Page Comparison

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Het beheren van service aanvragen voor toegang omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van beheer serviceaanvragen voor toegang’):

Registratie van een aanvraag tot toegang;
Validatie van de aanvraag;
Urgentie bepalen;
Aanvraag uitvoeren;
Validatie uitvoering en afsluiten.

De minimale beschikbaarheid van het proces ‘beheer serviceaanvragen voor toegang’ is kantooruren (10ux5dagen).

Een belangrijk aspect van de verificatie is de controle van de identiteit van de gebruiker: hoe dit ingeregeld is voor de verschillende informatieklassen is beschreven in het document ‘Vo informatieclassificatie - Minimale maatregelen' – IAM’.

4.8.2.1. Minimale algemene maatregelen

...

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse	Minimale maatregelen

Image Removed

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Enkelvoudige validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’;
Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar;
Aanmaken van een account, verwijderen van een account, wijzigen van een account.

Image RemovedAlle maatregelen van Klasse 1 / Klasse 2 +

PAS TOE

Image Added

Inrichten van een proces voor service aanvragen voor toegang:

Registratie van een aanvraag tot toegang;

Validatie van de aanvraag;

Urgentie bepalen;

Rollen toekennen, rollen wijzigen, rollen verwijderen;

Minimaal jaarlijkse algemene postvalidatie;

Informeren van de gebruiker en de validator na uitvoering van de aanvraag.

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Dubbele validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’.

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar;
Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

...

Aanvraag uitvoeren;

Validatie uitvoering en afsluiten.

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

IC klasse	Minimale maatregelen

Image Removed


	PAS TOE
Image AddedImage AddedImage AddedImage Added	Klasse 1 en Klasse 2

kennen

kennen dezelfde maatregelen:

Beperking van toegang tot informatie en systemen op basis van ‘least privilege’ (CyFun PR.AC.4.3)
Functiescheiding waarborgen (CyFun PR.AC.4.6)
Enkelvoudige validatie conform toegangsbeleid en

‘Vo

‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’;
Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar;
Aanmaken van een account, verwijderen van een account, wijzigen van een account.

Image Removed

Image Added

Alle maatregelen van Klasse 1 /

Klasse 2 +

Registratie van een aanvraag tot toegang;
Urgentie bepalen;
Rollen toekennen, rollen wijzigen, rollen verwijderen;
Minimaal jaarlijkse algemene postvalidatie;
Informeren van de gebruiker en de validator na uitvoering van de aanvraag.

Image Removed

	PAS TOE OF LEG UIT
Image AddedImage Added	Alle maatregelen van Klasse 1 /

Klasse 2 +

Klasse 3

Vo

+

Dubbele validatie conform toegangsbeleid en

‘

‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’.
Automatisatie van het proces toegangsbeheer (CyFun PR.AC 4.6)

Image Removed

Image Added

Alle maatregelen van Klasse 1 /

Klasse 2 +

Klasse 3

+

Klasse 4

+

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar;
Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

Beschikbaarheid

IC klasse	Minimale maatregelen
	PAS TOE
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Beschikbaarheid van het proces beheer van service aanvragen voor toegang is minimaal kantooruren (5d x 10u)
	PAS TOE
	Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + Beschikbaarheid van het proces beheer van service aanvragen voor toegang is 24u x 7d.

De minimale algemene maatregelen voor beheer van service aanvragen voor toegang moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid en integriteit

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar.

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.8.2.3. Minimale specifieke (

...

NIS2) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

NIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

Daarnaast zijn volgende NIS2 specifieke maatregelen van kracht:

IC klasse

Minimale maatregelen

PAS TOE

Image AddedImage Added

Beperkingen van het account gebruik voor specifieke tijdsperioden en locaties (CyFun PR.AC.4.8).

4.8.2.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van beheer serviceaanvragen voor toegang:

IC klasse

Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

Iedere organisatie die gebruik wenst te maken van de diensten en toepassingen van het portaal van de sociale zekerheid ten behoeve van zijn gebruikers moet:
- a. minstens één toegangsbeheerder aanstellen (Ref. KSZ 5.6.1);
- b. zijn medewerkers aanzetten tot het lezen en toepassen van de reglementen over het gebruik van de informatiesystemen van de portalen (Ref. KSZ 5.6.1);
- c. de verplichtingen naleven die gepaard gaan met het uitoefenen van de functie beheerder of medebeheerder en die beschreven zijn in de beleidslijn ‘veilig toegangsbeheer van portalen’ (Ref. KSZ 5.6.1).

Image Removed

Version	Old Version 2	New Version Current
Changes made by	Kristel Van Aken	Kristel Van Aken
Saved on	12 Dec, 2024	24 Dec, 2024

Versions Compared

Key

4.8.2.1. Minimale algemene maatregelen

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

Beschikbaarheid

Vertrouwelijkheid en integriteit

Beschikbaarheid

4.8.2.3. Minimale specifieke (

NIS2) maatregelen

4.8.2.4. Minimale specifieke (KSZ) maatregelen

Page Comparison

Versions Compared

Key

4.8.2.1. Minimale algemene maatregelen

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

Beschikbaarheid

4.8.2.2. Minimale specifieke (GDPR) maatregelen

Vertrouwelijkheid en integriteit

Beschikbaarheid

4.8.2.3. Minimale specifieke (

NIS2) maatregelen

4.8.2.4. Minimale specifieke (KSZ) maatregelen