Ga direct naar inhoud

Autorisatieproces

Risico

Indien het IDU-proces niet beheerst is, bestaat het risico dat onbevoegde toegang tot de omgeving van het algoritme kan worden verkregen of behouden.

Onderzoeksvraag

Worden accounts en autorisaties beheerst aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding?

Beheersmaatregelen

  • Een formele gebruikerstoegangsverleningsprocedure is geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.
  • Gebruikersaccounts en toegangsrechten worden uitgegeven door bevoegde functionarissen.
  • Er wordt functiescheiding toegepast tussen aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  • De gebruikersaccounts en toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten worden bij beëindiging van hun contract of overeenkomst verwijderd, en bij wijzigingen aangepast.

Inspectiestappen

Opzet

  1. Stel vast dat in een autorisatieproces is vastgelegd op welke wijze toegangsrechten worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken.
  2. Stel vast dat beschreven is op welke wijze functiescheiding wordt toegepast binnen het autorisatieproces, met minimaal een functiescheiding tussen aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  3. Stel vast dat is vastgelegd, bijvoorbeeld in een mandaatregister, welke functionarissen welke bevoegdheden hebben in het autorisatieproces.
  4. Stel vast dat beschreven is op welke wijze een autorisatiematrix opgesteld dient te worden waarin de toegangsrechten per profiel / medewerker en per systeem worden weergegeven en door welke functionaris deze vastgesteld dient te worden.
    Mogelijke bronnen: security-beleid, logisch toegangsbeleid, autorisatieproces of -procedure, mandaatregister.

Bestaan

  1. Stel vast dat toegangsrechten zijn aangevraagd, geautoriseerd, gewijzigd en ingetrokken in overeenstemming met het vastgestelde autorisatieproces.
  2. Stel vast dat functiescheiding is toegepast tussen het aanvragen, autoriseren en verwerken van wijzigingen in gebruikersaccounts en toegangsrechten.
  3. Stel vast dat de gebruikersaccounts en toegangsrechten zijn uitgegeven door bevoegde functionarissen.
  4. Stel vast dat een formeel vastgestelde autorisatiematrix aanwezig is, waarin de toegangsrechten per profiel / medewerker en per systeem zijn weergegeven. 
    Mogelijke bronnen: autorisatieaanvragen, autorisatiematrices, loggings, controlerapportages.

Ethische principes

Privacy en data-bescherming