ISOR:Autorisatieproces: verschil tussen versies

Versie van 5 nov 2019 12:29

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	TVZ_U.04
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Functie

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

De ISO27002 en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele subprocessen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze subprocessen worden verder in bijlage 3 beschreven.

Criterium

Een formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.

Doelstelling

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Functie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is The Standard of Good Practice for Information Security 2018 SA1.2.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_U.04.01	Formeel autorisatieproces	Er is een formeel proces voor het aanvragen, verwerken, intrekken of aanpassen, verwijderen en archiveren van autorisaties.
TBV_U.04.02	Formeel autorisatieproces	Het verwerken van autorisaties wordt uitgevoerd met een formele autorisatieopdracht van een bevoegde functionaris.
TBV_U.04.03	Formeel autorisatieproces	De activiteiten aanvragen, verwerken en intrekken van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.
TBV_U.04.04	Toegangsrechten	Bij beëindigen van het dienstverband behoren alle toegangsrechten te worden ingetrokken.
TBV_U.04.05	Toegangsrechten	Wijzigingen in het dienstverband behoren te corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.
TBV_U.04.06	Toegangsrechten	Toegangsrechten voor informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt afhankelijk van risicofactoren.

@@ Regel 1: / Regel 1: @@
 {{#Element:
-|ID=LTV_U.04
+|ID=TVZ_U.04
 |Titel=Autorisatieproces
 |Elementtype=Beveiligingsprincipe
-|Versie=0.96
+|Versie=1.0
 |Status actualiteit=Actueel
-|Redactionele wijzigingsdatum=29 jan 2018
+|Redactionele wijzigingsdatum=27-3-2019
-|Publicatiedatum=29 jan 2018
+|Publicatiedatum=21-10-2019
-|Beschrijving=De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven.
+|Beschrijving=De ISO27002 en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele subprocessen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze subprocessen worden verder in bijlage 3 beschreven.
 |Heeft bron=BIO Thema Toegangsbeveiliging
-|Criterium=Er moet een ''formeel autorisatieproces'' geiplementeerd zijn voor het beheersen van ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.
+|Criterium=Een ''formeel autorisatieproces'' moet geïmplementeerd zijn voor het beheersen van de ''toegangsrechten'' van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.
-|Doelstelling=Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.
+|Doelstelling=
-|Risico=De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties.
+|Risico=
 |Beveiligingsaspect=Uitvoering
 |Invalshoek=Functie
-|Grondslag=* BIR (Baseline Informatiebeveiliging Rijksdienst): 9.2.6
+|Grondslag=* NEN-ISO/IEC 27002: 9.2.6
-* NEN-ISO/IEC 27002: 9.2.6
+* BIO (Baseline Informatiebeveiliging Overheid): 9.2.6
-|Conformiteitsindicator=formeel autorisatieproces,
+|Conformiteitsindicator=formeel autorisatieproces
 toegangsrechten
-|Heeft ouder=ISOR:Toegangbeveiliging Uitvoeringdomein
+|Heeft ouder=ISOR:BIO Thema Toegangbeveiliging Uitvoering
 }}