richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-5.3-Functiescheiding.md

2.9 KiB
Raw Blame History

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

5.3 Functiescheiding

Attribuut Waarde
Type beheersmaatregel: #Preventief
Informatiebeveiligingseigenschappen: #Vertrouwelijkheid #Integriteit #Beschikbaarheid
Cybersecurityconcepten: #Beschermen
Operationele capaciteiten: #Governance #Identiteits-_en_toegangsbeheer
Beveiligingsdomeinen: #Governance_en_Ecosysteem

Beheersmaatregel

Conflicterende taken en conflicterende verantwoordelijkheden behoren te worden gescheiden.

Doel

Het risico op fraude, fouten en het omzeilen van beheersmaatregelen voor informatiebeveiliging verminderen.

Richtlijn

De functiescheiding en verantwoordelijkheidszones hebben tot doel conflicterende functies te scheiden en onder verschillende personen te verdelen om te voorkomen dat mogelijk conflicterende functies door één persoon alleen worden uitgevoerd.

De organisatie behoort vast te stellen voor welke functies en verantwoordelijkheidszones het nodig is dat ze worden gesegmenteerdieronder volgen voorbeelden van activiteiten waarvoor segmentatie nodig kan zijn:

a) het initiëren, goedkeuren en uitvoeren van een verandering;

b) het verzoeken om, goedkeuren en implementeren van toegangsrechten;

c) het ontwerpen, implementeren en beoordelen van code;

d) het ontwikkelen van software en het beheren van productiesystemen;

e) het gebruiken en beheren van toepassingen;

f) het gebruiken van toepassingen en het beheren van databases;

g) het ontwerpen, auditen en borgen van beheersmaatregelen voor informatiebeveiliging.

Bij het ontwerpen van beheersmaatregelen met het oog op scheiding behoort rekening te worden gehouden met de mogelijkheid van samenzweringoor kleine organisaties kan het moeilijk zijn om functies te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar isanneer het moeilijk is om functies te scheiden, behoren andere beheersmaatregelen te worden overwogen, zoals het monitoren van activiteiten, audittrajecten en supervisie door het management.

Bij het gebruik van op functies gebaseerde toegangsbeveiligingssystemen behoort ervoor te worden gezorgd dat aan personen geen conflicterende functies worden toegekendanneer er een groot aantal functies is, behoort de organisatie te overwegen geautomatiseerde hulpmiddelen te gebruiken om conflicten te identificeren en de verwijdering ervan mogelijk te makenuncties behoren zorgvuldig te worden gedefinieerd en ingesteld zodat toegangsproblemen tot een minimum kunnen worden beperkt indien een functie wordt verwijderd of opnieuw wordt toegewezen.

Overige informatie

Geen overige informatie.