Nederlands (Dutch):

(Content is van https://samendigitaalveilig.nl - PDF format)


1.14 Beheer van toegangsrechten

De organisatie dient een procedure te implementeren die ervoor moet zorgen dat toegangsrechten op de juiste wijze worden verstrekt, aangepast en verwijderd. Er wordt een registratie bijgehouden waaruit blijkt wie er logische en fysieke toegangsrechten hebben ontvangen en op welke datum deze weer zijn ingetrokken.

Doel

Voorkomen dat er een informatiebeveiligingsincident optreedt doordat toegangsrechten onterecht of onjuist zijn toegewezen aan het account van een gebruiker.

Focuspunten

  • Registreer wie toegang heeft tot welke informatie en bedrijfsmiddelen, en definieer zowel logische als fysieke toegangsrechten.
  • Stel een procedure en checklist op voor het toekennen, wijzigen en intrekken van toegangsrechten.
  • Controleer bij beëindiging van een dienstverband of alle accounts correct worden afgesloten en alle toegangsrechten worden ingetrokken.
  • Stel een autorisatiematrix op die duidelijk maakt welke toegangsrechten bij welke rol horen, en evalueer deze regelmatig.

English:

1.14 Access Rights Management

The organisation shall implement a procedure to ensure that access rights are granted, modified and revoked appropriately. A record is maintained showing who has received logical and physical access rights and on which date these were revoked.

Objective

To prevent an information security incident from occurring because access rights have been incorrectly or inappropriately assigned to a user's account.

Focus Points

  • Register who has access to which information and assets, defining both logical and physical access rights.
  • Establish a procedure and checklist for granting, modifying and revoking access rights.
  • Upon termination of employment, verify that all accounts are properly closed and all access rights are revoked.
  • Establish an authorisation matrix that clarifies which access rights belong to which role, and review it regularly.

Deutsch (German):

1.14 Zugriffsrechteverwaltung

Die Organisation muss ein Verfahren implementieren, das sicherstellt, dass Zugriffsrechte ordnungsgemäß vergeben, geändert und entzogen werden. Es wird eine Aufzeichnung geführt, die zeigt, wer logische und physische Zugriffsrechte erhalten hat und an welchem Datum diese widerrufen wurden.

Ziel

Verhinderung eines Informationssicherheitsvorfalls, der entsteht, weil Zugriffsrechte dem Konto eines Benutzers unzulässig oder fehlerhaft zugewiesen wurden – in Übereinstimmung mit DSGVO und BSI-Grundschutz.

Schwerpunkte

  • Erfassen Sie, wer Zugang zu welchen Informationen und Assets hat, und definieren Sie sowohl logische als auch physische Zugriffsrechte.
  • Erstellen Sie ein Verfahren und eine Checkliste für die Vergabe, Änderung und den Widerruf von Zugriffsrechten.
  • Überprüfen Sie bei Beendigung eines Arbeitsverhältnisses, ob alle Konten korrekt geschlossen und alle Zugriffsrechte entzogen wurden.
  • Erstellen Sie eine Berechtigungsmatrix, die verdeutlicht, welche Zugriffsrechte zu welcher Rolle gehören, und überprüfen Sie diese regelmäßig.

Español (Spanish):

1.14 Gestión de derechos de acceso

La organización debe implementar un procedimiento que garantice que los derechos de acceso se conceden, modifican y revocan de forma adecuada. Se lleva un registro que muestra quién ha recibido derechos de acceso lógico y físico y en qué fecha fueron revocados.

Objetivo

Evitar que se produzca un incidente de seguridad de la información porque los derechos de acceso han sido asignados incorrectamente o de forma inadecuada a la cuenta de un usuario, conforme al ENS y al RGPD.

Puntos de enfoque

  • Registre quién tiene acceso a qué información y activos, definiendo tanto los derechos de acceso lógico como físico.
  • Establezca un procedimiento y una lista de verificación para conceder, modificar y revocar derechos de acceso.
  • Al finalizar una relación laboral, verifique que todas las cuentas estén correctamente cerradas y todos los derechos de acceso revocados.
  • Establezca una matriz de autorización que aclare qué derechos de acceso corresponden a cada rol, y revísela periódicamente.