Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Toegangverlening informatiesystemen (1131-1)

advertisement 
Toegangverlening informatiesystemen (1131-1)
Eén van de kernactiviteiten van informatiebeveiliging bestaat uit het regelen van
autorisaties. Hierbij kan onderscheid worden gemaakt naar toegang tot het
netwerk en bevoegdheden voor het gebruik van functies van
informatiesystemen. Dit voorbeelddocument bevat een model richtlijn en
bijbehorende procedures om het beheer van autorisaties te regelen.
Let op, dit is een voorbeelddocument. Wanneer een en ander binnen de
instelling anders is geregeld moet dit document hierop worden aangepast.
1/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Inleiding
Gegevens zijn van cruciaal belang voor de apotheek. Om de integriteit in de
gegevensverzamelingen en onthulling van vertrouwelijke gegevens te
voorkomen is zorgvuldigheid bij het toebedelen van autorisaties een absolute
vereiste.
Doelstelling
Het gebruik van informatiesystemen moet zo zijn georganiseerd dat
alleen bevoegden toegang hebben tot de (onderdelen van) informatiesystemen
van de apotheek.
Hoofdlijn
De verantwoordelijke van een informatiesysteem heeft de
beslissingsbevoegdheid heeft om autorisaties te verlenen. Hiertoe is een
autorisatiematrix opgesteld. Hierna is de wijze beschreven waarop toegang
wordt verleend aan bevoegden. Onder bevoegden worden hierbij zowel
personen als
toepassingen (informatiesystemen en besturingssystemen) verstaan die
gebruik maken van gegevensverzamelingen.
Bij de aanvragen voor toegang wordt onderscheid gemaakt tussen aanvragen
zonder verdere privileges op het systeem (eindgebruikers) en aanvragen met
privileges op het systeem (beheerders).
De toegang tot informatiesystemen wordt door de leidinggevende via een
standaardformulier schriftelijk of elektronisch aangevraagd bij de
desbetreffende systeemeigenaar. Dit geldt zowel voor permanente toegang tot
de systemen die
nodig is voor het uitvoeren van de functie als tijdelijke toegang voor
werkzaamheden. Aan de hand van de opgestelde autorisatiematrix autoriseert
de verantwoordelijke al dan niet de autorisatieaanvraag. De toegekende
autorisaties worden gestructureerd geregistreerd door de applicatie- en
technisch beheerder van het desbetreffende informatiesysteem. Vervolgens
wordt de autorisatie op het netwerk en in het desbetreffende systeem
geïmplementeerd door de desbetreffende technisch beheerder. De
applicatiebeheerder implementeert de autorisaties binnen de applicaties.
Met behulp van nooduser-id’s kan de hiervoor beschreven werkwijze de eerder
beschreven maatregelen worden overruled. Voor nooduser-id’s gelden
zodoende aparte regels. Nooduser-id’s zijn bij default gedeactiveerd en kunnen
alleen met een gedeeld wachtwoord worden geactiveerd door de
desbetreffende systeemontwikkelaar en technisch beheerder (bijvoorbeeld door
middel van een zogenaamde enveloppenprocedure). Uitvoering van de
werkzaamheden in de productieomgeving geschiedt te allen tijde onder vier
ogen. Achteraf worden de gewijzigde softwarecomponenten opgenomen in het
regulier versiebeheer, wordt de nooduser-id wederom gedeactiveerd en vindt
accordering door de desbetreffende verantwoordelijke plaats. Aan de hand van
de systeemlogging kunnen additionele controles worden uitgevoerd, afhankelijk
van de impact van de wijziging.
2/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Aanpassing of beëindiging van autorisaties tot systemen geschiedt in de
volgende situaties:
- verandering van functie binnen de organisatie
- uitdiensttreding van de medewerker
- verdenking van oneigenlijk gebruik.
Informatiesystemen mogen alleen door medewerkers worden gebruikt als die
vanuit de bedrijfsfunctie noodzakelijk zijn. Personeelsmutaties en
functiewijzigingen worden direct vanaf het moment van wijziging in de logische
beveiliging van een informatiesysteem doorgevoerd. De desbetreffende
beheerder verwerkt de autorisatiewijziging( en) in de desbetreffende systemen/
applicaties.
Verantwoordelijkheden
-
Verantwoordelijke beslissingsbevoegdheid en verantwoordelijkheid
voor het toekennen van toegang tot het systeem.
[beherend apotheker] aanvragen/autoriseren van de aanvragen voor
toegang voor de medewerkers
Controle en rapportage
De beheerders stellen regelmatig overzichten op met de uitstaande
bevoegdheden, hetgeen door de verantwoordelijke wordt beoordeeld op
actualiteit en
zo nodig worden de geregistreerde gebruikers en/of bevoegdheden aangepast.
Dit geschiedt voor eindgebruikers één maal per halfjaar en voor beheerders
één maal per kwartaal.
Procedures en overige verwijzingen
Bij de richtlijn horen de volgende procedures:
- Procedure aanvragen autorisaties tot computersystemen
- Procedure toekennen van functies binnen een informatiesysteem
- Procedure wijzigen en verwijderen van autorisaties
3/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Procedure aanvragen autorisaties tot
computersystemen
Doelstelling
Het doel van deze procedure is het op een juiste en volledige manier verwerken
van aanvragen voor autorisatie voor de toegang tot computersystemen van de
apotheek. De nadruk bij deze procedure ligt op de autorisatie van gebruikers
zonder bijzondere privileges (veelal eindgebruikers).
Aanleiding
Deze procedure is van toepassing in de volgende situaties:
- indiensttreding van een nieuwe medewerker;
- wijzigen van toegangsrechten van een reeds in dienst zijnde medewerker.
Een ‘medewerker’ is hier niet alleen de persoon met een vast dienstverband
Bij de apotheek maar tevens de externe medewerker die gedurende een
bepaalde periode werkzaamheden uitvoert bij de apotheek.
Beschrijving
Bij het aanvragen van autorisaties tot computersystemen worden de
navolgende handelingen verricht.
1. De benodigde autorisaties voor een gebruiker op netwerkniveau en op
applicatieniveau wordt aangevraagd door de leidinggevende van de
gebruiker. Dit gebeurt door middel van een (zo mogelijk elektronisch)
autorisatieformulier dat door de aanvrager wordt ondertekend. Voor
toegang tot het netwerk wordt de aanvraag aan de medewerker
verantwoordelijk voor ICT gericht. Voor toegang tot informatiesystemen
wordt deze voorgelegd aan de desbetreffende verantwoordelijke van het
informatiesysteem.
2. De desbetreffende beheerder controleert het autorisatieformulier op
juistheid en volledigheid. Voor kritische functies en/of systemen wordt de
(digitale) ondertekening van het (elektronische) formulier gecontroleerd aan
de hand van een handtekeningenregister.
3. Als zich speciale autorisaties op het formulier bevinden (zoals bijvoorbeeld
toegang tot systeemniveau) die afwijkend zijn van de normale gang van
zaken wordt contact opgenomen met de aanvrager (leidinggevende) en
wordt overlegd met de medewerker verantwoordelijk voor ICT en indien
nodig met de beherend apotheker.
4. De medewerker verantwoordelijk voor ICT maakt het user-id aan en geeft
de gebruiker toegang tot het netwerk. De applicatiebeheerder maakt
autorisaties aan op de desbetreffende informatiesystemen zodat de
gebruiker de benodigde applicaties kan starten. Zie voor een verdere
uitwerking hiervan de procedure Toekennen van functies binnen een
informatiesysteem.
5. De gebruiker krijgt een melding per telefoon met de mededeling dat een
user-id is aangemaakt vergezeld door het (eenmalige) wachtwoord dat
nodig is voor de eerste keer aanloggen. Tevens ontvangt de gebruiker een
4/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
(elektronisch) formulier met een gedragscode voor het gebruik van
computerfaciliteiten.
6. Het aanvraagformulier met geïmplementeerde autorisaties wordt
gearchiveerd door de applicatiebeheerder.
Verantwoordelijkheden
De verantwoordelijkheden voor het aanvragen van autorisaties voor toegang tot
computersystemen zijn als volgt verdeeld.
- Leidinggevende
aanvragen autorisaties voor nieuwe gebruikers
- Functioneel beheerder
toewijzen en controleren van autorisatieaanvragen
- Applicatiebeheerder
technische realisatie van de aanvragen binnen
de informatiesystemen (in de gebruikersadministratie)
- Technisch beheerder
technische realisatie van de aanvragen binnen
de computersystemen (in de gebruikersadministratie)
5/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Procedure toekennen van functies binnen een
informatiesysteem
Doelstelling
Het doel van deze procedure is het op een juiste wijze aanmaken van
autorisaties voor het gebruik van functies binnen een informatiesysteem door
de hiertoe bevoegde functionarissen. Bij deze procedure wordt ervan uitgegaan
dat de gebruiker al is geautoriseerd op netwerk- en systeemniveau en bevoegd
is om het informatiesysteem op te starten.
Aanleiding
Deze procedure is van toepassing in de volgende situaties:
- indiensttreding van nieuwe medewerkers;
- wijziging van toegangsrechten van reeds in dienst zijnde medewerkers.
Beschrijving
De autorisaties voor het uitvoeren van functies binnen de applicaties wordt
beheerd door de functioneel beheerder van desbetreffende applicatie. De
applicatiebeheerder beschikt over de geprivilegieerde autorisaties binnen de
applicatie voor het opvoeren van gebruikers en het toekennen van rechten aan
deze gebruikers. Het beheer omvat de volgende activiteiten:
- aanmaken van user-id (idem aan de door de medewerker verantwoordelijk
voor ICT afgegeven user-id voor netwerktoegang) voor gebruikers binnen
een applicatie
- toekennen van autorisaties aan een gebruiker binnen een applicatie.
Bij het aanmaken van user-id’s binnen een applicatie en het toekennen van
autorisaties aan deze user-id’s worden de navolgende handelingen verricht.
1. De aanvrager - in de meeste gevallen de leidinggevende van de gebruiker vult een (elektronisch) formulier in waarop gemotiveerd wordt aangegeven
waar de autorisatie betrekking op heeft.
De belangrijkste gegevens die worden ingevuld zijn de naam van de
gebruiker, de applicatie waar de autorisatie betrekking op heeft en de
toegestane functies binnen de applicatie. Het (elektronisch) formulier wordt
door de aanvrager (digitaal) ondertekend.
2. De applicatiebeheerder van de applicatie controleert het (elektronisch)
aanvraagformulier op juistheid en volledigheid. Bovendien wordt de
(digitale) ondertekening van het formulier voor kritische applicaties
gecontroleerd aan de hand van een handtekeningenregister.
3. De applicatiebeheerder controleert de aangevraagde functies binnen de
applicatie aan de hand van een opgestelde autorisatiematrix met
functieprofielen. Als zich afwijkingen van deze matrix voordoen, wordt
contact opgenomen met de aanvrager.
4. De applicatiebeheerder controleert of voor het gebruik reeds een user-id op
netwerkniveau is aangemaakt. Dit user-id is namelijk gelijk aan het user-id
binnen de applicatie.
5. De aangevraagde autorisatie (bestaande uit een user-id/wachtwoord binnen
de applicatie en voor dit user-id toegestane functies binnen de applicatie)
6/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
wordt door de applicatiebeheerder aangemaakt en gecontroleerd op de
werking.
6. De gebruiker wordt op de hoogte gesteld van het user-id en bijbehorende
(eenmalige) wachtwoord. Als voor de betreffende applicatie nog bijzondere
aandachtspunten van toepassing zijn, wordt dit aan de gebruiker persoonlijk
(of via mail/telefoon) gecommuniceerd.
7. Het aanvraagformulier wordt gearchiveerd door de applicatiebeheerder.
Verantwoordelijkheden
De verantwoordelijkheden voor het aanvragen van autorisaties functie binnen
informatiesystemen zijn als volgt verdeeld.
- Lijnmanagement
aanvragen autorisaties voor nieuwe gebruikers
- Functioneel beheerder
toewijzen en controleren van autorisatieaanvragen
- Applicatiebeheerder
technische realisatie van de aanvragen binnen
de informatiesystemen (in de gebruikersadministratie)
- Technisch beheerder
technische realisatie van de aanvragen binnen
de computersystemen (in de gebruikersadministratie)
7/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Procedure wijzigen en verwijderen van autorisaties
Doelstelling
Het doel van deze procedure is het op juiste, volledige en tijdige wijze
verwerken van personeelsmutaties (veranderingen in functies, rollen en
bezetting) zodat de instelling van user-id’s en autorisaties een juiste
afspiegeling is en blijft van de werkelijkheid.
Aanleiding
Deze procedure is van toepassing voor de volgende situaties:
- wijziging van toegangsrechten van een reeds in dienst zijnde medewerker
- uitdiensttreding van een medewerker
- constatering van afwijkingen tussen de werkelijke situatie en de
geïmplementeerde situatie in de applicaties.
Het verzoek tot wijziging of verwijderen van user-id’s en/of bijbehorende
autorisaties kan voortkomen uit een aantal onderdelen binnen de organisatie.
Op de eerste plaats kan door de leidinggevende van de desbetreffende
gebruiker worden aangegeven dat deze uit dienst getreden is of een andere
functie binnen de apotheek is gaan vervullen. In deze procedure is het
aangeven van wijzigingen door de leidinggevende het uitgangspunt.
Op de derde plaats kan een controle tussen de werkelijke en de
geïmplementeerde situatie door een controlerend functionaris aanleiding zijn
om de geïmplementeerde situatie aan te passen.
Beschrijving
Bij het wijzigen en verwijderen van autorisaties van gebruikers worden de
navolgende handelingen verricht.
1. De technisch en applicatiebeheerder worden op de hoogte gesteld van de
personeelsmutatie. Als deze mutatie wordt aangemeld door de
leidinggevende wordt hiervoor gebruik gemaakt van een (elektronisch)
autorisatieformulier. Op dit formulier wordt duidelijk aangegeven dat het
betrekking heeft op een wijziging of verwijdering van een bestaande
gebruiker. Tevens wordt aangegeven welke autorisatie moet worden
gewijzigd of verwijderd, waarna het formulier (digitaal) wordt ondertekend.
2. De applicatiebeheerder controleert het (elektronische) formulier op
volledigheid en juistheid. De (digitale) handtekening wordt eventueel - bij
een kritisch systeem - gecontroleerd aan de hand van een
handtekeningenregister. Als het een wijziging van autorisaties binnen de
applicatie betreft, wordt door de applicatiebeheerder een controle aan de
hand van de autorisatiematrix uitgevoerd en worden de wijzigingen door de
applicatiebeheerder binnen de applicatie aangebracht.
3. De gebruikersbestanden die door de gebruiker worden achtergelaten,
worden overgedragen aan de medewerker verantwoordelijk voor ICT en na
controle gearchiveerd of vernietigd.
8/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
4. De technisch beheerder zorgt voor het doorvoeren van de wijzigingen in de
autorisaties of zorgt voor het verwijderen van het user-id op systeem- en
netwerkniveau.
5. De aanvrager van de wijziging of het verwijderen van de autorisatie wordt
op de hoogte gesteld door de technisch beheerder en/of
applicatiebeheerder. In geval van een wijziging van de autorisaties van een
gebruiker wordt niet de aanvrager (leidinggevende) maar de gebruiker zelf
op de hoogte gebracht.
6. Het aanvraagformulier voor de wijziging of de verwijdering wordt door de
applicatiebeheerder gearchiveerd.
Verantwoordelijkheden
De verantwoordelijkheden voor het wijzigen en verwijderen van autorisaties zijn
als volgt verdeeld.
- Leidinggevende
melden van mutaties van gebruikers
- Functioneel beheerder
controleren van mutaties in autorisaties
- Applicatiebeheerder
technische realisatie van mutaties binnen
de informatiesystemen (in de gebruikersadministratie)
- Technisch beheerder
technische realisatie van mutaties binnen
de computersystemen (in de gebruikersadministratie)
9/9
versie 1.0 – 23
jul 17
Handboek NEN7510
11.3.1 Toegangverlening informatiesystemen
Related documents
Brochure ML Legacy - C
Brochure ML Legacy - C
Project Goal
Project Goal
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Informatiebeveiliging in de zorg: NEN 7510 nieuw
Meldingsplicht informatiesystemen zorginstellingen - Comfort-IA
Meldingsplicht informatiesystemen zorginstellingen - Comfort-IA
Agenda - Insite ONL Dyslexie
Agenda - Insite ONL Dyslexie
DISCLAIMER Door gebruik te maken van deze
DISCLAIMER Door gebruik te maken van deze
NBA-site vernieuwd: Nu ook zoeken in de HRA
NBA-site vernieuwd: Nu ook zoeken in de HRA
Document
Document
Business Processes
Business Processes
SBIB KU Leuven – Bruikleenovereenkomst 1. De gebruiker verklaart
SBIB KU Leuven – Bruikleenovereenkomst 1. De gebruiker verklaart
algemene voorwaarden stichting rechtswinkel eindhoven
algemene voorwaarden stichting rechtswinkel eindhoven
Projectnummer - Kunstmatige Intelligentie
Projectnummer - Kunstmatige Intelligentie
Overzicht deelnemers per onderzoeksdeel met status
Overzicht deelnemers per onderzoeksdeel met status
Toelichting clustering
Toelichting clustering
Algemene voorwaarden Vochtweringsbedrijf Het Zuiden B.V.
Algemene voorwaarden Vochtweringsbedrijf Het Zuiden B.V.
Informatiekunde introductieproject
Informatiekunde introductieproject
Energie-nul-woningen vereisen een hoge mate
Energie-nul-woningen vereisen een hoge mate
Binnen HR staat talent in 2017 centraal.
Binnen HR staat talent in 2017 centraal.
Cybercriminaliteit
Cybercriminaliteit
Plan van aanpak inrichten en implementeren OTIB‐ skillsmanager U
Plan van aanpak inrichten en implementeren OTIB‐ skillsmanager U
AFAS Competentiemanagement - AFAS Dev
AFAS Competentiemanagement - AFAS Dev
Prospectus
Prospectus
Download
advertisement