Ga terug
Digitaal veilig onderwijs volgens het normenkader. Hoe regel ik dat?
Er speelt veel rondom privacy & security in het onderwijs. Wij helpen je te voldoen aan deze normen en richtlijnen.
Terug naar normen

SM.02 Authenticatiemechanismes

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties om te bepalen of unieke user ID’s zijn geïmplementeerd om traceerbaarheid te garanderen en ervoor te zorgen dat algemene en systeemaccounts geblokkeerd of op andere wijze beschermd zijn. Alle onjuiste of inactieve user ID’s die tijdens het controleproces worden opgemerkt, worden tijdig gedeactiveerd. Authenticatiemechanismen zorgen voor geoorloofde toegang tot programma’s/gegevens door herleidbaarheid van activiteiten tot gebruikers en ongeoorloofde toegang wordt tegengegaan door de identiteit van gebruikers vast te stellen.

Toetsingskader

  • Formeel beleid en procedures voor gebruikersauthenticatie en Identity & Access. Management zijn gedefinieerd, gedocumenteerd, geformaliseerd en gecommuniceerd. Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
  • User ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
  • Voor logische toegang tot alle systemen en bronnen wordt gebruikgemaakt van toegangsbepaling en authenticatiebeheer voor alle gebruikers.
  • Ongepaste of inactieve gebruikersrechten worden tijdig uitgeschakeld.
  • Er is een strikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
  • Het gebruik van tweefactorauthenticatie wordt afgedwongen voor niet vertrouwde omgevingen en kritieke systemen.

Hoe pak je dit aan?

Stel MFA (Multi-Factor Authentication) in en formuleer beleid met kaders voor authenticatie en procedures voor het aanvragen, toekennen en intrekken van toegang. Controleer periodiek op inactieve gebruikers.

Wat kan Heutink ICT voor jullie betekenen?

  • Consultancy (Cybersecurity Consultant/Privacy Officer/ICT-regisseur).
  • Systeem voor logging (deels bij Microsoft/Google, deels bij Heutink ICT).
  • Basishub met LAS- & HR-koppeling t.b.v. tijdig verwijderen gebruikers uit dienst/van school.
Fasering
  • Mitigeren hoge risico's
Domein
  • Security Management
Diensten
  • Dienst van derden
  • Dienst van Heutink ICT
Normfocus
  • De techniek op orde
Verantwoordelijkheid
  • Leverancier & onderwijsorganisatie

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico