Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Het beheren van service aanvragen voor toegang omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van beheer serviceaanvragen voor toegang’):

  • Registratie van een aanvraag tot toegang;

  • Validatie van de aanvraag;

  • Urgentie bepalen;

  • Aanvraag uitvoeren;

  • Validatie uitvoering en afsluiten.

De minimale beschikbaarheid van het proces ‘beheer serviceaanvragen voor toegang’ is kantooruren (10ux5dagen).

Een belangrijk aspect van de verificatie is de controle van de identiteit van de gebruiker: hoe dit ingeregeld is voor de verschillende informatieklassen is beschreven in het document ‘Vo informatieclassificatie - Minimale maatregelen' – IAM’.

4.8.2.1. Minimale algemene maatregelen

Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

IC klasse

 Minimale maatregelen

PAS TOE

image-20241212-104557.png

Inrichten van een proces voor service aanvragen voor toegang: 

  • Registratie van een aanvraag tot toegang; 

  • Validatie van de aanvraag; 

  • Urgentie bepalen; 

  • Aanvraag uitvoeren; 

  • Validatie uitvoering en afsluiten.

Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen

PAS TOE

image-20241212-105036.pngimage-20241212-105052.png

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beperking van toegang tot informatie en systemen op basis van ‘least privilege’ (CyFun PR.AC.4.3)

  • Functiescheiding waarborgen (CyFun PR.AC.4.6)

  • Enkelvoudige validatie conform toegangsbeleid en ‘Vo Informatieclassificatie - Minimale maatregelen' – IAM’;

  • Automatische goedkeuring van toegang vooraf goedgekeurd door CISO in samenwerking met de toepassingseigenaar;

  • Aanmaken van een account, verwijderen van een account, wijzigen van een account.

image-20241212-105106.png

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Registratie van een aanvraag tot toegang;

  • Urgentie bepalen;

  • Rollen toekennen, rollen wijzigen, rollen verwijderen;

  • Minimaal jaarlijkse algemene postvalidatie;

  • Informeren van de gebruiker en de validator na uitvoering van de aanvraag.

PAS TOE OF LEG UIT

image-20241212-105123.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

image-20241212-105140.png

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar;

  • Informeren van alle actoren en de leidend ambtenaar na de uitvoering van de aanvraag

Beschikbaarheid

IC klasse

 Minimale maatregelen

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces beheer van service aanvragen voor toegang is minimaal kantooruren (5d x 10u) 

PAS TOE

Klasse 3Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces beheer van service aanvragen voor toegang is 24u x 7d.

4.8.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen voor beheer van service aanvragen voor toegang moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar.

Klasse 3Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1Klasse 2 +

  • Automatische goedkeuring van toegang vooraf goedgekeurd door DPO/ CISO in samenwerking met de toepassingseigenaar met rapportering aan DPO/ CISO en toepassingseigenaar.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.8.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

Daarnaast zijn volgende NIS2 specifieke maatregelen van kracht:

 

IC klasse

Minimale maatregelen

 

PAS TOE

image-20241212-105459.pngimage-20241212-105538.png

Beperkingen van het account gebruik voor specifieke tijdsperioden en locaties (CyFun PR.AC.4.8).

 

4.8.2.4. Minimale specifieke (KSZ) maatregelen

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen toegepast worden in het kader van beheer serviceaanvragen voor toegang:

IC klasse

 Minimale maatregelen

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

  • Iedere organisatie die gebruik wenst te maken van de diensten en toepassingen van het portaal van de sociale zekerheid ten behoeve van zijn gebruikers moet:  

    • a. minstens één toegangsbeheerder aanstellen (Ref. KSZ 5.6.1); 

    • b. zijn medewerkers aanzetten tot het lezen en toepassen van de reglementen over het gebruik van de informatiesystemen van de portalen (Ref. KSZ 5.6.1); 

    • c. de verplichtingen naleven die gepaard gaan met het uitoefenen van de functie beheerder of medebeheerder en die beschreven zijn in de beleidslijn ‘veilig toegangsbeheer van portalen’ (Ref. KSZ 5.6.1). 

  • No labels