IM_AC.28

Voor elk systeem MOET er een formeel proces zijn waarbij toegangsrechten voor gebruikers worden toegekend of ingetrokken, gebaseerd op veranderende behoeften, taken of verantwoordelijkheden van medewerkers.

Er MOET een formele aanvraagprocedure zijn voor het verlenen, wijzigen of intrekken van toegangsrechten.

Alle aanvragen MOETEN in een centraal systeem worden gelogd.

De eigenaar van de informatie MOET valideren wie toegang nodig heeft, zowel voor het lezen als het wijzigen van de informatie, en voor hoe lang deze toegang vereist is.

Volgende attributen MOETEN gelogd worden om een auditeerbaar proces te garanderen:

• Basis attributen van het verzoek tot toegang (datum, tijd, aanvrager, volgnummer, …);

• De account van de medewerker die de toegang wenst te gebruiken;

• Motivatie van het verzoek;

• Basis attributen van de validatie van de toegang (datum, tijd, …);

• Identiteit van de persoon (eigenaar van de informatie) die de validatie uitvoert;

• Vervaldag van het toegangsrecht, afhankelijk van de klasse van de verwerkte informatie binnen de dienst of toepassing;

• Periodiek herhaalde (her)validatie van een recht, afhankelijk van de klasse van de verwerkte informatie binnen de dienst of toepassing.

Autorisatie: Verlenen en intrekken van toegangsrechten

1 2 3 4 5

BESCHIKBAARHEID INTEGRITEIT VERTROUWELIJKHEID

PREVENTIEF

BESCHERMEN