Wij zijn bezig met het opstellen van het Handboek Vervanging. Eén van de vereiste bijlagen is een autorisatieschema (in ons geval meerdere autorisatieschema's ivm meerdere DMS'en en gekoppelde applicaties).

Ook zijn we bezig met het opstellen van beleid voor autorisatiebeheer (o.b.v. het model van de informatiebeveiligingsdienst, IBD).

Hiervoor heb ik gesprekken gehouden met een aantal functioneel beheerders binnen onze organisatie. Mijn vraag naar een autorisatieschema leverde in sommige gevallen glazige blikken op en maar in een enkel geval een daadwerkelijk schema.

Ik heb hierover een aantal vragen:

- Heeft iemand een voorbeeld voor mij van een goed autorisatieschema, zodat ik de schema's die ik aangeleverd krijg kan toetsen op kwaliteit?

- Hoe om te gaan met het spanningsveld tussen de ambities om transparant te werken en samen te kunnen werken en informatiebeveiliging.

Wij hebben in principe de stelling: intern delen wij informatie met elkaar tenzij dit wettelijk gezien niet mag. Ook worden (systeem)wachtwoorden niet met elkaar gedeeld.

We willen dus zo min mogelijk de toegang tot informatie afsluiten. In een open netwerkorganisatie weet je ook niet altijd van te voren wie een bijdrage aan een proces moet gaan leveren. Je wilt geen hoge beheerslasten hebben voor tijdelijke autorisaties.

We denken aan een systeem van dataclassificatie (methode IBD), in combinatie met procedures, integriteitsverklaring en gedrag. Een mooie aanvulling zou zijn dat een dossiereigenaar een melding krijgt als iemand die niet hoort tot de standaardgroep van procesbijdragers een dossier bekijkt/bewerkt.

Klinkt mooi, zolang er niet al te veel meldingen komen, waar de dossiereigenaar mee overvoert wordt en er (dus) niet meer op reageert.

En het blijft natuurlijk vereist dat je de authenticiteit en integriteit van je (vastgestelde) informatie kunt waarborgen.

Ben benieuwd naar ervaringen en implementaties van andere organisaties.