Webshop
Webshop
Ga terug
Van wishful thinking naar whizzful learning
Wil jij meer weten over al onze activiteiten en leuke prijzen die we hebben rond ons 25 jarig jubileum? Bekijk ze op onze website.
Terug naar normen
normen ID.01 Toegangsrechten

ID.01 Toegangsrechten

De organisatie heeft toegangsgroepen (of rollen) gedefinieerd op basis van vastgestelde bedrijfsregels, waaronder functiescheiding, in een Autorisatiematrix. Er zijn procedures die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het management keurt wijzigingen in vastgestelde rechten voor toegangsgroepen (of rollen) goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu (bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord of token of biometrische informatie). Door toegangsrechten toe te wijzen aan groepen of rollen wordt functiescheiding mogelijk gemaakt en is de grondslag voor de toekenning van rechten aan individuen altijd duidelijk. Als alle activiteiten te herleiden zijn tot een individu, kan men bij incidenten nagaan wie wat wanneer gedaan heeft. Dit komt de betrouwbaarheid van gegevens en continuïteit ten goede.

Toetsingskader

  • Het beleid en de SOLL-matrix voor toegangsrechten van gebruikers en rollen zijn gedefinieerd, formeel vastgesteld en gecommuniceerd en worden nauwgezet onderhouden.
  • Activiteiten van gebruikers kunnen worden getraceerd naar uniek identificeerbare gebruikers.
  • De identificatie, authenticatie en autorisatie van gebruikers zijn geïmplementeerd en worden afgedwongen.
  • Gebruiker-id’s en toegangsrechten worden bijgehouden in een centrale opslag
  • Toegangsrechten toegekend op basis van de SOLL-matrix worden periodiek vergeleken met de IST-situatie.

Hoe pak je dit aan?

Formuleer en implementeer een beleid voor logische toegangsbeveiliging, waarin toegang wordt toegekend aan individuele gebruikers en niet aan groepen. Stel een autorisatiematrix op voor alle bedrijfskritische applicaties en evalueer deze matrix regelmatig om onjuiste toegangsrechten te voorkomen.

Wat kan Heutink ICT voor jullie betekenen?

  • Consultancy (Cybersecurity Consultant/Privacy Officer/ICT-regisseur).
  • Basishub met LAS- & HR-koppeling t.b.v. tijdig verwijderen gebruikers uit dienst/van school.
Fasering
  • Mitigeren hoge risico's
Domein
  • Identity & Access Management
Diensten
  • Dienst van derden
  • Dienst van Heutink ICT
Normfocus
  • De techniek op orde
Verantwoordelijkheid
  • Onderwijsorganisatie

Benieuwd naar onze visie op digitale veiligheid en privacy?

We hebben een bredere opvatting over digitale veiligheid en privacy die we samen met de door ons geïmplementeerde processen en systemen hebben beschreven in de beveiligingswijzer. Ben jij bestuurder of bovenschoolse ict'er en klant bij ons? Vraag dan onze beveiligingswijzer aan.

Vraag de beveiligingswijzer aan

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico