De toegang naar Public Domain IT kennis, checklisten en best practices.

 Welkom op ITpedia

ITpedia checklist.

Checklist:     Informatie beveiliging audit
Nr. G007Toegangsbeveiliging

Nr.IDVraagFout                             Goed
14331 Zijn duidelijke regels en rechten opgesteld met betrekking tot toegangsbeveiliging voor elke gebruiker of groep van gebruikers?
24333Wordt aan gebruikers en beheerders van de informatievoorziening een duidelijke verklaring verschaft van de eisen waaraan de toegangsbeveiliging moet voldoen?
34332 Is de toegangsbeveiliging geconcretiseerd in beheersmaatregelen en procedures?
44334 Zijn er procedures opgesteld voor het registreren en afmelden van gebruikers?
54335 Krijgen niet-geregistreerde gebruikers slechts toegang tot publieke gegevens en faciliteiten?
64336 Hebben alle gebruikers een unieke gebruikersidentificatie voor persoonlijk gebruik?
74337 Worden gebruikersidentificaties zo gekozen dat ze geen indicatie geven van de bevoegdheid van een persoon?
84338 Zijn er procedures vastgesteld voor het toewijzen van gebruikersidentificaties?
94339Beschikt de organisatie over een wachtwoordsysteem om de identiteit van een gebruiker te verifiëren?
104340 Worden naast wachtwoorden andere technologieën voor gebruikersidentificatie en authenticatie overwogen, zoals biometrie en het gebruik van identificatietekens (tokens)?
114341 Wordt de keuze voor een passende authenticatiewijze bepaald op basis van een risicobeoordeling?
124342Zijn er procedures voor het instellen, wijzigen en intrekken van wachtwoorden?
134343 Worden gebruikers op de hoogte gesteld hoe om te gaan met wachtwoorden?
144344Beschikt de organisatie over systemen en procedures voor het uitgeven van middelen voor sterke authenticatie?
154345 Zijn deze systemen en procedures met meervoudige beveiliging omgeven?
164346 Verloopt de toegang tot informatiediensten via een veilige inlogprocedure?
174347 Is beeldschermapparatuur waarop gevoelige gegevens worden verwerkt, zodanig opgesteld dat er zo min mogelijk kans op toevallige waarneming is?
184348 Worden gebruikers verplicht om goede beveiligingsgewoontes in acht te nemen bij het kiezen en gebruiken van wachtwoorden?
194349 Zorgen gebruikers ervoor dat anderen hun authenticatiemiddelen niet kunnen gebruiken?
204350 Wordt een automatisch identificatiesysteem voor werkstations gebruikt om de verbindingen met specifieke locaties te verifiëren?
214351Worden werkstations automatisch identificeerd bij toepassingen waarbij het belangrijk is dat een sessie uitsluitend wordt gestart vanaf een bepaalde locatie?
224352 Worden werkstationidentificaties gebruikt om aan te geven of een bepaald werkstation bepaalde transacties mag uitvoeren of ontvangen?
234353 Worden automatische verbindingen met computersystemen op afstand geauthenticeerd?
244354 Zijn gebruikers verplicht ervoor te zorgen dat onbeheerde apparatuur voldoende is beveiligd?
254355 Is voor inactieve werkstations op locaties met verhoogd risico een time-out voorziening ingesteld?
264356Wordt de toegang tot gegevens en functies verleend overeenkomstig het toegangsbeleid van de organisatie?
274357 Wordt de toegang tot gegevens en functies verleend op basis van de beveiligingseisen voor de desbetreffende toepassing?
284358 Worden de regels voor autorisatie geformuleerd door de verantwoordelijken voor de betreffende voorzieningen en gegevens?
294359 Kan aan bepaalde gebruikers voor gebruik in onvoorziene noodsituaties de bevoegdheid worden toegekend de normale afscherming te doorbreken?
304360 Wordt het gebruik van deze bijzonder bevoegdheid als zodanig vastgelegd?
314361Heeft de organisatie procedures en regels vastgesteld voor de toekenning en intrekking van bevoegdheden?
324362 Worden toepassingen, systemen en netwerkvoorzieningen zodanig ingericht dat toegang alleen mogelijk is in overeenstemming met geldige bevoegdheden?
334363 Wordt de toewijzing en het gebruik van bijzondere bevoegdheden voor noodprocedures, systeembeheer, onderhoud en dergelijke beperkt?
344364 Wordt de toewijzing en het gebruik van bijzondere bevoegdheden voor noodprocedures, systeembeheer, onderhoud en dergelijke gecontroleerd?
354365 Wordt de toegang tot systeemhulpmiddelen beperkt en beheerst?
364366 Is een procedure opgesteld voor de verificatie van de toegangsrechten van gebruikers?
374367 Worden gebruikersautorisaties regelmatig gecontroleerd (bijvoorbeeld om de zes maanden)?
384368 Is er een beleid geformuleerd ten aanzien van het gebruik van netwerken en netwerkdiensten?
394369 Besteedt het beleid aandacht aan de netwerken en netwerkdiensten waartoe men toegang heeft?
404370 Besteedt het beleid aandacht aan de autorisatieprocedures om te bepalen wie toegang heeft tot welke netwerken en netwerkdiensten?
414371 Besteed het beleid aandacht aan de beheersmaatregelen en -procedures om de toegang tot netwerkverbindingen en netwerkdiensten te beveiligen?
424372Sluit het beleid aan bij het beleid voor toegangsbeveiliging?
434373Is het netwerk van de organisatie opgesplitst in afzonderlijke logische domeinen?
444374Is de gevoeligheid van systemen bepaald om vast te stellen of zij een vast toegewezen (geïsoleerde) computeromgeving vereisen?
454375 Worden gevoelige toepassingen afhankelijk van de mate van gevoeligheid uitgevoerd op vast toegewezen computers?
464376 Wordt de route tussen werkstation en netwerkdiensten beperkt voor kritische informatievoorzieningen?
474377 Worden poorten die dienen voor systeemdiagnose ten behoeve van onderhoud op afstand door een beveiligingsmechanisme / beveiligingsprocedure beveiligd?
484378Is een beleid opgesteld voor de omgang met mobiele computers welke de risico`s behandelt van het gebruik van mobiele computervoorzieningen?
494379Zijn beveiligingsmaatregelen genomen voor het gebruik van mobiele computers op openbare plaatsen, vergaderruimten en andere onveilige plaatsen buiten de organisatie?
504380Zijn beveiligingsmaatregelen genomen om ongeautoriseerde toegang tot en openbaring van opgeslagen informatie op de mobiele computers te voorkomen?
514381 Zijn mobiele computers voorzien van antivirusprogrammatuur en wordt deze up-to-date gehouden?
524382Zijn voorzieningen aanwezig die het mogelijk maken om snel en makkelijk een backup te maken van de opgeslagen informatie?
534383Zijn de backups adequaat beveiligd tegen ongeautoriseerd schrijven en openbaarmaking?
544384 Zijn beveiligingsmaatregelen genomen voor als een mobiele computer wordt gekoppeld aan het netwerk?
554385 Is beleid geformuleerd voor telewerken en de risico`s daarvan?
564386 Zijn passende beveiligingsvoorzieningen aanwezig die de toegang op afstand beperken?
574387 Is bepaald welke gegevens via telewerken geraadpleegd mogen worden en welke handelingen zijn toegestaan in het geval van telewerken?
584388 Zijn procedures aanwezig voor het controleren van de fysieke beveiliging van de (voorgestelde) telewerkplek?
PrintenCijfer: 0,0

Gekoppelde artikelen:
Analyses, Definities: Worm-infectie - Automatisch besmet
Knelpunten, Definities, Juridisch: Wachtwoord beheer
Definities, Juridisch: Beveiligde Internet-verbindingen
Adviezen, Knelpunten, Analyses: Vier manieren waarop cybercriminelen geld verdienen met botnets
Adviezen, Oplossingen, Achtergronden, Definities: Computervirussen en Trojaanse paarden
Oplossingen, Best practices: Het autorisatieformulier

Succesfactoren in een Business Case

Een Business Case moet inzicht geven over de haalbaarheid van een project. Dit kan winstgevendheid zijn, realisatie binnen de begroting of een andere doelstelling. Het gaat er om dat de haalbaarheid aantoonbaar kan worden vastgesteld. Het opstellen van Kritische Succesfactoren kan daar in belangrijke mate bij helpen.  De kritische succesfactoren die ten grondslag liggen van je… lees verder »

RAID (Redundant Array of Independent Disks)

RAID (Redundant Array of Independent Disks, oorspronkelijk Redundant Array Inexpensive Disks) is een manier van het opslaan van dezelfde gegevens op verschillende plaatsen op meerdere harde schijven. Op deze manier worden de gegevens beschermt tegen de gevolgen van een crash van een harddisk. Niet alle RAID-niveaus bieden echter redundante opslag van gegevens. Dit is deel… lees verder »

Ketenbeheertools langs de meetlat

Ketenbeheer is een complexe activiteit, waarbij elke organisatie haar eigen doelstellingen, eisenpakket en business case heeft. Het is dan ook niet eenvoudig de juiste tool voor ketenbeheer te selecteren. Bart de Best heeft een checklist opgesteld voor de verschillende functies van deze methodiek, waarbinnen hij vier tools voor ketenbeheer positioneert. Hij komt tot de conclusie… lees verder »

10 tips voor de juiste KPI

KPI staat voor Key Performance Indicator. Het is een indicator waarmee je de prestaties van de dienstverlening kunt uitdrukken. In de IT worden ze vaak gebruikt om vast te stellen of alle afspraken uit de SLA wel worden nagekomen. De prestaties moeten eerst gemeten worden om te kunnen rapporteren. Waar moet je rekening mee houden?… lees verder »

Organisatiegerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de Organisatiegerichte KPI´s weergegeven Deze Organisatie KPI´s meten over het algemeen of een bepaald proces binnen de organisatie verloopt zoals het zou moeten lopen. Zowel de… lees verder »

Aanzet voor ICT administratie

Kostenloze download van formulieren. ITpedia stelt een aantal formulieren ter beschikking waarmee een eerste opzet van een ICT administratie kan worden gemaakt. Tijdens de nieuwbouw van een informatiesysteem kan de ICT administratie er bij inschieten. Het is voor het latere beheer van groot belang dat de applicatie goed gedocumenteerd is. Dankzij een goede opzet is het… lees verder »

Medewerkergerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. Goede en gemotiveerde medewerkers zorgen over het algemeen voor betere prestaties. Voor deze aspecten zijn een aantal KPI´s verzameld. In dit artikel staan de Medewerkergerichte KPI´s weergegeven: Medewerkertevredenheid Medewerkertevredenheid… lees verder »

Wat is het verschil tussen een SAN en een NAS en wat heb je nodig?

SAN Versus NAS: Wat is het verschil? Laten we eerst definiëren wat het zijn. SAN (Storage Area Networks) en NAS (Network Attached Storage) zijn allebei oplossingen voor netwerkopslag, en lijken op het eerste gezicht vergelijkbaar. In veel gevallen zijn zo ook bruikbaar in vergelijkbare omgevingen. Beide gebruiken gewoonlijk RAID en bieden beide een aantal beheer-… lees verder »

De synergie van integraal ketenbeheer

In eerdere afleveringen van het vierluik over ketenbeheer kwamen beheerprocessen aan de orde. Martin Carbo behandelt in dit laatste artikel de bedrijfsprocessen, door het doormeten van deze processen bij KPN te belichten. Hierbij legt hij een relatie met de beheerprocessen, waarmee ketenbeheer pas echt ‘integraal ketenbeheer’  wordt. De voordelen blijken talrijk te zijn. Vierluik integraal… lees verder »

Ketenbeheer – principes, do’s en don’ts

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Met de integratie van informatiesystemen tot ketens neemt deze problematiek nog verder toe. In het vorige artikel gaf Bart de Best invulling aan de ICT-aspecten van ketenbeheer. In dit artikel beschrijft hij… lees verder »

Anti Fraude Strategie in een IT organisatie

Het plegen van fraude om zichzelf te verrijken is iets van alle eeuwen. Ook in omgevingen waar veel IT wordt gebruikt komt fraude voor. Ontwikkelaars worden zich steeds bewuster van de fraude gevoeligheid van systemen terwijl IT auditors met een fraude bril op de complete IT opzet doorlichten. Er is veel aangelegen om fraude te… lees verder »

Meetbare prestaties in de keten

De prestatie-indicator die bij veel bedrijven op nummer één staat, is beschikbaarheid. Het meetbaar maken van deze PI wordt vaak als lastig ervaren. Weinig SLA’s geven dan ook een betrouwbaar beeld van de kwaliteit van de geleverde service. Daar waar wel afspraken zijn, komen de rapportages van ICT vaak niet overeen met de perceptie van… lees verder »

Klantgerichte KPI´s voor een IT organisatie

Op de Balanced Scorecard staan 4 perspectieven vermeld waarvoor KPI’s kunnen worden vastgesteld. Dit zijn Financiële KPI’s, Klantgerichte KPI’s, Medewerker gerichte KPI’s en Organisatie gerichte KPI’s. In dit artikel staan de klantgerichte KPI´s weergegeven. Het is belangrijk dat de klanten tevreden zijn over de dienstverlening. De dienstverleningen staan beschreven in de Service Catalogus. Bij dienstverleningen… lees verder »

Bedrijfsprocessen in de schijnwerpers

Integraal ketenbeheer biedt handvat voor besturing Ketenbeheer (beheer van bedrijfsprocessen en informatiesystemen) is continu onderhevig aan interne en externe invloeden, die het proces kunnen verstoren. Als gevolg hiervan weet het management niet meer waarop het moet sturen. De sleutel tot succes ligt dan in het woord integraal. Als eerste artikel uit een vierluik behandelt deze… lees verder »

SISp 4.6 Activiteiten en bemensing Proeftuin softwarepakket

Selectie van standaard software

De proeftuinfase kent de meeste activiteiten van alle SISp fases. Het is een intensieve fase die ook veel oplevert. SISp 4 kent de volgende activiteiten Bepalen scenario Contract Infrastructuur Omgeving Testen Communicatieplan Communicatie uitvoering Evaluatie en beslissing Licentie- en onderhoudscontracten 1. Bepalen scenario Deze activiteit richt zich op het bepalen van het juiste scenario voor de proeftuin…. lees verder »

Sidebar