Toegangbeveiliging(voorzienings)beleid

Uit NORA Online
ISOR:Toegangbeveiliging(voorzienings)beleid
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Het toegangbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT middelen zich bevinden en toegang tot informatie en informatieverwerkende faciliteiten zelf, bijvoorbeeld toegang tot applicaties voor gebruikers en toegang tot ICT-componenten voor beheerders. Het toegangbeveiligingsbeleid beschrijft onder andere de manier waarop de klant-organisatie omgaat met identiteits- en toegangsbeheer.

Opgemerkt wordt dat de control ‘toegangbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangbeveiligingsbeleid, maar dat het beleid een redelijke richting geeft voor de invulling van operationele activiteiten binnen het Uitvoeringsdomein.


Criterium

Een toegangbeveiligingbeleid moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.

Doelstelling

Beheersen van de toegang tot informatie.

Risico

Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIR (Baseline Informatiebeveiliging Rijksdienst) 9.1.1, NEN-ISO/IEC 27002 9.1.1

Onderliggende normen

ID Conformiteitsindicator Stelling Pagina
LTV_B.01.01 toegangbeveiligingbeleid Het Toegangvoorzieningsbeleid:
  • is consistent aan de vigerende wet en regelgeving en het informatiebeveiligingsbeleid;
  • komt procesmatig tot stand, bijvoorbeeld: voorbereiden, ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en aanpassen;
  • stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
Eisen aan het Toegangvoorzieningsbeleid
LTV_B.01.02 bedrijfseisen Bij bescherming van toegang tot gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen. Aandacht aan relevante wetgeving en eventuele contractuele verplichtingen
LTV_B.01.03 bedrijfseisen Voor veelvoorkomende rollen in de organisaties worden standaard gebruikersprofielen met toegangsrechten toegepast. Standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen
LTV_B.01.04 informatiebeveiligingseisen Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie wordt uitgevoerd op basis van need-to-know en need to use principes. Spreiding van en autorisatie tot informatie op basis van need-to-know en need to use principes
LTV_B.01.05 informatiebeveiligingseisen Het autorisatiebeheer is procesmatig ingericht. (Bijv. aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen). Het autorisatiebeheer is procesmatig ingericht
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen