Autorisatieproces

Uit NORA Online
ISOR:Autorisatieproces
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangsbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven.


Criterium

Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.

Doelstelling

Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.2.6, BIR (Baseline Informatiebeveiliging Rijksdienst) 9.2.6

Onderliggende normen

IDConformiteitsindicatorStellingPagina
LTV_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties.Het autorisatie beheerproces
LTV_U.04.02formeel autorisatieprocesHet verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris.O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
LTV_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd.Vastleggen en archiveren van aanvraag, verwerken en afmelden van autorisatieverzoek-activiteiten
LTV_U.04.04formeel autorisatieprocesDoor de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd.Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
LTV_U.04.05toegangsrechtenBij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken.Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
LTV_U.04.06toegangsrechtenDe verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband.Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
LTV_U.04.07toegangsrechtenBij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast.I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
LTV_U.04.08toegangsrechtenToegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren.Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken