Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl

Norm ID.05 Periodieke beoordeling van toegangsrechten

Het management beoordeelt periodiek de gebruikerstoegang die ingevoerd is voor de relevante applicaties (IST-situatie) om de juistheid van accounts en rollen (de toegangsrechten) te bevestigen, en valideert dat toegangsrechten passend zijn voor toegewezen taken, zoals bepaald door de toegangsregels (SOLL-situatie). Elke onjuiste toegang die tijdens het beoordelingsproces wordt opgemerkt, wordt direct ingetrokken. Deze controle houdt in dat SOLL- en IST-matrices worden vergeleken door het verantwoordelijke management.

Waarom is dit nodig?

Je wil voorkomen dat iemand ongeautoriseerd toegang krijgt tot het besturingssysteem, gegevens en applicaties. Daarom controleert het management periodiek de toegangsrechten.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen formeel vastgelegde procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties.
  • Er is geen SOLL-situatie gedefinieerd.
  • Evaluatie wordt ad hoc door individuen gedaan.
2 Herhaalbaar
  • Er is een procedure voor identity- en accessmanagement voor besturingssystemen en -applicaties, maar deze is niet formeel vastgelegd.
  • Er worden ad hoc SOLL-IST-evaluaties uitgevoerd voor gebruikers met veel privileges (verkopers, leveranciers, zakenpartners).
3 Bepaald (streefniveau)
  • De procedures voor identity- en accessmanagement en SOLL-IST-evaluaties zijn gedefinieerd, gedocumenteerd en formeel vastgelegd.
  • De SOLL- en IST-matrices worden voor alle gebruikers periodiek vergeleken, geëvalueerd en goedgekeurd door het management.
  • Ongepaste toegangsrechten worden ingetrokken.
  • De procedures voor identity- en accessmanagement en de SOLL-IST-evaluaties worden periodiek geëvalueerd en zijn effectief.
4 Beheerst

Aanvullend op niveau 3:

  • Op basis van periodieke evaluaties worden de procedures voor het beheer van toegangsrechten en SOLL-IST evaluaties gereviewd en verbeterd (als onderdeel van IAM).
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Tekortkomingen en trends worden automatisch gerapporteerd aan het schoolbestuur of de schoolleiding en indien van toepassing worden toegangsrechten automatisch ingetrokken volgens gerapporteerde uitzonderingen.
  • Periodiek worden er databasechecks uitgevoerd om de huidige processen te toetsen in relatie tot de functiescheidingsmatrix. Hierbij wordt gekeken naar ongebruikelijke transacties en gebieden voor verbetering (bijvoorbeeld met procesminingtechnieken).

Voorbeelddocumenten

Gerelateerde wetten en normen

Norm ID.05 Periodieke beoordeling van toegangsrechten is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.

ISO 27001/2:2022
  • A5.1
  • A5.18
  • A8.2

Certificeringsschema ROSA
  • Vertrouwelijkheid/Logische toegang

Alle normen van dit domein

Afdrukken

Op deze pagina