Logo Optimus Def

voor elkaar!

home
p
Informatie beveiliging
E
Startpagina
E
Optimus Onderwijs & Informatie beveiliging
E
Optimus onderwijs & Privacy (AVG)

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team

Beveiliging van accounts

Dit onderwerp valt onder het IBP domein 10: Identity- en access en geeft invulling aan deze IBP- normen.

Waar gaat dit over? (Scope)

Dit onderdeel gaat over de beveiliging van accounts binnen Optimus. Accounts zijn de digitale sleutels waarmee medewerkers, externen en beheerders toegang krijgen tot systemen en gegevens.  Een goede inrichting en controle van deze accounts voorkomt misbruik, datalekken en ongeautoriseerde toegang. Daarom gelden er duidelijke regels voor wachtwoordgebruik, het opschonen van inactieve accounts, het blokkeren bij mislukte inlogpogingen en het veilig omgaan met superuser- en beheeraccounts

Wat valt binnen de Scope:
  • Alle accounts van medewerkers (Visma HR), leerlingen (ParnasSys) en externen met contractuele binding.
  • Uitgifte en intrekking van rollen en rechten volgens autorisatiematrix.
  • Superuser- en admin-accounts (max. twee per applicatie, nooit voor dagelijks werk)
  • Beheer van wachtwoorden, authenticatie en Multi-Factor Authentication (MFA)
  • Logging van inlogpogingen (6 maanden bewaartermijn)
Wat valt buiten de Scope:
  • Fysieke toegang (sleutels, passen)

  • Logging en monitoring van toegangsactiviteiten (apart beschreven onderdeel).

  • Accounts van systemen buiten beheer van Optimus.

🐴 Ezelsbruggetje
ProcesScope (aanpak)
  • Identiteiten: iedere natuurlijke persoon heeft één unieke identiteit en account. Uitgifte via HR-systeem of LVS
  • Autorisaties: gebaseerd op functie en rol, volgens “need-to-know, need-to-use, time-to-know”
  • Functiescheiding: aanvragen, toekennen en controleren van rechten gebeuren altijd door verschillende functionarissen (vier-ogenprincipe)
  • Superuser-accounts: aanvraag via meldingssysteem, goedkeuring door leidinggevende én systeemeigenaar, logging van activiteiten.
  • Wachtwoorden: sterke eisen (complexiteit, periodiek wijzigen, geen hergebruik) en verplicht MFA bij vertrouwelijke gegevens.
  • Opschonen en blokkeren: inactieve accounts worden verwijderd, bij drie mislukte logins volgt automatische blokkade.
  • Breaking Glass-procedure: in nood alleen met expliciete toestemming CvB en toezicht PSO.

    I&T onderdelen

    Identiteits- en toegangsbeheer bevat verschillende onderdelen. Klik op het onderdeel om de onderdeel te bezoeken.

    Speerpunten

    • Eén unieke identiteit en account per persoon.

    • Rollen en rechten alleen via autorisatiematrix, halfjaarlijks herzien.Bij eindigen van contractdatum wordt het account gedeactiveerd.

    • Inactieve accounts worden binnen twee maanden verwijderd.

    • Bij drie foutieve logins volgt blokkade.

    • Superuser-accounts beperkt, geregistreerd en apart gelogd.

    • Sterk wachtwoordbeleid en verplicht MFA bij gevoelige gegevens.

    • Breaking Glass-procedure uitsluitend in noodgevallen met CvB-toestemming.

      Rollen, taken en verantwoordelijkheden

      Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

      Alle medewerkers

      Verantwoordelijk voor

      • Gebruikt alleen eigen account; geen delen van accounts of wachtwoorden.

      • Houdt zich aan wachtwoordregels en MFA.

      Taken (dit moet je doen)

      • Sterk wachtwoord instellen en periodiek wijzigen.

      • Verdachte inlogpogingen melden.

      Domeinbeheerder (Proceseigenaar)

      Verantwoordelijk voor:

      • Toekennen en intrekken van rollen/rechten volgens autorisatiematrix.

      • Toezien op functiescheiding en periodieke review (elke 6 maanden

      Taken: (dit moet je doen)

      • Goedkeuren van uitzonderingsaanvragen.

      • Vastleggen van beslissingen in meldingssysteem.

      Applicatiebeheerder

      Verantwoordelijk voor:

      • Inrichten applicaties (lokaal niveau) conform beleid en matrix.

      • Registreren van speciale toegangsrechten.

      Taken: (dit moet je doen)

      • Configureren accounts en rechten  (lokaal niveau).

      • Loggen en rapporteren van superuser-activiteiten.

      Privacy & Security Officer (PSO)

      Verantwoordelijk voor:

      • Toezicht op naleving van account- en autorisatiebeleid.

      • Controleren logboeken van hoog-risicosystemen

      Taken: (dit moet je doen)

      • Halfjaarlijkse review van accounts en rechten.

      • Incidenten opvolgen en escaleren.

      College van Bestuur (CvB)

      Verantwoordelijk voor:

      • Vaststellen van beleid.

      • Autoriseren van uitzonderingen en Breaking Glass

      Taken: (dit moet je doen)

      • Bekrachtigen beleid en beslissen in noodsituaties.

      Documentatie

      Klik op hieronder voor toegang tot het materiaal:

      • IBP beleidsstuk 
      • IBP (Excel)  

      Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.