4.8.2. Minimale maatregelen voor toegangsbeheer

Het beheren van service aanvragen voor toegang omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van beheer serviceaanvragen voor toegang’):

Registratie van een aanvraag tot toegang;
Validatie van de aanvraag;
Urgentie bepalen;
Aanvraag uitvoeren;
Validatie uitvoering en afsluiten.

De minimale beschikbaarheid van het proces ‘beheer serviceaanvragen voor toegang’ is kantooruren (10ux5dagen).

Een belangrijk aspect van de verificatie is de controle van de identiteit van de gebruiker: hoe dit ingeregeld is voor de verschillende informatieklassen is beschreven in het document ‘Vo informatieclassificatie - Minimale maatregelen' – IAM’.

4.8.2.1. Minimale algemene maatregelen

Vertrouwelijkheid

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Enkelvoudige validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’; Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar; Aanmaken van een account, verwijderen van een account, wijzigen van een account.
	Alle maatregelen van Klasse 1 / Klasse 2 + Registratie van een aanvraag tot toegang; Urgentie bepalen; Rollen toekennen, rollen wijzigen, rollen verwijderen; Minimaal jaarlijkse algemene postvalidatie; Informeren van de gebruiker en de validator na uitvoering van de aanvraag.
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Dubbele validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’.
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar; Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

Integriteit

IC klasse	Minimale maatregelen

IC klasse	Minimale maatregelen
	Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Enkelvoudige validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’; Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar; Aanmaken van een account, verwijderen van een account, wijzigen van een account.
	Alle maatregelen van Klasse 1 / Klasse 2 + Registratie van een aanvraag tot toegang; Urgentie bepalen; Rollen toekennen, rollen wijzigen, rollen verwijderen; Minimaal jaarlijkse algemene postvalidatie; Informeren van de gebruiker en de validator na uitvoering van de aanvraag.
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Dubbele validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’.
	Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar; Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

Beschikbaarheid

IC klasse	Minimale maatregelen

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Beschikbaarheid van het proces beheer van service aanvragen voor toegang is minimaal kantooruren (5d x 10u)

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Beschikbaarheid van het proces beheer van service aanvragen voor toegang is minimaal kantooruren (24u x 7d)

4.8.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen voor beheer van service aanvragen voor toegang moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid en integriteit

IC klasse	Minimale maatregelen

IC klasse

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar.

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.8.2.3. Minimale specifieke (NISII) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

4.8.2.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van beheer serviceaanvragen voor toegang:

IC klasse	Minimale maatregelen

IC klasse

Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

Iedere organisatie die gebruik wenst te maken van de diensten en toepassingen van het portaal van de sociale zekerheid ten behoeve van zijn gebruikers moet:
- a. minstens één toegangsbeheerder aanstellen (Ref. KSZ 5.6.1);
- b. zijn medewerkers aanzetten tot het lezen en toepassen van de reglementen over het gebruik van de informatiesystemen van de portalen (Ref. KSZ 5.6.1);
- c. de verplichtingen naleven die gepaard gaan met het uitoefenen van de functie beheerder of medebeheerder en die beschreven zijn in de beleidslijn ‘veilig toegangsbeheer van portalen’ (Ref. KSZ 5.6.1).