ISOR:Toegangbeveiligingsbeleid: verschil tussen versies
k (Tekst vervangen - '|Publicatiedatum=29 jan 2018 |Importversie=34' door '|Publicatiedatum=29 jan 2018') |
k (Tekst vervangen - 'BIO Thema Toegangbeveiliging' door 'BIO Thema Toegangsbeveiliging') |
||
| (Een tussenliggende versie door dezelfde gebruiker niet weergegeven) | |||
| Regel 4: | Regel 4: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|Versie=0.96 | |Versie=0.96 | ||
|Status | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum=29 jan 2018 | |Redactionele wijzigingsdatum=29 jan 2018 | ||
|Publicatiedatum=29 jan 2018 | |Publicatiedatum=29 jan 2018 | ||
| Regel 10: | Regel 10: | ||
Opgemerkt wordt dat de control ‘toegangbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangbeveiligingsbeleid, maar dat het beleid een redelijke richting geeft voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein. | Opgemerkt wordt dat de control ‘toegangbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangbeveiligingsbeleid, maar dat het beleid een redelijke richting geeft voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein. | ||
|Heeft bron=BIO Thema | |Heeft bron=BIO Thema Toegangsbeveiliging | ||
|Criterium=Een ''toegangbeveiligingbeleid'' moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''. | |Criterium=Een ''toegangbeveiligingbeleid'' moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''. | ||
|Doelstelling=Beheersen van de toegang tot informatie. | |Doelstelling=Beheersen van de toegang tot informatie. | ||
Versie van 10 mei 2019 18:37
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
| ||||||||||||||||
Het toegangbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT middelen zich bevinden en toegang tot informatie en informatieverwerkende faciliteiten zelf, bijvoorbeeld toegang tot applicaties voor gebruikers en toegang tot ICT-componenten voor beheerders. Het toegangbeveiligingsbeleid beschrijft onder andere de manier waarop de klant-organisatie omgaat met identiteits- en toegangsbeheer.
Opgemerkt wordt dat de control ‘toegangbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangbeveiligingsbeleid, maar dat het beleid een redelijke richting geeft voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Beleid;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.1
Onderliggende normen
| ID | Conformiteitsindicator | Stelling |
|---|---|---|
| TBV_B.01.01 | Toegangsbeveiligingsbeleid |
Het toegangvoorzieningsbeleid:
|
| TBV_B.01.02 | Bedrijfseisen |
Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. |
| TBV_B.01.03 | Bedrijfseisen |
Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. |
| TBV_B.01.04 | Informatiebeveiligingseisen |
Informatiespreiding en autorisatie tot informatie worden uitgevoerd met need-to-know- en need-to-use- principes. |
| TBV_B.01.05 | Informatiebeveiligingseisen |
Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). |