ISOR:Toegangbeveiligingsbeleid: verschil tussen versies
(doel en risico toegevoegd) |
(ID aangepast) |
||
(15 tussenliggende versies door 4 gebruikers niet weergegeven) | |||
Regel 1: | Regel 1: | ||
{{#element: | {{#element: | ||
|Elementtype=Beveiligingsprincipe | |Elementtype=Beveiligingsprincipe | ||
|ID= | |ID=TBV_B.01 | ||
|Titel= | |Titel=Toegangsbeveiligingsbeleid | ||
|Versieaanduiding=2.0 | |||
|Status actualiteit=Actueel | |Status actualiteit=Actueel | ||
|Redactionele wijzigingsdatum= | |Redactionele wijzigingsdatum=2021/03/20 | ||
|Publicatiedatum= | |Publicatiedatum=2020/10/23 | ||
|Beschrijving=Het | |Beschrijving====Definitie=== | ||
Opgemerkt wordt, dat de control | Het resultaat van de besluitvorming, waarmee het voor de toegangsvoorziening verantwoordelijke (top)management van een organisatie heeft vastgelegd, op welke wijze, in welk tijdsbestek en met welke middelen haar doelstelling bereikt moeten worden en hoe met onzekere factoren moet worden omgegaan. | ||
|Criterium=Een ''toegangbeveiligingsbeleid'' | ===Toelichting=== | ||
Het toegangsbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT-middelen zich bevinden en voor toegang tot de informatie en informatieverwerkende faciliteiten zelf, zoals toegang voor gebruikers tot applicaties en toegang voor beheerders tot ICT-componenten. Het toegangsbeveiligingsbeleid beschrijft onder andere de manier waarop de klantorganisatie omgaat met identiteit- en toegangsbeheer. | |||
Opgemerkt wordt, dat de control behorende bij het object ‘Toegangsbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangsbeveiligingsbeleid, maar dat het beleid een redelijke richting dient te geven voor de invulling van operationele activiteiten binnen het uitvoeringsdomein. | |||
|Criterium=Een ''toegangbeveiligingsbeleid'' behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van ''bedrijfseisen'' en ''informatiebeveiligingseisen''. | |||
|Doelstelling=Het beheersen van de toegang tot informatie. | |Doelstelling=Het beheersen van de toegang tot informatie. | ||
|Risico=Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van | |Risico=Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangsbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven. | ||
|Beveiligingsaspect=Beleid | |Beveiligingsaspect=Beleid | ||
|Invalshoek=Intentie | |Invalshoek=Intentie | ||
|Grondslag=* | |Grondslag=* BIO 2019: 9.1.1 | ||
|Heeft bron=BIO Thema Toegangsbeveiliging | |Heeft bron=BIO Thema Toegangsbeveiliging | ||
}} | }} |
Versie van 20 mrt 2021 08:35
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Definitie
Het resultaat van de besluitvorming, waarmee het voor de toegangsvoorziening verantwoordelijke (top)management van een organisatie heeft vastgelegd, op welke wijze, in welk tijdsbestek en met welke middelen haar doelstelling bereikt moeten worden en hoe met onzekere factoren moet worden omgegaan.
Toelichting
Het toegangsbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT-middelen zich bevinden en voor toegang tot de informatie en informatieverwerkende faciliteiten zelf, zoals toegang voor gebruikers tot applicaties en toegang voor beheerders tot ICT-componenten. Het toegangsbeveiligingsbeleid beschrijft onder andere de manier waarop de klantorganisatie omgaat met identiteit- en toegangsbeheer. Opgemerkt wordt, dat de control behorende bij het object ‘Toegangsbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangsbeveiligingsbeleid, maar dat het beleid een redelijke richting dient te geven voor de invulling van operationele activiteiten binnen het uitvoeringsdomein.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Beleid;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 9.1.1
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
TBV_B.01.01 | Toegangsbeveiligingsbeleid |
Het toegangvoorzieningsbeleid:
|
TBV_B.01.02 | Bedrijfseisen |
Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. |
TBV_B.01.03 | Bedrijfseisen |
Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties. |
TBV_B.01.04 | Informatiebeveiligingseisen |
Informatiespreiding en autorisatie tot informatie worden uitgevoerd met need-to-know- en need-to-use- principes. |
TBV_B.01.05 | Informatiebeveiligingseisen |
Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). |