voor elkaar!

Dit onderwerp gaat over het beheren van identiteiten, accounts en toegangsrechten zodat de juiste persoon op het juiste moment de juiste toegang heeft—en dit aantoonbaar volgens procedure (aanvraag, autorisatie, logging, herziening).

Dit onderwerp valt onder het IBP domein 10: Identity- en access en geeft invulling aan deze IBP- normen.

• ID.01 Toegangsrechten toewijzen
• ID.02 Administratie van toegangsrechten
• ID.03 Monitoring en toegang superusers
• ID.04 Noodprocedure superuserrechten
• ID.05 Periodieke beoordeling van toegangsrechten

• Eén identiteit, één account per persoon.
• Toegang = op basis van functie en noodzaak.
• Geen algemene accounts, alles is persoonlijk.
• Rollen/rechten worden toegekend en gecontroleerd.
• Sterke inlog: MFA, wachtwoordbeleid, SSO.
• Risicovolle toegang wordt vastgelegd en gecontroleerd.

• Identiteiten & accounts van medewerkers/leerlingen/externen: uitgifte, wijziging, intrekking (on-/offboarding), lifecycle uit HR/ParnasSys.

• Autorisaties (rollen/rechten): toekennen volgens autorisatiematrix & functiescheiding; periodieke herziening en vastlegging.
• Authenticatiebeleid: SSO waar mogelijk, MFA waar nodig, wachtwoordbeleid en sessiebeveiliging.
• Beheerders-/privileged toegang (admin/superuser): aparte aanvraag/goedkeuring, minimale aantallen, logging & monitoring.
• Uitzonderingen/nood: breaking-glass met vooraf vastgelegde toestemming en verplichte registratie/evaluatie.

• Dagelijks gebruik & gebruikerssupport (inlogproblemen, wachtwoord vergeten) → servicedesk/gebruikershandleiding.

• Wijzigingen aan systemen/infrastructuur → Changemanagement.

• Keuze/inkoop van leveranciers en SLA’s → Leveranciersmanagement (Ketenbeheer).

• Inhoudelijke dataclassificatie & bewaartermijnen → Datamanagement/Classificatiebeleid.

• Fysieke toegang (sleutels, gebouwen) → fysiek beveiligingsbeleid.

Dit hebben we per I&T onderdeel uitgewerkt en vind je onder het kopje I&T onderdelen terug.

Gaat het om het geven, wijzigen of intrekken van toegang/rollen/identiteiten, of om inloggen/MFA? → Identity- en Access.

Gaat het om systeemwijzigingen, leveranciers/SLA, of hoe je data classificeert/bewaart? → ander proces (Change / Ketenbeheer / Datamanagement)

• Toegang aanvragen

  • Vraag nieuwe of gewijzigde toegang altijd aan via je leidinggevende.

  • Gebruik uitsluitend toegang die noodzakelijk is voor je werkzaamheden (“need-to-know”).

• Veilig gebruik van accounts

  • Gebruik alleen je persoonlijke account.

  • Deel je wachtwoord nooit.

  • Gebruik Multi-Factor Authenticatie (MFA) waar dit is ingesteld.

  • Vergrendel je apparaat wanneer je deze verlaat.

• Ondersteuning bij problemen

  • Neem bij inlogproblemen direct contact op met de ICT-helpdesk.

• Beëindiging of wijziging van functie

  • Meld bij vertrek of functiewijziging aan je leidinggevende zodat toegang kan worden ingetrokken of aangepast.

• Meldplicht bij verdachte situaties

  • Meld direct bij de ICT-helpdesk wanneer je verdachte activiteiten ziet, zoals onbekende inlogs, foutmeldingen of onverwachte toegang.