Autorisatie

Uit NORA Online
ISOR:Autorisatie
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Gekozen is voor het principe ‘Autorisatie’, omdat dit principe beter aansluit op de toegangsmechanismen (identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) dan de betiteling ‘Beperking toegang tot informatie’.

Na het 'identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.- en authenticatie-'proces krijgen gebruikers en beheerders (verdere) specifieke toegang tot informatiesystemen voor gebruik respectievelijk beheerdoeleinden. Toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit het toegangsbeleid.


Criterium

Toegang (autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen) tot informatie en systeemfuncties (van toepassingen) moet worden beperkt in overeenstemming met het toegangsbeveiligingsbeleid.

Doelstelling

Het voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.

Risico

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. worden aangebracht.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.4.1

Onderliggende normen

IDConformiteitsindicatorStellingPagina
TVZ_U.09.01informatieGebruikers kunnen alleen die informatie inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.Gebruikers kunnen alleen voor de uitoefening van hun taak benodigde informatie verwerken
TVZ_U.09.02systeemfunctiesBeheer(ders)functies in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen.Beheerfuncties in toepassingen hebben extra bescherming waarmee misbruik van rechten wordt voorkomen
TVZ_U.09.03toegangbeveiligingsbeleidHet toegangsbeveiligingsbeleid geeft onder andere aan, dat toegang tot informatie en tot functies van toepassingssystemen wordt beperkt op basis van juiste rollen en verantwoordelijkheden.Toegang tot informatie en tot systeemfuncties wordt beperkt op basis van juiste rollen en verantwoordelijkheden
TVZ_U.09.04toegangbeveiligingsbeleidToegangsbeperking is in overeenstemming met het toegangsbeveiligingsbeleid van de organisatie.Toegangsbeperking is in overeenstemming met het toegangsbeveiliging beleid van de organisatie