Toegangsbeveiligingsbeleid

Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.

Beveiligingsprincipe
ID:	TBV_B.01
Versie:	2.0
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	23-10-2020
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	20-4-2021
Indeling
Beveiligingsaspect:	Beleid
Invalshoek:	Intentie

Verwante principes

→ BIO Thema-uitwerking Toegangsbeveiliging

→ Binnen dit normenkader èn beveiligingsaspect

→ Alle Normenkaders

→ Alle Beveiligingsprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ ISOR

Definitie

Het resultaat van de besluitvorming, waarmee het voor de toegangsvoorziening verantwoordelijke (top)management van een organisatie heeft vastgelegd, op welke wijze, in welk tijdsbestek en met welke middelen haar doelstelling bereikt moeten worden en hoe met onzekere factoren moet worden omgegaan.

Toelichting

Het toegangsbeveiligingsbeleid maakt deel uit van het informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden. en geeft regels en voorschriften voor de organisatorische en technische inrichting van de fysieke toegang tot ruimten waar ICT-middelen zich bevinden en voor toegang tot de informatie en informatieverwerkende faciliteiten zelf, zoals toegang voor gebruikers tot applicaties en toegang voor beheerders tot ICT-componenten. Het toegangsbeveiligingsbeleid beschrijft onder andere de manier waarop de klantorganisatie omgaat met identiteit- en toegangsbeheer. Opgemerkt wordt, dat de control behorende bij het object ‘Toegangsbeveiligingsbeleid’ niet gaat over een diepgaande beoordeling van het toegangsbeveiligingsbeleid, maar dat het beleid een redelijke richting dient te geven voor de invulling van operationele activiteiten binnen het uitvoeringsdomein.

Criterium

Een toegangbeveiligingsbeleid behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en informatiebeveiligingseisen.

Doelstelling

Het beheersen van de toegang tot informatie.

Risico

Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangsbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op Beveiligingsaspect Beleid
valt binnen de IFGS-indeling IFGS Intentie
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO 2019 9.1.1

Onderliggende normen

ID	Conformiteitsindicator	Stelling
TBV_B.01.01	Toegangsbeveiligingsbeleid	Het toegangvoorzieningsbeleid: is consistent aan de vigerende wet- en regelgeving en informatiebeveiligingsbeleidHet informatiebeveiligingsbeleid verbindt de bedrijfsdoelstellingen met beveiligingsdoelstellingen. Met de beveiligingsdoelstellingen geeft een organisatie aan op welke wijze – door het treffen van beveiligingsmaatregelen – de bedrijfsdoelstellingen nagestreefd worden.; stelt eisen voor beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare verbindingen herkent.
TBV_B.01.02	Bedrijfseisen	Bij bescherming van toegang tot gegevens wordt aandacht geschonken aan relevante wetgeving en eventuele contractuele verplichtingen.
TBV_B.01.03	Bedrijfseisen	Er zijn standaard gebruikersprofielen met toegangsrechten voor veelvoorkomende rollen in de organisaties.
TBV_B.01.04	Informatiebeveiligingseisen	Informatiespreiding en autorisatieHet proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen tot informatie worden uitgevoerd op basis van need-to-know en need-to-use principes.
TBV_B.01.05	Informatiebeveiligingseisen	Het autorisatiebeheer is procesmatig ingericht (zoals: aanvragen, toekennen, controleren, implementeren, intrekken/beëindigen en periodiek beoordelen).