richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/DAK/Inventarisatie beheer SaaS applicaties DAK.md

2.6 KiB
Raw Permalink Blame History

Inventarisatie beheer SaaS applicaties DAK

Voorgestelde aanpak voor beleidsmatig toegangsbeheer

Solide, risico-gebaseerd toegangsbeheer kent verschillende componenten:

  1. inzage in de soorten informatie en de risicos van ongeoorloofde toegang (dataclassificatie)
  2. bepalen welke informatie toegankelijk moet zijn, en voor wie (volgens need to know en least privilege principes, op basis van rollen in de organisatie)
  3. procedures voor het bepalen, toekennen en ontnemen van toegang tot informatie.

Om dit te bereiken kunnen de onderstaande stappen genomen worden.

Opstellen dataclassificatie

  • Bepaal de belangrijkste risicogebieden en de risicobereidheid van de organisatie
  • Kwalificeer de classificatie-niveaus in overeenstemming met de risicobereidheid
  • Identificeer documentsoorten en informatietypen en bepaal het classificatie-niveau
  • Bepaal risicobeperkende maatregelen en richtlijnen voor de omgang met de verschillende categorieën informatie.

Bepalen noodzakelijke toegang

  • Definieer rollen voor de verschillende omgevingen en applicaties, gekoppeld aan het functiehuis van DAK.
  • Stel per omgeving/applicatie een rechtenmatrix op, gebaseerd op deze rollen, rekening houdend met de autorisatiestructuur van de omgeving/applicatie.
  • Implementeer deze rechtenmatrices binnen de applicaties.

Procedures voor toegangsbeheer

  • Formuleer beleid voor het toekennen van rechten in overeenstemming met functiebeschrijvingen, gebaseerd op need to know en least privilege principes.
  • Maak helder onder welke omstandigheden, en op welk mandaat, hiervan afgeweken mag worden. Doe dit o.b.v. een risicoanalyse en documenteer de afwijkingen.
  • Richt een (beschreven) proces in voor het toekennen, wijzigen en ontnemen van rechten bij personeels- en functiewijzigingen.
  • Controleer periodiek de uitvoering.

Informatiebeheer op SharePoint

Hoewel dit strikt gezien niet onder toegangsbeheer valt, wil ik op basis van de inventarisatie toch een aantal aanbevelingen voor het informatiebeheer op SharePoint geven. Waarschijnlijk komt dit aan de orde in het project met IT Value.

  • Stel richtlijnen en uitgangspunten op voor de inrichting van SharePoint (cq. Teams) om wildgroei en vervuiling te voorkomen.
  • Stel beleid op voor het aanmaken, archiveren en opheffen van sites, kanalen, etc. in SharePoint en Teams.
  • Wijs informatie-eigenaren aan voor de verschillende onderdelen van SharePoint en Teams en beschrijf daarvoor taken, bevoegdheden en verantwoordelijkheden.
  • Implementeer een rechtenstructuur in overeenstemming met deze rol.
  • Veranker dit beleid aan de dataclassificatie.