Het voorkomen van ongeautoriseerde toegang tot informatiesystemen.

Er dienen procedures te bestaan voor het beheer van autorisaties voor informatiesystemen en informatiediensten, waarin de levenscyclus van een autorisatie is vastgelegd en onder welke omstandigheden speciale bevoegdheden aan een gebruiker worden toegewezen.

Het opstellen van formele procedures voor het registreren en afmelden van gebruikers voor de toegang tot alle informatiesystemen en -diensten met meerdere gebruikers.

• Voor de registratie van gebruikers dient een aparte procedure beschikbaar te zijn.

Het beperken en controleren van de toewijzing en het gebruik van speciale bevoegdheden (waarmee de gebruiker de normale beveiliging in systemen of toepassingen kan omzeilen) teneinde onjuist gebruik te voorkomen.

• Personen dienen alleen die speciale bevoegdheden te krijgen, die voor hun functie echt nodig zijn;
• De speciale bevoegdheden dienen regelmatig geëvalueerd te worden;
• Er dient een overzicht bij te worden gehouden van alle toegewezen speciale bevoegdheden.

Beheer en toewijzing van wachtwoorden aan de hand van een formele procedure.

• Voor de uitgifte en toewijzing van wachtwoorden dient een aparte procedure beschikbaar te zijn.

Het regelmatig verifiëren van de toegangsrechten om te voorkomen dat er oneigenlijk toegang kan worden verkregen tot (persoons)gegevens.

• Er vindt regelmatig (om de zes maanden) verificatie van toegang tot Suwinet plaats door BKWI;
• Speciale bevoegdheden dienen frequenter te worden gecontroleerd; hierbij wordt een interval van drie maanden aanbevolen;
• De toewijzing van speciale bevoegdheden wordt met regelmatige tussenpozen door BKWI gecontroleerd om de verwerving van niet-geautoriseerde speciale bevoegdheden te voorkomen; bevindingen worden gerapporteerd aan de verantwoordelijke binnen de GSD;
• Er dienen formele procedures voor het registreren en afmelden van gebruikers te worden opgesteld voor toegang tot alle informatiesystemen en -diensten met meerdere gebruikers;
• GSD-medewerkers krijgen op basis van hun functie toegang tot de informatiesystemen (BXIV 9.2, CBP 4.7).
• De aanvraag voor toegangsrechten dient altijd te zijn voorzien van een handtekening van de bevoegde manager (BXIV 9.2, CBP 4.7);
• Autorisaties dienen direct doch uiterlijk binnen twee werkdagen gewijzigd of verwijderd te worden in geval de medewerker van functie is veranderd danwel de organisatie heeft verlaten (BXIV 9.2, CBP 4.7).