De volgende implementatieniveaus MOETEN worden toegepast op persoonlijke beheersaccounts naargelang de informatieklasse: Beschikbaarheid Integriteit Vertrouwelijkheid 5 HOOG HOOG HOOG 4 MIDDEN MIDDEN HOOG 3 BASIS BASIS MIDDEN 2 BASIS BASIS BASIS 1 BASIS BASIS BASIS Het BASIS implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten: Sterke identificatie van de medewerker; Sterke authenticatie bij gebruik; Elke account is geregistreerd en gevalideerd door de toegangsbeheerder met minstens jaarlijkse her-validatie; Er is permanente toegang tot het beheersaccount; Permanente logging van het gebruik; Motivatie voor gebruik is niet verplicht; Auditeerbaarheid is door ad hoc audits.
Het MIDDEN implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten: Sterke identificatie van de medewerker; Sterke authenticatie bij gebruik; Elke account is geregistreerd door de toegangsbeheerder met validatie door een door de organisatie geautoriseerd tweede persoon met minstens jaarlijkse her-validatie; Er is permanente toegang tot het beheersaccount; Permanente logging van het gebruik waarbij alle activiteiten worden geregistreerd (session recording) zodat de activiteiten in real-time en uitgesteld kunnen bekeken worden; Verplichte motivatie en validatie via een Change en Release Management proces: Auditeerbaarheid is gebaseerd op volgende risicorapportering: Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change); Pre-approved changes en operationele activiteiten (changes) met een maximale duurtijd tot één jaar zijn toegestaan voor operationele teams; Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie.
Het HOOG implementatieniveau voor persoonlijke beheersaccounts MOET voldoen aan de volgende vereisten: Sterke identificatie van de medewerker; Sterke authenticatie bij gebruik; Elke account is geregistreerd door de toegangsbeheerder met validatie door een door de organisatie geautoriseerd tweede persoon met minstens jaarlijkse her-validatie; Er is geen permanente toegang tot het beheersaccount, de account wordt enkel vrijgegeven op basis van functionele noodzaak (bijvoorbeeld een interventie in kader van een incident); Permanente logging van het gebruik waarbij alle activiteiten worden geregistreerd (session recording) zodat de activiteiten in real-time en uitgesteld kunnen bekeken worden; Verplichte motivatie en validatie via een Change en Release Management proces: Auditeerbaarheid is gebaseerd op volgende risicorapportering: Procescontrole: werd elke toegang correct afgedekt door een geregistreerde activiteit (change); Pre-approved changes en operationele activiteiten (changes) zijn beperkt tot de reële functionele duurtijd van de activiteiten; Periodieke risicorapportering dekt zowel de operationele processen als de informatie verwerkende configuratie.
| 