10.1 Bedieningsprocedures en -verantwoordelijkheden

Dit is een Doelstelling (ID: 10.01) binnen het thema 10 Beheer van Communicatie- en Bedieningsprocessen.

De tekst van deze doelsteling is: '

Beheersmaatregelen en voorbeelden[bewerken]

  • 10.1.1 Gedocumenteerde bedieningsprocedures
    • 10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.
    • 10.1.1.2 Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.
  • 10.1.2 Wijzigingsbeheer
    • 10.1.2.1 In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan:
  • het administreren van significante wijzigingen
  • impactanalyse van mogelijke gevolgen van de wijzigingen
  • goedkeuringsprocedure voor wijzigingen
    • 10.1.2.2 (A) Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd.
  • 10.1.3 Functiescheiding
    • 10.1.3.1 Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.
    • 10.1.3.2 (A) Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker.
    • 10.1.3.3 (A) Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden.
    • 10.1.3.4 (A) Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.
  • 10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie
    • 10.1.4.1 Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.
    • 10.1.4.2 Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt wordt.
    • 10.1.4.3 (A) Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.


Betekenisvolle gegevens.

Een samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=ID-ibprincipe-10.01&oldid=513692"
Deze pagina is het laatst bewerkt op 18 apr 2018 om 08:09.