Controles voor risicovolle bedrijfsprocessen: verschil tussen versies
Naar navigatie springen
Naar zoeken springen
(Pagina aangemaakt obv concept katern) |
(staartsjabloon toegevoegd) |
||
| Regel 14: | Regel 14: | ||
# Gegevensencryptie. Gegevensencryptie op applicatieniveau (database niveau) is een extra middel om de vertrouwelijkheid en de integriteit van de gegevensuitwisseling of -opslag te waarborgen. | # Gegevensencryptie. Gegevensencryptie op applicatieniveau (database niveau) is een extra middel om de vertrouwelijkheid en de integriteit van de gegevensuitwisseling of -opslag te waarborgen. | ||
# Gegevensrubricering tonen. Gegevensrubricering tonen op beeldscherm, output en verwisselbare gegevensdragers en meesturen met elektronische gegevensuitwisseling. De gebruikers en/of ontvangers dienen op de hoogte te zijn van wat de rubricering betekent voor de behandeling van de gegevens. Organisaties die gerubriceerde gegevens uitwisselen dienen op de hoogte te zijn van de betekenis van de rubricering; hanteren de organisaties een andere naamgeving, dan dienen zij onderlinge afspraken te maken hoe de verschillende naamgevingen op elkaar aansluiten. | # Gegevensrubricering tonen. Gegevensrubricering tonen op beeldscherm, output en verwisselbare gegevensdragers en meesturen met elektronische gegevensuitwisseling. De gebruikers en/of ontvangers dienen op de hoogte te zijn van wat de rubricering betekent voor de behandeling van de gegevens. Organisaties die gerubriceerde gegevens uitwisselen dienen op de hoogte te zijn van de betekenis van de rubricering; hanteren de organisaties een andere naamgeving, dan dienen zij onderlinge afspraken te maken hoe de verschillende naamgevingen op elkaar aansluiten. | ||
{{Beheersmaatregel staart}} | |||
Versie van 13 nov 2013 18:33
Deze pagina is een concept. Reacties via nora@ictu.nl of tekstvoorstellen in de wiki zijn welkom.
Beheersmaatregel[bewerken]
Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen.
Toelichting[bewerken]
Afhankelijk van de specifieke risico’s die kunnen samenhangen met het desbetreffende bedrijfsproces kan het aan de orde zijn extra maatregelen te treffen. De hieronder opgesomde maatregelen zijn als suggestie bedoeld.
Implementatierichtlijnen[bewerken]
- Aparte applicatietaken. Applicatietaken, die gegevens verwerken met extra (hoog) belang, kunnen van de overige transacties gescheiden worden om functiescheiding op basis van autorisatie mogelijk te maken. In dat geval worden de desbetreffende gegevens als aparte gegevensrubriek gezien, waarvan de rubricering doorwerkt bij alle transacties van de toepassing. Gegevens van te onderscheiden aard kunnen ook worden opgenomen in aparte bestanden, zodat de toegang en verwerking gedifferentieerd kunnen worden.
- Extra audit trail. Bij applicatietaken met een verhoogd belang kan meer uitgebreide vastlegging van uitgevoerde activiteiten in de audit trail worden overwogen. Dit kan ook het geval zijn als de applicatie mogelijkheden biedt tot oneigenlijk gebruik van raadpleegbevoegdheden. (BIR 12.2.1.g)
- Controletellingen database. Bij het online verwerken van mutaties in een database kunnen controletellingen van aantallen en bedragen apart worden bijgehouden en gemuteerd. Frequent wordt dan gecontroleerd of deze controletellingen in overeenstemming zijn met de daadwerkelijke telling van de database. Voor deze controle wordt dan een aparte taak gedefinieerd.
- Gegevensencryptie. Gegevensencryptie op applicatieniveau (database niveau) is een extra middel om de vertrouwelijkheid en de integriteit van de gegevensuitwisseling of -opslag te waarborgen.
- Gegevensrubricering tonen. Gegevensrubricering tonen op beeldscherm, output en verwisselbare gegevensdragers en meesturen met elektronische gegevensuitwisseling. De gebruikers en/of ontvangers dienen op de hoogte te zijn van wat de rubricering betekent voor de behandeling van de gegevens. Organisaties die gerubriceerde gegevens uitwisselen dienen op de hoogte te zijn van de betekenis van de rubricering; hanteren de organisaties een andere naamgeving, dan dienen zij onderlinge afspraken te maken hoe de verschillende naamgevingen op elkaar aansluiten.