Eigenaarschap toegangsbeveiliging

Uit NORA Online
ISOR:Eigenaarschap van bedrijfsmiddelen
Ga naar: navigatie, zoeken
Versie 2.0 van 23 oktober 2020 van de BIO Thema-uitwerking Toegangsbeveiliging is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in pdf-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het toewijzen van de verantwoordelijkheid voor het toegangsbeveiligingssysteem.

Objecttoelichting

Om de toegang tot bedrijfsmiddelen, zoals het toegangsbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan hem toegekende verantwoordelijkheid het toegangsbeveiligingssysteem conform de hieraan gestelde eisen kan inrichten.


De coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen, muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in samenwerking met andere functionarissen (Responsible, Accountable, Consulting en Informed (RACI).


Criterium

Het eigenaarschap en de verantwoordelijkheden voor logische toegangsbeveiligingssystemen en de verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen behoren te zijn vastgelegd.

Doelstelling

Het bewerkstelligen dat er een verantwoordelijke is voor het toegangsbeveiligingssysteem en voor een betrouwbare inrichting ervan, dan wel ervoor zorgen dat noodzakelijke acties worden ondernomen.

Risico

Noodzakelijke beveiligingsacties blijven achterwege.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002 2017 8.1.1 en 8.1.2The Standard of Good Practice for Information Security 2018 PM1.2

Onderliggende normen

IDConformiteitsindicatorStelling
TBV_B.02.01 Eigenaarschap

Het eigenaarschap van toegangsbeveiligingssystemen is toegekend aan specifieke functionarissen (bijvoorbeeld Business managers).

TBV_B.02.02 Eigenaarschap

De eigenaar heeft de beschikking over noodzakelijke kennis, middelen en mensen en autoriteit om zijn verantwoordelijkheid te kunnen uitvoeren ten aanzien van de inrichting van het toegangbeveiligingssysteem.

TBV_B.02.03 Verantwoordelijkheden voor logische toegangsbeveiligingssystemen

De eigenaar is verantwoordelijk voor:

  • het identificeren van risico’s voor het toegangsbeveiligingssysteem door een informatielevenscyclus;
  • het beveiligd inrichten van het toegangsbeveiligingssysteem;
  • het onderhouden en het evalueren van het toegangsbeveiligingssysteem;
  • het ondersteunen van beveiligingsreviews.
TBV_B.02.04 Verantwoordelijkheden voor fysieke toegangsbeveiligingssystemen

De eigenaar is verantwoordelijk voor:

  • het inventariseren van bedrijfsmiddelen;
  • het definiëren van toegangsbeperkingen voor bedrijfsmiddelen en het uitvoeren van controle hierop met bedrijfsregels en toegangsbeveiliging;
  • het passend classificeren en beschermen van bedrijfsmiddelen;
  • het procesmatig verwijderen van bedrijfsmiddelen.