ISOR:Autorisatieproces: verschil tussen versies
(ID aangepast) |
k (tekst in lijn met versie 2.1) |
||
(4 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 3: | Regel 3: | ||
|ID=TBV_U.04 | |ID=TBV_U.04 | ||
|Titel=Autorisatieproces | |Titel=Autorisatieproces | ||
|Versieaanduiding=2. | |Versieaanduiding=2.1 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=2021/ | |Redactionele wijzigingsdatum=2021/12/02 | ||
|Publicatiedatum= | |Publicatiedatum=2021/10/29 | ||
|Beschrijving=== | |Beschrijving===Objectdefinitie== | ||
Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten. | |||
== | |||
De Baseline Informatiebeveiliging Overheid (BIO) - control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in [[BIO Thema Toegangsbeveiliging/Een scenario voor Toegangsbeveiliging|Een scenario voor Toegangsbeveiliging]]. | ==Objecttoelichting== | ||
De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in [[BIO Thema Toegangsbeveiliging/Een scenario voor Toegangsbeveiliging|Een scenario voor Toegangsbeveiliging]]. | |||
|Criterium=Een ''formeel autorisatieproces'' dient geïmplementeerd te zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten. | |Criterium=Een ''formeel autorisatieproces'' dient geïmplementeerd te zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten. | ||
|Doelstelling=Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. | |Doelstelling=Het bewerkstelligen dat enerzijds de integriteit van de IST en SOLL wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren. | ||
Regel 16: | Regel 17: | ||
|Beveiligingsaspect=Uitvoering | |Beveiligingsaspect=Uitvoering | ||
|Invalshoek=Functie | |Invalshoek=Functie | ||
|Grondslag=* | |Grondslag=* The Standard of Good Practice for Information Security 2018: SA1.2.1 | ||
|Conformiteitsindicator=Formeel autorisatieproces | |Conformiteitsindicator=Formeel autorisatieproces | ||
|Heeft bron=BIO Thema Toegangsbeveiliging | |Heeft bron=BIO Thema Toegangsbeveiliging | ||
}} | }} |
Huidige versie van 2 dec 2021 om 15:28
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een vastgelegde manier van handelen voor het toekennen van toegangsrechten.
Objecttoelichting
De Baseline Informatiebeveiliging Overheid (BIO)-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in Een scenario voor Toegangsbeveiliging.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SA1.2.1
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
TBV_U.04.01 | Formeel autorisatieproces |
Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties. |
TBV_U.04.02 | Formeel autorisatieproces |
Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris. |
TBV_U.04.03 | Formeel autorisatieproces |
De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd. |
TBV_U.04.04 | Toegangsrechten |
Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken. |
TBV_U.04.05 | Toegangsrechten |
Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen. |
TBV_U.04.06 | Toegangsrechten |
Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren. |