Ga terug
Digitaal veilig onderwijs volgens het normenkader. Hoe regel ik dat?
Er speelt veel rondom privacy & security in het onderwijs. Wij helpen je te voldoen aan deze normen en richtlijnen.
Terug naar normen

ID.01 Toegangsrechten

De organisatie heeft toegangsgroepen (of rollen) gedefinieerd op basis van vastgestelde bedrijfsregels, waaronder functiescheiding, in een Autorisatiematrix. Er zijn procedures die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het management keurt wijzigingen in vastgestelde rechten voor toegangsgroepen (of rollen) goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu (bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord of token of biometrische informatie). Door toegangsrechten toe te wijzen aan groepen of rollen wordt functiescheiding mogelijk gemaakt en is de grondslag voor de toekenning van rechten aan individuen altijd duidelijk. Als alle activiteiten te herleiden zijn tot een individu, kan men bij incidenten nagaan wie wat wanneer gedaan heeft. Dit komt de betrouwbaarheid van gegevens en continuïteit ten goede.

Toetsingskader

  • Het beleid en de SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn gedefinieerd, formeel vastgesteld en gecommuniceerd en worden nauwgezet onderhouden.
  • Activiteiten van gebruikers kunnen worden getraceerd naar uniek identificeerbare gebruikers.
  • De identificatie, authenticatie en autorisatie van gebruikers zijn geïmplementeerd en worden afgedwongen.
  • Gebruiker-id’s en toegangsrechten worden bijgehouden in een centrale opslag
  • Toegangsrechten toegekend op basis van de SOLL-matrix worden periodiek vergeleken met de IST-situatie.

Hoe pak je dit aan?

Formuleer en implementeer een beleid voor logische toegangsbeveiliging, waarin toegang wordt toegekend aan individuele gebruikers en niet aan groepen. Stel een autorisatiematrix op voor alle bedrijfskritische applicaties en evalueer deze matrix regelmatig om onjuiste toegangsrechten te voorkomen.

Wat kan Heutink ICT voor jullie betekenen?

  • Consultancy (Cybersecurity Consultant/Privacy Officer/ICT-regisseur).
  • Basishub met LAS- & HR-koppeling t.b.v. tijdig verwijderen gebruikers uit dienst/van school.
Fasering
  • Mitigeren hoge risico's
Domein
  • Identity & Access Management
Diensten
  • Dienst van derden
  • Dienst van Heutink ICT
Normfocus
  • De techniek op orde
Verantwoordelijkheid
  • Onderwijsorganisatie

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico