A.9 Toegangsbeheer

A.9.1ToegangsbeheerVerwijzingen
A.9.1.1Toegangsbeheerbeleid

Is er een gedocumenteerd toegangsbeheerbeleid?Is het beleid gebaseerd op zakelijke vereisten?Wordt het beleid op gepaste wijze gecommuniceerd? 
 
A.9.1.2Toegang tot netwerken en netwerkdiensten

Zijn er controles uitgevoerd om ervoor te zorgen dat gebruikers alleen toegang hebben tot de netwerkbronnen waarvoor ze speciaal zijn geautoriseerd en die nodig zijn voor hun taken?
 
A.9.2Gebruikersbeheer 
A.9.2.1Gebruikersregistratie en uitschrijving

Is er een formeel registratieproces voor gebruikerstoegang?
 
A.9.2.2Verschaffen van gebruikerstoegang

Is er een formeel proces voor het inrichten van gebruikerstoegang om toegangsrechten toe te wijzen aan alle gebruikerstypen en services?
 
A.9.2.3Beheer van verhoogde toegangsrechten

Worden accounts met verhoogde toegang, afzonderlijk beheerd en gecontroleerd?
 
A.9.2.4Beheer van geheime authenticatie-informatie van gebruikers

Worden wachtwoorden en andere geheime authenticatiegegevens op een veilige manier verstrekt?
 
A.9.2.5Herziening van de toegangsrechten van gebruikers

Is er een proces voor eigenaren van informatiemiddelen om de toegangsrechten tot hun middelen regelmatig te herzien?Is dit beoordelingsproces geverifieerd? 
 
A.9.2.6Verwijderen of aanpassen van toegangsrechten

Is er een proces om ervoor te zorgen dat de toegangsrechten van gebruikers worden verwijderd bij beëindiging van het dienstverband of contract, of aangepast bij een verandering van rol?
 
A.9.3Gebruikersverantwoordelijkheden 
A.9.3.1Gebruik van authenticatiegegevens

Is er een beleidsdocument waarin beschreven wordt hoe moet worden omgegaan met vetrouwelijke authenticatiegegevens?Wordt dit aan alle gebruikers meegedeeld? 
 
A.9.4Toegangscontrole voor systemen en applicaties 
A.9.4.1Beperking van toegang tot informatie

Is de toegang tot informatie in systemen beperkt volgens het toegangscontrolebeleid?
 
A.9.4.2Is de toegang tot informatie in systemen beperkt volgens het toegangscontrolebeleid? 
A.9.4.3Is veilig inloggen vereist op systemen volgens het toegangscontrolebeleid? 
A.9.4.3Helpen de wachtwoordbeheersystemen die door de organisatie worden gebruikt gebruikers om hun authenticatiegegevens veilig te beheren? 
A.9.4.4Wordt het gebruik van hulpprogramma’s gecontroleerd en beperkt tot specifieke medewerkers? 
A.9.4.5Toegangscontrole tot de broncode.
Is de toegang tot de broncode beperkt tot bevoegde personen?