Autorisatieproces

Uit NORA Online
ISOR:Autorisatieproces
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

De BIO-control 9.2.6 ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerken, intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom en worden verder beschreven in Een scenario voor Toegangsbeveiliging.


Criterium

Een formeel autorisatieproces moet geïmplementeerd zijn voor het beheersen van de toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatie verwerkende faciliteiten.

Doelstelling

Het bewerkstelligen dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.2.6

Onderliggende normen

IDConformiteitsindicatorStellingPagina
TVZ_U.04.01formeel autorisatieprocesEr is een formeel proces voor het aanvragen, verwerken, intrekken (of aanpassen), verwijderen en archiveren van autorisaties.Een formeel proces voor het aanvragen, verwerken en archiveren van autorisaties wordt toegepast
TVZ_U.04.02formeel autorisatieprocesHet verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een hiertoe bevoegde functionaris.Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht
TVZ_U.04.03formeel autorisatieprocesDe activiteiten met betrekking tot het aanvragen, verwerken en afmelden van het autorisatieverzoek (succes/foutmelding) worden vastgelegd en gearchiveerd.Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd
TVZ_U.04.04toegangsrechtenBij beëindigen van het dienstverband worden de toegangsrechten tot informatie en informatie verwerkende faciliteiten ingetrokken.Bij beëindigen van dienstverband worden de toegangsrechten ingetrokken
TVZ_U.04.05toegangsrechtenWijzigingen in het dienstverband moeten corresponderen met de verstrekte toegangsrechten tot fysieke en logische middelen.Verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband
TVZ_U.04.06toegangsrechtenToegangsrechten tot informatie en informatie verwerkende bedrijfsmiddelen en faciliteiten wordt ingetrokken voordat het dienstverband eindigt of wijzigt, afhankelijk van risicofactoren.Afhankelijk van risicofactoren worden toegangsrechten al voor het dienstverband eindigt of wijzigt ingetrokken