ISOR:Toegang tot IT-diensten en data: verschil tussen versies
k (id aangepast) |
k (afkorting eerste keer voluit) |
||
(6 tussenliggende versies door 2 gebruikers niet weergegeven) | |||
Regel 2: | Regel 2: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID=CLD_U.10 | |ID=CLD_U.10 | ||
|Titel=Toegang | |Titel=Toegang IT-diensten en data | ||
|Versieaanduiding=1 | |Versieaanduiding=2.1 | ||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum= | |Redactionele wijzigingsdatum=2022/01/17 | ||
|Publicatiedatum= | |Publicatiedatum=2021/10/29 | ||
|Beschrijving=Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend | |Beschrijving===Objectdefinitie== | ||
NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie. | Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen. | ||
|Criterium=''Gebruikers'' behoren alleen toegang te krijgen tot | |||
==Objecttoelichting== | |||
Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie. | |||
|Criterium=''Gebruikers'' behoren alleen toegang te krijgen tot IT-diensten en data waarvoor zij specifiek ''bevoegd'' zijn. | |||
|Doelstelling=Onbevoegde toegang tot bedrijfsprocessen/data in clouddiensten voorkomen. | |||
|Risico=Misbruik en verlies van (gevoelige) gegevens. | |||
|Beveiligingsaspect=Uitvoering | |Beveiligingsaspect=Uitvoering | ||
|Invalshoek=Gedrag | |Invalshoek=Gedrag | ||
|Grondslag=* | |Grondslag=* BIO (Baseline Informatiebeveiliging Overheid): 9.1.2 | ||
|Conformiteitsindicator=Gebruikers, bevoegd | |||
|Conformiteitsindicator= | |||
|Heeft bron=BIO Thema Clouddiensten | |Heeft bron=BIO Thema Clouddiensten | ||
|Status Actualiteit=Actueel | |Status Actualiteit=Actueel | ||
|Heeft ouder=ISOR:BIO Thema Clouddiensten Uitvoering | |Heeft ouder=ISOR:BIO Thema Clouddiensten Uitvoering | ||
}} | }} |
Huidige versie van 17 jan 2022 om 18:00
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Verwante principes |
Objectdefinitie
Omvat processen en middelen voor het toekennen en bewaken van toegangsrechten tot Cloud Service Consumer (CSC)-data en bedrijfsprocessen.
Objecttoelichting
Toegang tot data en bedrijfsprocessen van alle mogelijke gebruikers zowel de CSC als de Cloud Service Provider (CSP) wordt uitsluitend met identificatie, authenticatie en autorisatie verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.2
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
CLD_U.10.01 | Gebruikers |
De Cloud Service Provider (CSP) biedt de Cloud Service Consumer (CSC) uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is, waarbij:
|
CLD_U.10.02 | Gebruikers |
Onder verantwoordelijkheid van de Cloud Service Provider (CSP) wordt aan beheerders toegang verleend:
|
CLD_U.10.03 | Gebruikers |
Alleen gebruikers met geauthentiseerde apparatuur kunnen toegang krijgen tot IT-diensten en data. |
CLD_U.10.04 | Bevoegd |
Onder de verantwoordelijkheid van de Cloud Service Provider (CSP) worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. |
CLD_U.10.05 | Bevoegd |
Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen- en rechtenconcept. |