A.9 Toegangsbeveiliging
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
|---|---|---|---|---|---|---|---|
A.9 | Toegangsbeveiliging | ||||||
A.9.1 | Bedrijfseisen voor toegangsbeveiliging | Toegang tot informatie en informatieverwerkende faciliteiten beperken. | |||||
A.9.1.1 | Beleid voor toegangsbeveiliging | Een beleid voor toegangsbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. | S | S | S | Specificatie (S) bedoeld voor de registratie van externe gebruikers i.c. bedrijven/klanten van deelnemers. Voor interne gebruikers (medewerkers van deelnemers) bepaalt de deelnemers zelf de invulling (Sv). | Toegangsbeveiligingsbeleid moet in overeenstemming overeenstemming met:
Zie voor 1) Beleid voor informatiebeveiliging |
A.9.1.2 | Toegang tot netwerken en netwerkdiensten | Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. | S | S | S | idem | |
A.9.2 | Beheer van toegangsrechten van gebruikers | Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen. | Op stelselniveau gaat het om de registratie van gebruikers van stelselsystemen: Confluence, het incident-managementsysteem, Metadata, Dienstencatalogus, Managementinformatie, Simulator. | ||||
A.9.2.1 | Registratie en uitschrijving van gebruikers | Een formele registratie- en uitschrijvingsprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. | S | S | S | Specificatie (S) bedoeld voor de registratie van externe gebruikers i.c. bedrijven/klanten van deelnemers. Voor interne gebruikers (medewerkers van deelnemers) bepaalt de deelnemers zelf de invulling (Sv). | Met name voor MU, MR: Procesbeschrijvingen en registratie moeten voldoen aan de beschrijving van de betrouwbaarheidsniveaus voor het verkrijgen van middelen en registraties van machtigingen. |
A.9.2.2 | Gebruikers toegang verlenen | Een formele gebruiker-toegangsverleningsprocedure moet | Sv | Sv | |||
A.9.2.3 | Beheren van speciale toegangsrechten | Het toewijzen en gebruik van bevoorrechte toegangsrechten moeten worden beperkt en gecontroleerd. | Sv | Sv | Sv | ||
A.9.2.4 | Beheer van geheime authenticatie- | Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel beheersproces. | Sv | Sv | Sv | ||
A.9.2.5 | Beoordeling van toegangsrechten van gebruikers | Eigenaren van bedrijfsmiddelen moeten toegangsrechten van gebruikers regelmatig beoordelen. | Sv | Sv | Sv | ||
A.9.2.6 | Toegangsrechten intrekken of aanpassen | De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten moeten bij beëindiging van hun dienstverband, contract of overeenkomst worden verwijderd, en bij wijzigingen moeten ze worden aangepast. | Sv | Sv | Sv | ||
A.9.3 | Gebruikersverantwoordelijkheden | Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie. | |||||
A.9.3.1 | Geheime authenticatie-informatie gebruiken | Van gebruikers moet worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. | Sv | Sv | Sv | Gebruikers worden geacht een goede beveiligingspraktijk te hanteren bij het selecteren en gebruik van wachtwoorden. | |
A.9.4 | Toegangsbeveiliging van systeem en toepassing | Onbevoegde toegang tot systemen en toepassingen voorkomen. | |||||
A.9.4.1 | Beperking toegang tot informatie | Toegang tot informatie en systeemfuncties van applicaties moet worden beperkt in overeenstemming met het beleid voor toegangscontrole. | Sv | Sv | Sv | ||
A.9.4.2 | Beveiligde inlogprocedures | Indien het beleid voor toegangsbeveiliging dit vereist, moet toegang tot systemen en toepassingen worden beheerst door een beveiligde inlogprocedure. | Sv | Sv | Sv | ||
A.9.4.3 | Systeem voor wachtwoordbeheer | Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen. | Sv | Sv | Sv | Specifiek voor MU: Voor middelen in het stelsel | |
A.9.4.4 | Speciale systeemhulpmiddelen gebruiken | Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen moet worden beperkt en nauwkeurig worden gecontroleerd. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.9.4.5 | Toegangsbeveiliging op programmabroncode | Toegang tot de programmabroncode moet worden beperkt. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |