Versions Compared

Version Old Version 4 New Version 5
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Het beheren van service aanvragen voor toegang omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van beheer serviceaanvragen voor toegang’):

...

4.8.2.1. Minimale algemene maatregelen

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse

 Minimale maatregelen

PAS TOE

image-20241212-104557.png

Inrichten, documenteren, valideren en regelmatig reviewen van een proces voor service aanvragen voor toegang: 

  • Registratie van een aanvraag tot toegang; 

  • Validatie van de aanvraag; 

  • Urgentie bepalen; 

  • Aanvraag uitvoeren; 

  • Validatie uitvoering en afsluiten.

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen

PAS TOE

image-20241212-105036.pngimage-20241212-105052.png

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beperking van toegang tot informatie en systemen op basis van ‘least privilege’ (CyFun PR.AC.4.3)

  • Functiescheiding waarborgen (CyFun PR.AC.4.6)

  • Enkelvoudige validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’;

  • Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar;

  • Aanmaken van een account, verwijderen van een account, wijzigen van een account.

image-20241212-105106.png

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Registratie van een aanvraag tot toegang;

  • Urgentie bepalen;

  • Rollen toekennen, rollen wijzigen, rollen verwijderen;

  • Minimaal jaarlijkse algemene postvalidatie;

  • Informeren van de gebruiker en de validator na uitvoering van de aanvraag.

PAS TOE OF LEG UIT

image-20241212-105123.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

image-20241212-105140.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar;

  • Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

...

IC klasse

 Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces beheer van service aanvragen voor toegang is minimaal kantooruren (5d x 10u) 

PAS TOE

Klasse 3Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces beheer van service aanvragen voor toegang is 24u x 7d.

...

IC klasse

 Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar.

Klasse 3Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 Klasse 2 +

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar.

...

IC klasse

Minimale maatregelen

 

PAS TOE

image-20241212-105459.pngimage-20241212-105538.png

Beperkingen van het account gebruik voor specifieke tijdsperioden en locaties (CyFun PR.AC.4.8).

 

4.8.2.4. Minimale specifieke (KSZ) maatregelen

...

IC klasse

 Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

  • Iedere organisatie die gebruik wenst te maken van de diensten en toepassingen van het portaal van de sociale zekerheid ten behoeve van zijn gebruikers moet:  

    • a. minstens één toegangsbeheerder aanstellen (Ref. KSZ 5.6.1); 

    • b. zijn medewerkers aanzetten tot het lezen en toepassen van de reglementen over het gebruik van de informatiesystemen van de portalen (Ref. KSZ 5.6.1); 

    • c. de verplichtingen naleven die gepaard gaan met het uitoefenen van de functie beheerder of medebeheerder en die beschreven zijn in de beleidslijn ‘veilig toegangsbeheer van portalen’ (Ref. KSZ 5.6.1).