Autorisatie

Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.

Beveiligingsprincipe
ID:	TVZ_U.09
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	29-11-2019
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	5-12-2019
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Gedrag

Verwante principes

→ BIO Thema Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Gekozen is voor het principe ‘Autorisatie’, omdat dit principe beter aansluit op de toegangsmechanismen (identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) dan de betiteling ‘Beperking toegang tot informatie’.

Na het 'identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatie-'proces krijgen gebruikers en beheerders (verdere) specifieke toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit het toegangsbeleid.

Criterium

Toegang () tot informatie en systeemfuncties (van toepassingen) moet worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.

Doelstelling

Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.

Risico

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een worden aangebracht.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.4.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
TVZ_U.09.01	informatie	Gebruikers kunnen alleen die informatie inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.	Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
TVZ_U.09.02	systeemfuncties	Beheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.	Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen
TVZ_U.09.03	toegangbeveiligingsbeleid	Het toegangsbeveiligingsbeleid geeft onder andere aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.	Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden
TVZ_U.09.04	toegangbeveiligingsbeleid	Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie.	Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie