Welkom op ITpedia

De toegang naar Public Domain IT kennis, checklisten en best practices.

ITpedia checklist.

Checklist:     Informatie beveiliging audit
Nr. G007Toegangsbeveiliging

Nr.IDVraagFout                             Goed
14331 Zijn duidelijke regels en rechten opgesteld met betrekking tot toegangsbeveiliging voor elke gebruiker of groep van gebruikers?
24333Wordt aan gebruikers en beheerders van de informatievoorziening een duidelijke verklaring verschaft van de eisen waaraan de toegangsbeveiliging moet voldoen?
34332 Is de toegangsbeveiliging geconcretiseerd in beheersmaatregelen en procedures?
44334 Zijn er procedures opgesteld voor het registreren en afmelden van gebruikers?
54335 Krijgen niet-geregistreerde gebruikers slechts toegang tot publieke gegevens en faciliteiten?
64336 Hebben alle gebruikers een unieke gebruikersidentificatie voor persoonlijk gebruik?
74337 Worden gebruikersidentificaties zo gekozen dat ze geen indicatie geven van de bevoegdheid van een persoon?
84338 Zijn er procedures vastgesteld voor het toewijzen van gebruikersidentificaties?
94339Beschikt de organisatie over een wachtwoordsysteem om de identiteit van een gebruiker te verifiëren?
104340 Worden naast wachtwoorden andere technologieën voor gebruikersidentificatie en authenticatie overwogen, zoals biometrie en het gebruik van identificatietekens (tokens)?
114341 Wordt de keuze voor een passende authenticatiewijze bepaald op basis van een risicobeoordeling?
124342Zijn er procedures voor het instellen, wijzigen en intrekken van wachtwoorden?
134343 Worden gebruikers op de hoogte gesteld hoe om te gaan met wachtwoorden?
144344Beschikt de organisatie over systemen en procedures voor het uitgeven van middelen voor sterke authenticatie?
154345 Zijn deze systemen en procedures met meervoudige beveiliging omgeven?
164346 Verloopt de toegang tot informatiediensten via een veilige inlogprocedure?
174347 Is beeldschermapparatuur waarop gevoelige gegevens worden verwerkt, zodanig opgesteld dat er zo min mogelijk kans op toevallige waarneming is?
184348 Worden gebruikers verplicht om goede beveiligingsgewoontes in acht te nemen bij het kiezen en gebruiken van wachtwoorden?
194349 Zorgen gebruikers ervoor dat anderen hun authenticatiemiddelen niet kunnen gebruiken?
204350 Wordt een automatisch identificatiesysteem voor werkstations gebruikt om de verbindingen met specifieke locaties te verifiëren?
214351Worden werkstations automatisch identificeerd bij toepassingen waarbij het belangrijk is dat een sessie uitsluitend wordt gestart vanaf een bepaalde locatie?
224352 Worden werkstationidentificaties gebruikt om aan te geven of een bepaald werkstation bepaalde transacties mag uitvoeren of ontvangen?
234353 Worden automatische verbindingen met computersystemen op afstand geauthenticeerd?
244354 Zijn gebruikers verplicht ervoor te zorgen dat onbeheerde apparatuur voldoende is beveiligd?
254355 Is voor inactieve werkstations op locaties met verhoogd risico een time-out voorziening ingesteld?
264356Wordt de toegang tot gegevens en functies verleend overeenkomstig het toegangsbeleid van de organisatie?
274357 Wordt de toegang tot gegevens en functies verleend op basis van de beveiligingseisen voor de desbetreffende toepassing?
284358 Worden de regels voor autorisatie geformuleerd door de verantwoordelijken voor de betreffende voorzieningen en gegevens?
294359 Kan aan bepaalde gebruikers voor gebruik in onvoorziene noodsituaties de bevoegdheid worden toegekend de normale afscherming te doorbreken?
304360 Wordt het gebruik van deze bijzonder bevoegdheid als zodanig vastgelegd?
314361Heeft de organisatie procedures en regels vastgesteld voor de toekenning en intrekking van bevoegdheden?
324362 Worden toepassingen, systemen en netwerkvoorzieningen zodanig ingericht dat toegang alleen mogelijk is in overeenstemming met geldige bevoegdheden?
334363 Wordt de toewijzing en het gebruik van bijzondere bevoegdheden voor noodprocedures, systeembeheer, onderhoud en dergelijke beperkt?
344364 Wordt de toewijzing en het gebruik van bijzondere bevoegdheden voor noodprocedures, systeembeheer, onderhoud en dergelijke gecontroleerd?
354365 Wordt de toegang tot systeemhulpmiddelen beperkt en beheerst?
364366 Is een procedure opgesteld voor de verificatie van de toegangsrechten van gebruikers?
374367 Worden gebruikersautorisaties regelmatig gecontroleerd (bijvoorbeeld om de zes maanden)?
384368 Is er een beleid geformuleerd ten aanzien van het gebruik van netwerken en netwerkdiensten?
394369 Besteedt het beleid aandacht aan de netwerken en netwerkdiensten waartoe men toegang heeft?
404370 Besteedt het beleid aandacht aan de autorisatieprocedures om te bepalen wie toegang heeft tot welke netwerken en netwerkdiensten?
414371 Besteed het beleid aandacht aan de beheersmaatregelen en -procedures om de toegang tot netwerkverbindingen en netwerkdiensten te beveiligen?
424372Sluit het beleid aan bij het beleid voor toegangsbeveiliging?
434373Is het netwerk van de organisatie opgesplitst in afzonderlijke logische domeinen?
444374Is de gevoeligheid van systemen bepaald om vast te stellen of zij een vast toegewezen (geïsoleerde) computeromgeving vereisen?
454375 Worden gevoelige toepassingen afhankelijk van de mate van gevoeligheid uitgevoerd op vast toegewezen computers?
464376 Wordt de route tussen werkstation en netwerkdiensten beperkt voor kritische informatievoorzieningen?
474377 Worden poorten die dienen voor systeemdiagnose ten behoeve van onderhoud op afstand door een beveiligingsmechanisme / beveiligingsprocedure beveiligd?
484378Is een beleid opgesteld voor de omgang met mobiele computers welke de risico`s behandelt van het gebruik van mobiele computervoorzieningen?
494379Zijn beveiligingsmaatregelen genomen voor het gebruik van mobiele computers op openbare plaatsen, vergaderruimten en andere onveilige plaatsen buiten de organisatie?
504380Zijn beveiligingsmaatregelen genomen om ongeautoriseerde toegang tot en openbaring van opgeslagen informatie op de mobiele computers te voorkomen?
514381 Zijn mobiele computers voorzien van antivirusprogrammatuur en wordt deze up-to-date gehouden?
524382Zijn voorzieningen aanwezig die het mogelijk maken om snel en makkelijk een backup te maken van de opgeslagen informatie?
534383Zijn de backups adequaat beveiligd tegen ongeautoriseerd schrijven en openbaarmaking?
544384 Zijn beveiligingsmaatregelen genomen voor als een mobiele computer wordt gekoppeld aan het netwerk?
554385 Is beleid geformuleerd voor telewerken en de risico`s daarvan?
564386 Zijn passende beveiligingsvoorzieningen aanwezig die de toegang op afstand beperken?
574387 Is bepaald welke gegevens via telewerken geraadpleegd mogen worden en welke handelingen zijn toegestaan in het geval van telewerken?
584388 Zijn procedures aanwezig voor het controleren van de fysieke beveiliging van de (voorgestelde) telewerkplek?
PrintenCijfer: 0,0

Gekoppelde artikelen:
Analyses, Definities: Worm-infectie - Automatisch besmet
Knelpunten, Definities, Juridisch: Wachtwoord beheer
Definities, Juridisch: Beveiligde Internet-verbindingen
Adviezen, Knelpunten, Analyses: Vier manieren waarop cybercriminelen geld verdienen met botnets
Adviezen, Oplossingen, Achtergronden, Definities: Computervirussen en Trojaanse paarden
Oplossingen, Best practices: Het autorisatieformulier

Zo geef je monitorarchitectuur vorm

Veel organisaties worstelen met het inrichten van hun monitorvoorziening om de afgesproken servicenormen meetbaar te maken. Hoe kan de monitorvoorziening onder architectuur worden vormgegeven? En hoe kunnen aan de hand van deze aanpak tien veelvoorkomende problemen worden opgelost? In voorgaande artikelen is uiteengezet hoe servicenormen voor ICT-services te bepalen (‘Servicenormen gedefinieerd’, B. de Best) en… lees verder »

Zo worden servicenormen meetbaar

Inleiding Dit artikel gaat over vijf soorten veelvoorkomende tools om ICT-services te monitoren: 􀏃 Servicedeskmonitoring: de gebruiker zelf is de monitor van verstoringen die een servicedeskmedewerker in een servicedesktool administreert. 􀏃 Built-in monitoring: in de applicatie, die de basis vormt voor de ICT-service, wordt meetfunctionaliteit ingebouwd. 􀏃 Component based monitoring: het monitoren van de ICT-service… lees verder »

Zo definieer je servicenormen

Steeds meer beheerorganisaties zijn van ICT-productoriëntatie gegroeid naar ICT-service- oriëntatie. Servicegerichtheid leent zich prima voor een betere businessalignment met de beheerorganisatie, omdat ICT-services dichter bij de bedrijfsprocessen staan dan ICT- producten. Maar hoe bepaal je de juiste servicenormen voor deze ICT-services? Inleiding Al decennia lang spreken beheerorganisaties Service Level Agreements (SLA’s) af met de ge-… lees verder »

Rate, Like en Share

Het klopt, alle artikelen die op ITpedia verschijnen worden gecheckt en beoordeelt op betrouwbaarheid en relevantie. Artikelen worden pas geplaatst nadat de reactie het groene licht heeft gegeven. De echte waardering van een artikel wordt echter door de bezoekers zelf gegeven. Als een artikel je echt heeft geholpen, of je vond niet de informatie die… lees verder »

De Top 25 Kwetsbaarheden in systemen

Kwetsbaarheden die leiden tot beveiligingslekken zijn meestal het gevolg van ontwerp- en programmeerfouten. Om deze fouten voor de ingebruikname te ontdekken moet veel en intensief worden getest. En dan nog komen ze op de meest ongelukkige momenten naar voren. Omdat de distributie van software via het internet zo gemakkelijk gaat zijn de kwetsbaarheden ook snel… lees verder »

Business Continuity Management, hoe waarborg je de continuïteit?

Door de 24 uurs economie en de toenemende globalisering wordt de continuïteit van je organisatie steeds belangrijker. Niemand kan zich nog veroorloven om voor langere tijd “uit de lucht” te zijn. Sommige bedrijven zullen na enkele uren al de financiële gevolgen voelen en na een dag failliet zijn. Andere organisaties hebben misschien meer tijd maar… lees verder »

Zonder besturing wordt IT nooit een enabler

Inleiding Binnen veel bedrijven is men
op directieniveau eager om strategisch te denken als het
gaat om (nieuwe) producten en diensten die men in de markt kan zetten. De ICT is hierbij steeds vaker een enabler, opent nieuwe markten voor de business en ondersteunt nieuwe producten en diensten. Verwonderlijk is het dan dat veel beheerorganisaties niet in… lees verder »

Blijf op de hoogte

ITpedia kan je d.m.v. een e-mail informeren welke artikelen er afgelopen week gepubliceerd zijn. Deze e-mail wordt een maal per week op donderdag verzonden. Vul daarvoor onderstand formulier in. Je kan op ieder gewenst moment weer afmelden voor deze service. — Printbare PDF-versie —

SISp 4.5 Communicatie tijdens Proeftuinproject in 7 stappen

Selectie van standaard software

De invoering van een standaard pakket verloopt stap voor stap. De communicatie over het project wordt ook stapsgewijs opgevoerd. Tot nu toe was de selectie en invoering een zaak van het projectteam maar nu worden ook eindgebruikers betrokken bij het project. Tijd voor het SISp communicatieteam om actief te worden. Het team communiceert nu met… lees verder »

Agile, Kwaliteit op maat

Veel organisaties zijn steeds terughoudender met investeren in kwaliteitsverbetering van ICT-processen. Softwarebedrijf ANVA heeft met succes voor een aanpak gekozen waarbij niet een compleet best-practicemodel wordt ingevuld, maar alleen requirements worden toegepast waar een stakeholder behoefte aan heeft. Al sinds jaar en dag levert ANVA het gelijknamige softwareproduct aan klanten in de verzekeringsbranche. De basis… lees verder »

Service Level Management – Het Service Quality Plan

SQP – Introductie SQP staat voor Service Quality Plan. Het doel van het SQP is om voor het komende jaar aan te geven wat moeten worden gedaan om te borgen dat de beoogde serviceverlening wordt gerealiseerd. SQP – Lifecycle Management SQP – gebruik Een belangrijk stuurmechanisme en tevens meetinstrument voor het SQP zijn de doelstellingen van… lees verder »

Het nut van een Risico Breakdown Structure (RBS)

Invoering van een Risico Breakdown Structure in de organisatie In projectmanagementtaal gaat het bij risico’s om alle ongeplande en onvoorziene zaken die een negatieve invloed op de projectkosten, de projecttiming of de projectkwaliteit kunnen hebben. Een goede projectmanager moet in staat zijn de risico’s effectief te beheersen om het project succesvol af te kunnen ronden. Een belangrijk… lees verder »

Service Level Management – Het Service Improvement Plan

SIP – Introductie SIP staat voor Service Improvement Plan. Het SIP is bedoeld om structurele afwijkingen van servicenormen te onderzoeken, maatregelen te definiëren en te effectueren. SIP – Lifecycle Management SIP – gebruik Afwijkingen van de afgesproken serviceverlening worden afgehandeld door beheerprocessen te weten incident management, problem management en change management. Toch kan het voorkomen… lees verder »

DevOps

DevOps – De herkomst De afgelopen jaren hebben veel organisaties de voordelen ervaren van de toepassing van Agile methoden zoals Scrum en Kanban. De software wordt sneller opgeleverd en de kwaliteit stijgt, terwijl de kosten dalen. Een groot nadeel blijkt te zijn dat de Agile ontwikkeling haaks staat op de traditionele wijze van beheer, zowel… lees verder »

SISp 4.4 Testen in de proeftuin

Selectie van standaard software

De proeftuin is de laatste selectiefase van SISp (Selectie en Implementatie van Standaardpakketten). Hierna volgen de fases voor de daadwerkelijke implementatie van de software. Nadat de proeftuinomgeving is opgezet en ook de installatie grondig is getest gaat de functioneel beheerder aan de slag. Meestal met ondersteuning vanuit de leverancier. In eerste instantie wordt kennis over… lees verder »

Sidebar