Webshop
Webshop
Ga terug
Van wishful thinking naar whizzful learning
Wil jij meer weten over al onze activiteiten en leuke prijzen die we hebben rond ons 25 jarig jubileum? Bekijk ze op onze website.
Meer weten
Terug naar normen
normen SM.02 Authenticatiemechanismes

SM.02 Authenticatiemechanismes

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties om te bepalen of unieke user ID’s zijn geïmplementeerd om traceerbaarheid te garanderen en ervoor te zorgen dat algemene en systeemaccounts geblokkeerd of op andere wijze beschermd zijn. Alle onjuiste of inactieve user ID’s die tijdens het controleproces worden opgemerkt, worden tijdig gedeactiveerd. Authenticatiemechanismen zorgen voor geoorloofde toegang tot programma’s/gegevens door herleidbaarheid van activiteiten tot gebruikers en ongeoorloofde toegang wordt tegengegaan door de identiteit van gebruikers vast te stellen.

Toetsingskader

  • Formeel beleid en procedures voor gebruikersauthenticatie en Identity & Access. Management zijn gedefinieerd, gedocumenteerd, geformaliseerd en gecommuniceerd. Hieronder valt ook de toestemmingsprocedure voor de data- of systeemeigenaar die toegangsrechten toekent.
  • User ID’s en toegangsrechten worden bijgehouden in een centrale opslag.
  • Voor logische toegang tot alle systemen en bronnen wordt gebruikgemaakt van toegangsbepaling en authenticatiebeheer voor alle gebruikers.
  • Ongepaste of inactieve gebruikersrechten worden tijdig uitgeschakeld.
  • Er is een strikte functiescheiding voor het aanvragen, toekennen, implementeren en intrekken van toegangsrechten van gebruikers.
  • Het gebruik van tweefactorauthenticatie wordt afgedwongen voor niet vertrouwde omgevingen en kritieke systemen.

Hoe pak je dit aan?

Stel MFA (Multi-Factor Authentication) in en formuleer beleid met kaders voor authenticatie en procedures voor het aanvragen, toekennen en intrekken van toegang. Controleer periodiek op inactieve gebruikers.

Wat kan Heutink ICT voor jullie betekenen?

  • Consultancy (Cybersecurity Consultant/Privacy Officer/ICT-regisseur).
  • Systeem voor logging (deels bij Microsoft/Google, deels bij Heutink ICT).
  • Basishub met LAS- & HR-koppeling t.b.v. tijdig verwijderen gebruikers uit dienst/van school.
Fasering
  • Mitigeren hoge risico's
Domein
  • Security Management
Diensten
  • Dienst van derden
  • Dienst van Heutink ICT
Normfocus
  • De techniek op orde
Verantwoordelijkheid
  • Leverancier & onderwijsorganisatie

Benieuwd naar onze visie op digitale veiligheid en privacy?

We hebben een bredere opvatting over digitale veiligheid en privacy die we samen met de door ons geïmplementeerde processen en systemen hebben beschreven in de beveiligingswijzer. Ben jij bestuurder of bovenschoolse ict'er en klant bij ons? Vraag dan onze beveiligingswijzer aan.

Vraag de beveiligingswijzer aan

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico