policy Enterprise

Beleid voor gebruikersaccounts en beheer van privileges

Stel robuuste account- en privilegebeheersmaatregelen vast met dit uitgebreide beleid om toegangsrisico’s te verminderen, naleving te waarborgen en veilige IT-operaties te ondersteunen.

Overzicht

Dit beleid verplicht gestructureerde, auditeerbare beheersmaatregelen voor het beheer van gebruikerstoegang en privilegebeheer in alle informatiesystemen van de organisatie, zodat toegang geautoriseerd, gemonitord en in overeenstemming met belangrijke beveiligingsnormen is.

Afgedwongen beginsel van minimale bevoegdheden

Toegangsrechten worden strikt toegewezen op basis van het need-to-know-principe, waardoor het risico op ongeautoriseerde toegang wordt geminimaliseerd.

Uitgebreide scope

Van toepassing op alle gebruikersaccounts, inclusief werknemers, contractanten en derdepartijleveranciers, in cloud-, on-premises- en omgevingen voor toegang op afstand.

Robuuste authenticatie

Verplicht sterke authenticatie met wachtwoordcomplexiteit, multifactorauthenticatie (MFA) en beheersmaatregelen voor geprivilegieerde sessies.

Volledig overzicht lezen
Het Beleid voor gebruikersaccounts en beheer van privileges (Document P11) biedt een gestructureerd en verplicht kader voor het beheersen van de manier waarop gebruikersaccounts en toegangsrechten worden beheerd in alle informatiesystemen en technologieën van de organisatie. Het kerndoel is te waarborgen dat organisatiemiddelen uitsluitend worden benaderd door geautoriseerde personen, overeenkomstig gevalideerde rollen en operationele noodzaak. Het beleid erkent en handhaaft belangrijke beginselen van informatiebeveiliging, zoals het principe van minimale privileges en functiescheiding, en verplicht auditeerbare processen voor toegangsverlening, beheer, monitoring en intrekking van toegangsrechten van gebruikersaccounts. Van toepassing op alle gebruikers, waaronder werknemers, contractanten, dienstverleners van derde partijen en consultants, regelt dit beleid elk systeem waar gebruikersauthenticatie aanwezig is. Deze uitgebreide scope omvat bedrijfsapplicaties, cloud- en SaaS-omgevingen, administratieve systemen en tools voor toegang op afstand, evenals identiteits- en toegangsbeheer (IAM)-platformen. Zowel standaard- als geprivilegieerde accounts vallen onder de vereisten, met een sterke nadruk op unieke gebruikersnamen voor elk account en het voorkomen van gedeelde inloggegevens of generieke accounts (behalve voor strikt beheerde noodscenario’s). Belangrijke doelstellingen van het beleid zijn het afdwingen van unieke, te rechtvaardigen en traceerbare gebruikersaccounts; het implementeren van het beginsel van minimale privileges om te beschermen tegen overmatig gebruik van toegangsrechten; het vereisen van snelle wijzigingen in accountstatus na rolwijzigingen of beëindiging; en het centraliseren van activiteiten voor toegangslevenscyclusbeheer voor consistentie en auditeerbaarheid. Er zijn bepalingen voor proactieve detectie van inactieve gebruikersreferenties of misbruikte accounts via regelmatige toegangsrechtenbeoordelingen en het gebruik van geautomatiseerde tools. Het beleid is expliciet ontworpen om aan te sluiten op toonaangevende beveiligingsnormen (zoals ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR en COBIT 2019) om zowel wettelijke verplichtingen als eisen uit best practices te ondersteunen. Rollen en verantwoordelijkheden zijn duidelijk gedefinieerd, van de toezichts- en uitzonderingsbeheerrol van de Chief Information Security Officer (CISO) tot de technische acties van toegangscontrolebeheerders, de toegangsautorisaties van afdelingshoofden en de integratie van HR met onboarding en offboarding. Procedures zorgen ervoor dat het aanmaken, wijzigen en deactiveren van accounts strikt wordt beheerst, waarbij geprivilegieerde toegang onderworpen is aan extra toetsing, goedkeuringen, tijdbeperkingen en versterkte auditlogging. Authenticatiebeheersmaatregelen, waaronder verplicht authenticatiebeleid, multifactorauthenticatie (MFA) voor sleutelaccounts, sessievergrendeling en beveiligde protocollen voor toegang op afstand, vormen een kernvereiste, zodat identiteitsverificatie niet kan worden omzeild. Robuuste monitoring, auditlogging en periodieke toegangsbeoordelingen helpen nauwkeurige inventarissen van accounts te behouden en beleidsnaleving af te dwingen. Afhandeling van uitzonderingen is risicogebaseerd en beheerst, waarbij noodtoegangsscenario’s (‘break-glass’) speciale procedurele aandacht krijgen. Verplichte naleving wordt onderstreept door een progressief handhavingsmodel, waaronder het uitschakelen van toegang, gerichte hertraining, disciplinaire maatregelen en juridische/regelgevende escalatie bij overtredingen. Integratie met gerelateerde onderliggende beleidslijnen zorgt voor een samenhangende aanpak in alle domeinen van beveiligingsmaatregelen, en de eis voor jaarlijkse (of gebeurtenisgestuurde) herzieningen van het beleid garandeert continue verbetering en blijvende afstemming op evoluerende systemen, bedrijfsmodellen en regelgevende landschappen. Het Beleid voor gebruikersaccounts en beheer van privileges is fundamenteel voor de risicomanagementstrategie van de organisatie en versterkt operationele beveiliging en naleving van de regelgeving.

Beleidsdiagram

Diagram dat het toegangslevenscyclusbeheer van gebruikersaccounts illustreert, met stappen voor toegangsverlening, roltoewijzing, monitoring, periodieke toegangsbeoordelingen, afhandeling van uitzonderingen en intrekking van toegangsrechten.

Klik op het diagram om het op volledige grootte te bekijken

Inhoud

Scope en Rules of Engagement

Roltoewijzing en beheer

Authenticatie- en sessiebeheersmaatregelen

Procedures voor toegang van derden en leveranciers

Periodieke toegangsbeoordelingen

Processen voor uitzonderingen en risicobehandeling

Framework-naleving

🛡️ Ondersteunde standaarden & frameworks

Dit product is afgestemd op de volgende compliance-frameworks, met gedetailleerde clausule- en controlemappings.

Framework Gedekte clausules / Controles
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.155.165.175.18
NIST SP 800-53 Rev.5
AC-1AC-2AC-5AC-6IA-2IA-3IA-4IA-5AU-2AU-12
EU GDPR
5(1)(f)32Recital 39
EU NIS2
21(2)(a)21(2)(d)21(3)
EU DORA
59
COBIT 2019
DSS01DSS05APO13

Gerelateerde beleidsregels

Beleid inzake toegangscontrole

Stelt de overkoepelende toegangscontroleprincipes en authenticatiemechanismen vast, inclusief regelgebaseerde en rolgebaseerde toegangscontrole.

Onboarding- en offboardingbeleid

Biedt procedurele stappen voor het initiëren en beëindigen van gebruikerstoegang, afgestemd op HR-acties.

Informatiebeveiligingsbewustzijns- en opleidingsbeleid

Versterkt gebruikersverantwoordelijkheden voor accountbeveiliging en het beschermen van authenticatiegegevens.

Gegevensclassificatie- en labelingsbeleid

Stuurt toegangsniveaus op basis van gegevensclassificatie, zodat privilegegrenzen aansluiten op gevoeligheidsniveaus.

Logging- en monitoringbeleid

Zorgt ervoor dat een audittrail wordt verzameld voor alle accountgerelateerde activiteiten en wordt beoordeeld om anomalieën of ongeautoriseerde toegang te detecteren.

Incidentresponsbeleid (P30)

Regelt escalatie, indamming en post-incidentevaluatie bij misbruik van privileges of ongeautoriseerde accountactiviteiten.

Over Clarysec-beleidsdocumenten - Beleid voor gebruikersaccounts en beheer van privileges

Effectieve informatiebeveiligingsgovernance vereist meer dan alleen woorden; het vraagt om duidelijkheid, verantwoordingsplicht en een structuur die meegroeit met uw organisatie. Generieke sjablonen schieten vaak tekort en creëren ambiguïteit door lange alinea’s en ongedefinieerde rollen. Dit beleid is ontworpen als de operationele ruggengraat van uw beveiligingsprogramma. We wijzen verantwoordelijkheden toe aan specifieke rollen die in een moderne onderneming voorkomen, waaronder de Chief Information Security Officer (CISO), IT- en beveiligingsteams en relevante commissies, zodat de verantwoordingsplicht helder is. Elke eis is een uniek genummerde clausule (bijv. 5.1.1, 5.1.2). Deze atomische structuur maakt het beleid eenvoudig te implementeren, te auditen tegen specifieke beheersmaatregelen en veilig op maat te maken zonder de documentintegriteit aan te tasten, waardoor het verandert van een statisch document in een dynamisch, uitvoerbaar kader.

Duidelijke verantwoordingsplicht per rol

Specificeert gedetailleerde verantwoordelijkheden voor de Chief Information Security Officer (CISO), IT-beheerders, HR, managers en derdepartijleveranciers, en verduidelijkt goedkeurings- en auditketens.

Geautomatiseerde onboarding en offboarding

Vereist identiteits- en toegangsbeheer (IAM)-integratie met HRIS voor tijdige, geautomatiseerde toegangsverlening en deactivering van gebruikersaccounts.

Traceerbaar uitzonderingsbeheer

Formeel, risicogebaseerd proces voor uitzonderingen, zodat alle afwijkingen worden gedocumenteerd, goedgekeurd en auditeerbaar zijn.

Veelgestelde vragen

Ontwikkeld voor leiders, door leiders

Dit beleid is opgesteld door een securityleider met meer dan 25 jaar ervaring in het implementeren en auditen van ISMS-frameworks voor wereldwijde ondernemingen. Het is niet alleen bedoeld als document, maar als een verdedigbaar kader dat standhoudt onder auditoronderzoek.

Opgesteld door een expert met de volgende kwalificaties:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dekking & Onderwerpen

🏢 Doelafdelingen

IT Beveiliging Compliance

🏷️ Onderwerpdekking

toegangscontrole identiteitsbeheer Beheer van geprivilegieerde toegang (PAM) nalevingsbeheer
€49

Eenmalige aankoop

Directe download
Levenslange updates
User Account and Privilege Management Policy

Productdetails

Type: policy
Categorie: Enterprise
Normen: 7