Norm PH.02 Beheer van fysieke toegangsrechten
Waarom is dit nodig?
Medewerkers moeten voor het vervullen van hun functie toegang hebben tot bepaalde ruimtes in de school. Hiervoor geef je toegangsrechten uit. Als medewerkers een andere functie krijgen of de school verlaten, trek je die toegangsrechten in. Dit hou je bij in een overzichtelijke administratie. Zo houd je grip op wie wel toegang heeft tot ruimtes met gevoelige informatie en it-componenten en wie niet. Op deze manier houd je de beveiliging hiervan op orde.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er zijn geen procedures vastgelegd voor de administratie van fysieke toegang.
- Medewerkers hebben onbeperkt fysieke toegang tot het terrein, de gebouwen en de ruimtes van de organisatie.
- Andere procedures voor beheer en bescherming van fysieke it-eigendommen zijn niet of nauwelijks vastgelegd.
2 Herhaalbaar
- Er zijn informele procedures om toegang tot specifieke ruimtes te beperken.
- Fysieke beveiligingsdoelen zijn niet gebaseerd op formele standaarden of organisatiedoelen.
- Onderhoudsprocedures voor de faciliteiten worden niet (goed) vastgelegd en hangen vooral af van de good practices van enkele individuen.
3 Bepaald (streefniveau)
- Er worden formeel vastgelegde procedures voor de administratie van fysieke toegang toegepast.
- Er worden beveiligingsmaatregelen en toegangsbeperkingen toegepast zodat alleen geautoriseerde medewerkers fysieke toegang heeft tot gebouwen, it-kritieke omgevingen of datacenters.
- Toegang tot fysieke it-omgevingen (serverruimtes) wordt verleend op basis van functie en verantwoordelijkheden.
- Er zijn procedures om de toegangsprofielen up-to-date te houden.
- Er is een proces ingevoerd om alle toegangen tot fysieke it-omgevingen te controleren en te bewaken, waarbij alle bezoekers, inclusief leveranciersAanbieders van ict- of leermiddelen. en onderhoudsmedewerkers, worden geregistreerd.
- Verantwoordelijkheden en eigenaarschap zijn duidelijk toegewezen en gecommuniceerd.
4 Beheerst
Aanvullend op niveau 3:
- Daadwerkelijke toegang en overtredingen van het toegangsbeleid wordt streng gecontroleerd en periodiek bekeken.
- Gestandaardiseerde technieken worden toegepast om omgevings- en veiligheidsfactoren voor fysieke beveiliging aan te pakken.
- Het management onderzoekt periodiek de doeltreffendheid van de autorisaties en het gebruik van de toe te passen standaarden.
- Het management heeft doelen en metrics vastgesteld voor het beheer van fysieke it-omgevingen.
- De operationele effectiviteit van de fysieke beveiligingsprocedures wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Toegangsbeheer wordt voortdurend gecontroleerd.
- De omgeving wordt beheerd en bewaakt door gespecialiseerde apparatuur en hardwareruimtes worden op afstand beheerd.
- Er worden preventief onderhoudsprogramma’s uitgevoerd volgens strikte tijdschema’s en gevoelige apparatuur wordt regelmatig getest en gecontroleerd.
- Strategieën en standaarden voor faciliteiten zijn volgens it-beschikbaarheidsdoelen en geïntegreerd in continuïteitsplanning en crisismanagement.
- De fysieke beveiligingsfaciliteiten worden door het management geëvalueerd en geoptimaliseerd op basis van de vastgestelde doelen en metrics.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Zorg er voor dat kritieke it-ruimtes toegangsbeperkende maatregelen hebben. Maak bij voorkeur gebruik van een toegangssysteem (met pas) en niet alleen van een sleutel.
- Bepaal met een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. welke andere fysieke maatregelen noodzakelijk zijn, zoals een alarmsysteem in de nacht.
- Maak een overzicht waarin is vastgelegd welke rol/functie toegang krijgt tot kritieke it-ruimtes of datacenters en waarom.
- Leg de toekenning van nieuwe toegangsrechten schriftelijk vast.
- Leg vast wie toegang heeft gehad tot kritieke it-ruimtes. Dit kan ook door middel van een toegangssysteem.
Gerelateerde wetten en normen
Norm PH.02 Beheer van fysieke toegangsrechten is gerelateerd aan de ISO-standaard 27001:2022 en het certificeringsschema ROSA.
ISO 27001/2:2022
- A7.2
- A7.6
- A7.8
- A7.9
Certificeringsschema ROSA
- Vertrouwelijkheid/Fysieke toegang