4 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
5.16 Identiteitsbeheer
| Attribuut | Waarde |
|---|---|
| Type beheersmaatregel: | #Preventief |
| Informatiebeveiligingseigenschappen: | #Vertrouwelijkheid #Integriteit #Beschikbaarheid |
| Cybersecurityconcepten: | #Beschermen |
| Operationele capaciteiten: | #Identiteits-_en_toegangsbeheer |
| Beveiligingsdomeinen: | #Bescherming |
Beheersmaatregel
De volledige levenscyclus van identiteiten behoort te worden beheerd.
Doel
De unieke identificatie van personen en systemen die toegang hebben tot de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, en een juiste toewijzing van toegangsrechten mogelijk maken.
Richtlijn
De processen die worden gebruikt in de context van identiteitsbeheer, behoren te bewerkstelligen dat:
a) indien identiteiten aan personen zijn toegewezen, een specifieke identiteit slechts aan één persoon wordt gekoppeld zodat de persoon ertoe kan worden gehouden rekenschap af te leggen voor met deze specifieke identiteit verrichte handelingen;
b) aan meer personen toegewezen identiteiten (bijvedeelde identiteiten) alleen zijn toegestaan wanneer ze om zakelijke of operationele redenen nodig zijn en ze aan speciale goedkeuring en documentatie worden onderworpen;
c) naar behoren gescheiden goedkeuring en onafhankelijk lopend toezicht wordt uitgeoefend indien identiteiten aan niet-menselijke entiteiten zijn toegewezen;
d) identiteiten tijdig gedeactiveerd of verwijderd worden als ze niet meer nodig zijn (bijv. als de gerelateerde entiteiten worden verwijderd of niet langer worden gebruikt of als de aan een identiteit gekoppelde persoon de organisatie heeft verlaten of van rol is veranderd);
e) in een specifiek domein één enkele identiteit aan één enkele entiteit wordt gekoppeld [d.w.z dat wordt vermeden dat meerdere identiteiten binnen dezelfde context aan dezelfde entiteit worden gekoppeld (dubbele identiteiten)];
f) registraties worden bijgehouden van alle belangrijke gebeurtenissen betreffende het gebruik en het beheer van gebruikersidentiteiten en authenticatie-informatie.
De organisatie behoort een ondersteunend proces te hebben ingesteld voor het omgaan met veranderingen aan informatie met betrekking tot gebruikersidentiteiten. Deze processen kunnen het opnieuw verifiëren van vertrouwde documenten met betrekking tot een persoon omvatten.
Wanneer gebruik wordt gemaakt van door derden verstrekte of uitgegeven identiteiten (bijvoegangsgegevens voor sociale media), behoort de organisatie te bewerkstelligen dat deze identiteiten van derden de vereiste mate van vertrouwen bieden en dat eventueel daarmee samenhangende risico's bekend zijn en voldoende worden behandeldit kan beheersmaatregelen in verband met de derden (zie 5.19) alsmede beheersmaatregelen in verband met gerelateerde authenticatie-informatie (zie 5.17) omvatten.
Overige informatie
Het verlenen of intrekken van toegang tot informatie en andere gerelateerde bedrijfsmiddelen is doorgaans een meerstapsprocedure:
a) het bevestigen van de zakelijke eisen voor het vaststellen van een identiteit;
b) het verifiëren van de identiteit van een entiteit alvorens deze een logische identiteit toe te kennen;
c) het vaststellen van een identiteit;
d) het configureren en activeren van de identiteitit omvat ook het configureren en initieel instellen van gerelateerde authenticatiediensten;
e) het verlenen of intrekken van specifieke toegangsrechten aan de identiteit, op basis van passende beslissingen over autorisatie of rechten (zie 5.18).