Controles voor risicovolle bedrijfsprocessen

Uit NORA Online
Naar navigatie springen Naar zoeken springen
De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.


Beveiliging
Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Controles voor risicovolle bedrijfsprocessen.png
Controles voor risicovolle bedrijfsprocessen is een eis (Beheersmaatregel)

Status: Concept

Specialiseert: Validatie van gegevensverwerking
Thema: Beveiliging/Administratieve controle
Bron: BIR (Baseline Informatiebeveiliging Rijksdienst),

BIR/ISO 27001:2005 12.2.1

Eis: Aanvullende maatregelen boven het basisniveau beveiliging kunnen noodzakelijk zijn om een hoger beveiligingsniveau te bereiken bij extra risicovolle bedrijfsprocessen.

Realiseert

Controles voor risicovolle bedrijfsprocessen is een uitwerking van de volgende andere beheersmaatregelen:

Implicaties

De volgende implementatierichtlijnen zijn een uitwerking van Controles voor risicovolle bedrijfsprocessen:

  1. Aparte applicatietaken. Applicatietaken, die gegevens verwerken met extra (hoog) belang, kunnen van de overige transacties gescheiden worden om functiescheiding op basis van autorisatie mogelijk te maken. In dat geval worden de desbetreffende gegevens als aparte gegevensrubriek gezien, waarvan de rubricering doorwerkt bij alle transacties van de toepassing. Gegevens van te onderscheiden aard kunnen ook worden opgenomen in aparte bestanden, zodat de toegang en verwerking gedifferentieerd kunnen worden.
  2. Extra audit trail. Bij applicatietaken met een verhoogd belang kan meer uitgebreide vastlegging van uitgevoerde activiteiten in de audit trail worden overwogen. Dit kan ook het geval zijn als de applicatie mogelijkheden biedt tot oneigenlijk gebruik van raadpleegbevoegdheden. (BIR (Baseline Informatiebeveiliging Rijksdienst))
  3. Controletellingen database. Bij het online verwerken van mutaties in een database kunnen controletellingen van aantallen en bedragen apart worden bijgehouden en gemuteerd. Frequent wordt dan gecontroleerd of deze controletellingen in overeenstemming zijn met de daadwerkelijke telling van de database. Voor deze controle wordt dan een aparte taak gedefinieerd.
  4. Gegevensencryptie. Gegevensencryptie op applicatieniveau (database niveau) is een extra middel om de vertrouwelijkheid en de integriteit van de gegevensuitwisseling of -opslag te waarborgen.
  5. Gegevensrubricering tonen. Gegevensrubricering tonen op beeldscherm, output en verwisselbare gegevensdragers en meesturen met elektronische gegevensuitwisseling. De gebruikers en/of ontvangers dienen op de hoogte te zijn van wat de rubricering betekent voor de behandeling van de gegevens. Organisaties die gerubriceerde gegevens uitwisselen dienen op de hoogte te zijn van de betekenis van de rubricering; hanteren de organisaties een andere naamgeving dan dienen zij onderlinge afspraken te maken hoe de verschillende naamgevingen op elkaar aansluiten.


Gerelateerde beschouwingsmodellen

De volgende beschouwingsmodellen zijn gerelateerd aan Controles voor risicovolle bedrijfsprocessen:



Overgenomen van "https://www.noraonline.nl/index.php?title=Controles_voor_risicovolle_bedrijfsprocessen&oldid=21861"