Autorisatiebeheer
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een instandhoudingsproces voor de toegangsverlening tot softwarepakketten.
Objecttoelichting
De toegang tot gebruikersfunctionaliteiten worden georganiseerd met autorisatiebeheer en de toewijzing van een gebruikersaccount. Het softwarepakket moet technische invoermogelijkheden bieden om via gebruikersrechten de toegang tot functionaliteiten te kunnen organiseren. Dit houdt in dat toegangsrechten tot functionaliteiten met gebruikersprofielen vanuit autorisatiebeheer toegekend dan wel ingetrokken kunnen worden.
Schaalgrootte
Groot.
Voor wie
Klant en leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Grip op Secure Software Development SSD-7
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.10.01 | Autorisaties |
De rechten voor toegang tot gegevens en functies in het softwarepakket zijn op een beheersbare wijze geordend, gebruik makend van autorisatiegroepen. |
SWP_U.10.02 | Scheiding van niet verenigbare autorisaties |
Met taken, verantwoordelijkheden en bevoegdheden zijn verenigbare taken en autorisaties geïdentificeerd. |
SWP_U10.03 | Scheiding van niet verenigbare autorisaties |
Er bestaat een proces voor het definiëren en onderhouden van de autorisaties. |