Norm ID.05 Periodieke beoordeling van toegangsrechten

Het management beoordeelt periodiek de gebruikerstoegang die ingevoerd is voor de relevante applicaties (IST-situatie) om de juistheid van accounts en rollen (de toegangsrechten) te bevestigen, en valideert dat toegangsrechten passend zijn voor toegewezen taken, zoals bepaald door de toegangsregels (SOLL-situatie). Elke onjuiste toegang die tijdens het beoordelingsproces wordt opgemerkt, wordt direct ingetrokken. Deze controle houdt in dat SOLL- en IST-matrices worden vergeleken door het verantwoordelijke management.

Waarom is dit nodig?

Je wil voorkomen dat iemand ongeautoriseerd toegang krijgt tot het besturingssysteem, gegevens en applicaties. Daarom controleert het management periodiek de toegangsrechten.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen formeel vastgelegde procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties.
  • Er is geen SOLL-situatie gedefinieerd.
  • Evaluatie wordt ad hoc door individuen gedaan.
2 Herhaalbaar
  • Er is een procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties, maar deze is niet formeel vastgelegd.
  • Er worden ad hoc SOLL-IST-evaluaties uitgevoerd voor gebruikers met veel privileges (verkopers, leveranciers, zakenpartners).
3 Bepaald (streefniveau)
  • De procedures voor identity- en accessmanagement en SOLL-IST-evaluaties zijn gedefinieerd, gedocumenteerd en formeel vastgelegd.
  • De SOLL- en IST-matrices worden voor alle gebruikers periodiek vergeleken, geëvalueerd en goedgekeurd door het management.
  • Ongepaste toegangsrechten worden ingetrokken.
  • De procedures voor identity- en accessmanagement en de SOLL-IST-evaluaties worden periodiek geëvalueerd en zijn effectief.
4 Beheerst

Aanvullend op niveau 3:

  • Op basis van periodieke evaluaties worden de procedures voor het beheer van toegangsrechten en SOLL-IST evaluaties gereviewd en verbeterd (als onderdeel van IAM).
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Tekortkomingen en trends worden automatisch gerapporteerd aan het schoolbestuur of de schoolleiding en indien van toepassing worden toegangsrechten automatisch ingetrokken volgens gerapporteerde uitzonderingen.
  • Periodiek worden er databasechecks uitgevoerd om de huidige processen te toetsen in relatie tot de functiescheidingsmatrix. Hierbij wordt gekeken naar ongebruikelijke transacties en gebieden voor verbetering (bijvoorbeeld met procesminingtechnieken).

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Zorg dat de periodieke controle op de toegekende rechten en rollen opgenomen is in het proces rondom toegangsrechten. Blijkt uit controle dat er ongepaste toegangsrechten zijn? Geef dan opdracht aan it om deze rechten in te trekken.

Gerelateerde wetten en normen

Norm ID.05 Periodieke beoordeling van toegangsrechten is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022

  • A5.1
  • A5.18
  • A8.2

Certificeringsschema ROSA

  • Vertrouwelijkheid/Logische toegang

.

Afdrukken

Op deze pagina