Eigenaarschap toegangsbeveiligingssysteem

Exporteer naar RDF

Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	TBV_B.02
Versie:	2.0
Status:	Actueel
Publicatiedatum:	29-10-2021
Redactionele wijzigingsdatum:	2-12-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Definitie

De actoren aan wie bedrijfsmiddelen zijn toegewezen en die verantwoordelijk zijn gesteld voor classificatie, bescherming, positionering en betrouwbare, beveiligde inrichting hiervan. De coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen, muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in samenwerking met andere functionarissen (Responsible, Accountable, Consulting en Informed (RACI).

Toelichting

Om de toegang tot bedrijfsmiddelen, zoals het toegangsbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan hem toegekende verantwoordelijkheid het toegangsbeveiligingssysteem conform de hieraan gestelde eisen kan inrichten.

Criterium

Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.

Doelstelling

Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen.

Risico

Noodzakelijke beveiligingsacties blijven achterwege.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Beleid;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002 2017 8.1.1 en 8.1.2The Standard of Good Practice for Information Security 2018 PM1.2

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_B.02.01	Eigenaarschap	Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).
TBV_B.02.02	Eigenaarschap	De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.
TBV_B.02.03	Verantwoordelijkheden voor logische toegangsbeveiligingssystemen	De eigenaar is verantwoordelijk voor: het identificeren van risico’s voor het toegangsbeveiligingssysteem door een informatielevenscyclus; het beveiligd inrichten van het toegangsbeveiligingssysteem; het onderhouden en het evalueren van het toegangsbeveiligingssysteem; het ondersteunen van beveiligingsreviews.
TBV_B.02.04	Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen	De eigenaar is verantwoordelijk voor: het inventariseren van bedrijfsmiddelen; het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop met bedrijfsregels en toegangsbeveiliging; het passend classificeren en beschermen van bedrijfsmiddelen; het procesmatig verwijderen van bedrijfsmiddelen.