Home » Informatiebeveiliging » Domein 2: Organisatie » Norm OR.02

Norm OR.02 Functiescheiding

Rollen en verantwoordelijkheden zijn gescheiden om de kans te verkleinen dat individuele personen kritieke processen in gevaar brengen. Medewerkers voeren alleen geautoriseerde taken uit die bij hun functies en rol horen.

Waarom is dit nodig?

Functiescheiding is van belang om te voorkomen dat iemand schadelijke acties kan uitvoeren, bijvoorbeeld door nalatig gebruik of opzettelijk misbruik van het systeem. Denk hierbij aan ongeautoriseerde toegang tot gegevens of het al dan niet per ongeluk wijzigen van gegevens.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er vindt geen of nagenoeg geen functiescheiding plaats.

2 Herhaalbaar

Rollen en verantwoordelijkheden zijn gescheiden.
Hoe deze rollen en verantwoordelijkheden worden gescheiden is niet formeel vastgelegd en/of afgestemd met het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.

3 Bepaald (streefniveau)

De scheiding van rollen en verantwoordelijkheden is gedefinieerd en grotendeels ingevoerd. Dit verkleint de kans dat individuele medewerkers essentiële processen kunnen schaden.
De scheiding van verantwoordelijkheden is vastgesteld door het schoolbestuur of de schoolleiding.
Vastgestelde functiescheiding is ingevoerd, zodat medewerkers alleen geautoriseerde handelingen kunnen verrichten die passen bij hun werkzaamheden.

4 Beheerst

Aanvullend op niveau 3:

Een functiescheidingconflictmatrix is gedefinieerd en wordt periodiek getoetst aan de werkelijke implementatie van systemen en processen.
Deze functiescheidingsmatrix wordt in ieder geval geëvalueerd na grote wijzigingen in processen of systemen.
De implementatie en uitvoering van relevante procedures worden periodiek geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Periodiek worden er databasechecks uitgevoerd om de huidige processen te toetsen in relatie tot de functiescheidingsmatrix. Hierbij wordt gekeken naar ongebruikelijk transacties en gebieden voor verbetering (bijvoorbeeld met processminingtechnieken).

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Maak een matrix van wel en niet toegestane combinaties van taken. Deze matrix moet een overzicht bevatten van wel en niet toegestane combinaties van autorisaties binnen een informatiesysteem, die aan één medewerker mogen worden toegekend.
Ga bij het maken van de matrix uit van het principe dat beschikkende, bewarende en controlerende taken nooit in één functionaris worden samengebracht. Is dit toch noodzakelijk? Organiseer dan dat de systeemeigenaar apart toezicht houdt op de betreffende functionaris.
(Technische) beheerders mogen geen toegang hebben tot de data van het informatiesysteem waarvan zij (technisch) beheerder zijn. Is dit toch noodzakelijk? Organiseer dan ook in dit geval dat de systeemeigenaar apart toezicht houdt op de betreffende functionaris.

Gerelateerde wetten en normen

Norm OR.02 Functiescheiding is gerelateerd aan de ISO-standaard 27001/2:2022.

A5.3
A5.4

Afdrukken