Eigenaarschap toegangsbeveiliging

Uit NORA Online
ISOR:Eigenaarschap van bedrijfsmiddelen
Naar navigatie springen Naar zoeken springen
Versie 2.1 van 29 oktober 2021 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.3 van 6 november 2023.
De wijzigingen betreffen met name aanpassingen naar aanleiding van publicatie van de [Handreiking BIO2.0-opmaat].
Versie 2.3 in PDF-formaat is op de website [CIP-overheid] gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het toewijzen van de verantwoordelijkheid voor het toegangsbeveiligingssysteem.

Objecttoelichting

Om de toegang tot de logische als fysieke componenten van het toegangsbeveiligingssysteem betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen. Dit maakt duidelijk wie aanspreekbaar is voor de inrichting van de verschillende onderdelen van het toegangsbeveiligingssysteem.

De coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen, muteren) vindt plaats onder de verantwoordelijkheid van de eigenaar.


Criterium

Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.

Doelstelling

Het zorgen dat er een eigenaar is voor het toegangsbeveiligingssysteem, die verantwoordelijkheid neemt voor een betrouwbare inrichting en zorgt dat noodzakelijke acties worden ondernomen.

Risico

Noodzakelijke beveiligingsacties blijven achterwege.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002 2017 8.1.1 en 8.1.2The Standard of Good Practice for Information Security 2018 PM1.2

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_B.02.01 Eigenaarschap

Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).

TBV_B.02.02 Eigenaarschap

De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.

TBV_B.02.03 Verantwoordelijkheden voor logische toegangsbeveiligingssystemen

De eigenaar is verantwoordelijk voor:

  • het identificeren van risico’s voor het toegangsbeveiligingssysteem door een informatielevenscyclus;
  • het beveiligd inrichten van het toegangsbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangsbeveiligingssysteem;
  • het ondersteunen van beveiligingsreviews.
TBV_B.02.04 Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen

De eigenaar is verantwoordelijk voor:

  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop met bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.