Toegang tot IT-diensten en data
Verwante principes |
Toegang tot data en bedrijfsprocessen van zowel CSC als CSP wordt uitsluitend op basis van identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen., authenticatie en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen verstrekt. NB De toegangsverlening heeft een directe relatie met het ‘Bring Your Own Device’ (BYOD)-beleid van een organisatie.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op Beveiligingsaspect Uitvoering
- valt binnen de IFGS-indeling IFGS Gedrag
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is NEN-ISO/IEC 27002 9.1.2 en 9.4, Cloud Security Alliance (CSA) Identity & Access Management (IAM)
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
Cloud_U.10.01 | gebruikers |
De CSP biedt de CSC uitsluitend toegang tot services, IT-diensten en data waarvoor zij specifiek bevoegd is.
|
Cloud_U.10.02 | gebruikers |
Onder verantwoordelijkheid van de CSP wordt aan beheerders:
|
Cloud_U.10.03 | gebruikers |
Alleen gebruikers met geauthentiseerde apparatuur krijgen toegang tot IT-diensten en data. |
Cloud_U.10.04 | bevoegd |
Onder de verantwoordelijkheid van de CSP worden bevoegdheden (systeemautorisaties) voor gebruikers toegekend via formele procedures. |
Cloud_U.10.05 | bevoegd |
Toegang tot IT-diensten en data is beperkt door technische maatregelen en is geïmplementeerd, bijvoorbeeld met het rollen en rechten concept. |