9. Toegangsbeveiliging
Informatisering & automatisering is een ondersteunende bedrijfsfunctie. Hoofdstuk 9 “Toegangsbeveiliging” van de BIO is van toepassing op deze bedrijfsfunctie.
Doelstelling[bewerken]
Toegang tot informatie en informatie verwerkende faciliteiten beperken.
9.1 Bedrijfseisen voor toegangsbeveiliging[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
9.1.1 Beleid voor toegangsbeveiliging | Secretaris-directeur | |||
Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. | ||||
9.1.2 Toegang tot netwerken en netwerkdiensten | Proceseigenaar | |||
Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. |
Doelstelling[bewerken]
Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen.
9.2 Beheer van toegangsrechten van gebruikers[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
9.2.1 Registratie en afmelden van gebruikers | Proceseigenaar | |||
Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. | ||||
9.2.2 Gebruikers toegang verlenen | Proceseigenaar | |||
Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. | ||||
9.2.3 Beheren van speciale toegangsrechten | Proceseigenaar | |||
Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. | ||||
9.2.4 Beheer van geheime authenticatie-informatie van gebruikers | Proceseigenaar | |||
Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. | ||||
9.2.5 Beoordeling van toegangsrechten van gebruikers | Proceseigenaar | |||
Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. | ||||
9.2.6 Toegangsrechten intrekken of aanpassen | Proceseigenaar | |||
De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. |
Doelstelling[bewerken]
Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie.
9.3 Verantwoordelijkheden van gebruikers[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
9.3.1 Geheime authenticatie-informatie gebruiken | Secretaris-directeur | |||
Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. |
Doelstelling[bewerken]
Onbevoegde toegang tot systemen en toepassingen voorkomen.
9.4 Toegangsbeveiliging van systeem en toepassing[bewerken]
Artikel | Verantwoordelijk | Aanwezig | Gebruikt | Gestuurd |
---|---|---|---|---|
9.4.1 Beperking toegang tot informatie | Dienstverlener | |||
Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. | ||||
9.4.2 Beveiligde inlogprocedures | Dienstverlener | |||
Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. | ||||
9.4.3 Systeem voor wachtwoordbeheer | Dienstverlener | |||
Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen. | ||||
9.4.4 Speciale systeemhulpmiddelen gebruiken | Dienstverlener | |||
Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd. | ||||
9.4.5 Toegangsbeveiliging op programmabroncode | Dienstverlener | |||
Toegang tot de programmabroncode behoort te worden beperkt. |