Waar staat toegangsbeheer in het Normenkader IBP?

Het Normenkader IBP, ontwikkeld door OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad, telt 69 normen voor informatiebeveiliging en 25 voor privacy. Die zijn geclusterd in 15 beveiligingsdomeinen, variërend van risicomanagement tot Identity en Access Management.

Per norm zijn volwassenheidsniveaus uitgewerkt. Niveau 3 is het streefniveau: maatregelen zijn gedocumenteerd en worden consistent toegepast. Voor toegangsbeheer betekent dat: niet "we doen ons best", maar "het is vastgelegd, het werkt aantoonbaar, en het gebeurt elke keer hetzelfde".

Welke maatregelen horen daarbij?

In de praktijk komen de normen voor toegangsbeheer neer op vier kerngebieden:

• Sterke authenticatie. Inloggen met meervoudige verificatie en slimme toegangsregels, zodat onbevoegden niet binnenkomen.

• Least privilege. Medewerkers krijgen alleen de rechten die ze echt nodig hebben voor hun functie en school, niet meer.

• Beheer van de levenscyclus. Accounts worden automatisch aangemaakt, aangepast en ingetrokken bij indiensttreding, functiewijziging en vertrek.

• Logging en controle. Toegang en wijzigingen worden vastgelegd, en periodiek wordt gecontroleerd of de toegang nog klopt.

Hoe dek je deze normen geautomatiseerd af?

De kortste route is het personeelssysteem tot bron van waarheid maken en de rest automatiseren met een orchestratielaag boven Microsoft Entra ID of Google Workspace:

1. Provisioning vanuit HR regelt het automatisch aanmaken, wijzigen en intrekken van accounts. Dat dekt het domein levenscyclusbeheer.

2. Rolgebaseerde toegang per functie en school maakt least privilege concreet en herhaalbaar.

3. Eerst uitschakelen, dan opruimen bij vertrek voorkomt achtergebleven accounts.

4. Centrale logging levert de vastlegging en rapportage die het kader vraagt.

Zo verschuift toegangsbeheer van handwerk naar een proces dat per definitie gedocumenteerd en consistent is, precies wat niveau 3 vereist.

Veelgestelde vragen

Is toegangsbeheer echt een apart domein in het Normenkader IBP? Ja. Identity en Access Management is een van de 15 beveiligingsdomeinen, met eigen normen en maatregelen.

Wat is het verschil tussen niveau 2 en niveau 3? Grofweg: op niveau 2 zijn maatregelen wel aanwezig maar niet consistent; op niveau 3 zijn ze gedocumenteerd en worden ze structureel en aantoonbaar toegepast.

Dekt geautomatiseerde provisioning meerdere normen tegelijk af? Ja. Eén goed ingericht proces raakt levenscyclusbeheer, least privilege én logging in één keer.