  • Het gebruik van de noodprocedure wordt geëvalueerd, samen met de uitgevoerde ingrepen met superuserrechten en wijzigingen van de noodwachtwoorden.
4 Beheerst

Aanvullend op niveau 3:

  • De implementatie en de uitvoering van de noodprocedure worden periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Geautomatiseerde Privileged Access Management (PAM) tools zijn ingevoerd.
  • Op basis van de periodieke evaluaties worden de noodprocedure en de implementatie daarvan verbeterd.
  • Tekortkomingen en trends worden aan het schoolbestuur of de schoolleiding gerapporteerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Zorg ervoor dat een noodprocedure voor kritieke accounts onderdeel is van het proces rondom toegangsrechten.
  • Indien de noodprocedure wordt gebruikt, leg dit dan vast.
  • Evalueer na afloop van de noodsituatie de noodprocedure en voer eventueel verbeteringen door. Ga na of gebruik ervan volgens alle afspraken heeft plaatsgevonden.

Gerelateerde wetten en normen

Norm ID.04 Noodprocedure superuserrechten is gerelateerd aan de ISO-standaard 27001:2022.

ISO 27001/2:2022
  • A8.2
  • A8.15

Alle normen van dit domein

Afdrukken

Op deze pagina