Autorisatieproces

Uit NORA Online
ISOR:Autorisatieproces
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

De ISO en BIO control 9.2.6. ‘Toegangsrechten intrekken of aanpassen’ stelt eisen aan een autorisatieproces, dat bestaat uit enkele sub-processen zoals: toekennen (of verlenen), verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken, blokkeren, archiveren en controleren. Dit autorisatieproces zorgt ervoor dat autorisaties gestructureerd plaatsvinden. Deze sub-processen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. Deze sub-processen worden verdere in bijlage 3 beschreven.


Criterium

Er moet een formeel autorisatieproces geiplementeerd zijn voor het beheersen van toegangsrechten van alle medewerkers en externe gebruikers tot informatie en informatieverwerkende faciliteiten.

Doelstelling

Hiermee wordt bereikt dat enerzijds de integriteit van SOLL en IST wordt bevorderd en anderzijds dat gebruikers de juiste acties binnen de applicaties kunnen uitvoeren.

Risico

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in de mutatie van gebruikers-/beheerdersautorisatie leiden tot onjuiste autorisaties.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.2.6, NEN-ISO/IEC 27002 9.2.6

Onderliggende normen

ID Conformiteitsindicator Stelling Pagina
LTV_U.04.01 formeel autorisatieproces Er is een formeel proces voor het aanvragen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens., intrekken (of aanpassen), verwijderen en archiveren van autorisaties. Het autorisatie beheerproces
LTV_U.04.02 formeel autorisatieproces Het verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht van een bevoegd functionaris. O.b.v. een formele autorisatieopdracht van een bevoegd functionaris worden autorisaties toegekend
LTV_U.04.03 formeel autorisatieproces De activiteiten met betrekking tot aanvragen, verwerking en afmelden van het autorisatieverzoek (succes / foutmelding) worden vastgelegd en gearchiveerd. Vastleggen en archiveren van aanvraag verwerken en afmelden van autorisatieverzoek-activiteiten
LTV_U.04.04 formeel autorisatieproces Door de verantwoordelijke worden periodiek controles op alle uitgegeven autorisaties uitgevoerd. Periodiek worden controles uitgevoed op alle uitgegeven autorisaties
LTV_U.04.05 toegangsrechten Bij beëindigen van dienstverband worden toegangsrechten tot informatie en informatieverwerkende faciliteiten ingetrokken. Intrekken toegangsrechten tot informatie en faciliteiten bij beëindigen dienstverband
LTV_U.04.06 toegangsrechten De verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband. Wijzigingen in dienstverband moeten corresponderen met de verstrekte toegangsrechten
LTV_U.04.07 toegangsrechten Bij wijzigingen in dienstverband wordt in verband met toegangsrechten het contract met de desbetreffende medewerker aangepast. I.v.m. toegangsrechten moet het contract bij wijziging van het dienstverband worden aangepast
LTV_U.04.08 toegangsrechten Toegangsrechten tot informatie en informatieverwerkende bedrijfsmiddelen en faciliteiten worden ingetrokken voordat de dienstverband eindigt of wijzigen afhankelijk van risicofactoren. Toegangsrechten worden gewijzigde risicofactoren en voordat het dienstverband wijzigt ingetrokken
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen