Beleid inzake toegangscontrole

Het beleid inzake toegangscontrole vormt een kritieke pijler van beveiliging, met gedetailleerde principes en beheersmaatregelen voor het beheer van toegang tot informatiesystemen, toepassingen, fysieke faciliteiten en gegevensactiva. Dit beleid waarborgt dat elke vorm van toegang, zowel logische toegang als fysieke toegang, wordt gestuurd door bedrijfsbehoefte, functie en de risicopositie van de organisatie, in afstemming met wereldwijd erkende normen zoals ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA en COBIT 2019. Het doel is het afdwingen van strikte principes zoals het principe van minimale privileges, het need-to-know-principe en functiescheiding, die essentieel zijn voor risicobeperking met betrekking tot ongeautoriseerde toegang en dreigingen van binnenuit. Het beleid ondersteunt en operationaliseert eisen voor logische toegang en fysieke toegang, gebruikersauthenticatie en toegangslevenscyclusbeheer, van onboarding tot deprovisionering. Beheersmaatregelen worden vastgesteld voor zowel digitale als fysieke middelen om ongeautoriseerd gebruik, misbruik of compromittering te voorkomen. Dit beleid is organisatiebreed van toepassing; het toepassingsgebied omvat alle gebruikers, waaronder werknemers en contractanten, derdepartijleveranciers en tijdelijk personeel, evenals alle systemen en faciliteiten die onder het managementsysteem voor informatiebeveiliging (ISMS) vallen. Het behandelt complexe toegangsscenario’s en breidt beheersmaatregelen uit naar on-premises-, cloud- en hybride omgevingen, bedrijfs-IT-activa en zowel logische toegang (systemen, netwerken, API's) als fysieke bedrijfsmiddelen (gebouwen, datacenters). Belangrijk is dat het beleid vereist dat toegang gedurende de volledige levenscyclus wordt beheerd en nauw integreert met HR-gedreven gebeurtenissen zoals onboarding, interne overdrachten en het beëindigingsproces om tijdige updates en intrekking van toegangsrechten te waarborgen. Robuuste governance-eisen omvatten het definiëren van toegangsrechten via een formele rollenmatrix; het integreren van toegangsverlening en intrekking van toegangsrechten met HR- en technische processen; het afdwingen van goedkeuringsworkflows; en het verplicht stellen van beheer van geprivilegieerde toegang (PAM) via afzonderlijke accounts, sessiemonitoring en -opname en multifactorauthenticatie (MFA). Deze praktijken worden aangevuld met vereisten voor periodieke toegangsbeoordelingen, auditlogging en de afstemming van beheer van gebruikerstoegang met wettelijke verplichtingen en bedrijfsvereisten. Het beleid beschrijft ook expliciete mechanismen voor uitzonderingsbeheer en risicobeheer, handhaving en naleving en periodieke herziening, zodat het programma adaptief blijft ten aanzien van opkomende dreigingen, regelgevende wijzigingen en nieuwe technologieën. Daarnaast bevat het beleid specifieke bepalingen voor gebruikersgedrag, toegang van derden, functiescheiding en een klokkenluidersmechanisme. Het handhaaft een duidelijk kader voor de afhandeling van beleidsovertredingen, stelt verwachtingen voor eisen voor herziening en bijwerking en verplicht de opslag van historische versies voor naleving. Deze elementen samen creëren een toegangsgovernance-omgeving die verantwoordingsplichtig, auditeerbaar en geschikt is om certificering of juridische toetsing te ondersteunen, zonder aannames of claims die verder gaan dan wat strikt is gedocumenteerd.