Autorisatie
Verwante principes |
Definitie
Het verlenen van toestemming aan een geauthenticeerde gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem om toegang te krijgen tot een bepaalde dienst om een bepaalde actie uit te voeren.
Toelichting
Gekozen is voor het object ‘Autorisatie’, omdat dit object beter aansluit op de toegangsmechanismen (identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) dan de BIO-titel ‘Beperking toegang tot informatie’. Na het identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatieproces krijgen gebruikers en beheerders (verdere) specifieke toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit het toegangsbeleid.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO 2019 9.4.1
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
TVZ_U.09.01 | InformatieBetekenisvolle gegevens. |
Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak. |
TVZ_U.09.02 | Systeemfuncties |
Beheer(ders)functies in toepassingen hebben extra bescherming, waarmee misbruik van rechten wordt voorkomen. |
TVZ_U.09.03 | Toegangbeveiligingsbeleid |
Het toegangsbeveiligingsbeleid geeft onder andere aan dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden. |
TVZ_U.09.04 | Toegangbeveiligingsbeleid |
Toegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie. |