Norm ID.05 Periodieke beoordeling van toegangsrechten
Het management beoordeelt periodiek de gebruikerstoegang die ingevoerd is voor de relevante applicaties (IST-situatie) om de juistheid van accounts en rollen (de toegangsrechten) te bevestigen, en valideert dat toegangsrechten passend zijn voor toegewezen taken, zoals bepaald door de toegangsregels (SOLL-situatie). Elke onjuiste toegang die tijdens het beoordelingsproces wordt opgemerkt, wordt direct ingetrokken. Deze controle houdt in dat SOLL- en IST-matrices worden vergeleken door het verantwoordelijke management.
Waarom is dit nodig?
Je wil voorkomen dat iemand ongeautoriseerd toegang krijgt tot het besturingssysteem, gegevens en applicaties. Daarom controleert het management periodiek de toegangsrechten.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen formeel vastgelegde procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties.
- Er is geen SOLL-situatie gedefinieerd.
- Evaluatie wordt ad hoc door individuen gedaan.
2 Herhaalbaar
- Er is een procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties, maar deze is niet formeel vastgelegd.
- Er worden ad hoc SOLL-IST-evaluaties uitgevoerd voor gebruikers met veel privileges (verkopers, leveranciersAanbieders van ICT- of leermiddelen., zakenpartners).
3 Bepaald (streefniveau)
- De procedures voor identity- en accessmanagement en SOLL-IST-evaluaties zijn gedefinieerd, gedocumenteerd en formeel vastgelegd.
- De SOLL- en IST-matrices worden voor alle gebruikers periodiek vergeleken, geëvalueerd en goedgekeurd door het management.
- Ongepaste toegangsrechten worden ingetrokken.
- De procedures voor identity- en accessmanagement en de SOLL-IST-evaluaties worden periodiek geëvalueerd en zijn effectief.
4 Beheerst
Aanvullend op niveau 3:
- Op basis van periodieke evaluaties worden de procedures voor het beheer van toegangsrechten en SOLL-IST evaluaties gereviewd en verbeterd (als onderdeel van IAM).
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Tekortkomingen en trends worden automatisch gerapporteerd aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding en indien van toepassing worden toegangsrechten automatisch ingetrokken volgens gerapporteerde uitzonderingen.
- Periodiek worden er databasechecks uitgevoerd om de huidige processen te toetsen in relatie tot de functiescheidingsmatrix. Hierbij wordt gekeken naar ongebruikelijke transacties en gebieden voor verbetering (bijvoorbeeld met procesminingtechnieken).
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm ID.05 Periodieke beoordeling van toegangsrechten is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.
ISO 27001/2:2022
- A5.1
- A5.18
- A8.2
Certificeringsschema ROSA
- Vertrouwelijkheid/Logische toegang