Adgangsstyring

Der bør for alle systemer foreligge dokumentation for adgangsstyring. Adgang til systemer og data skal være arbejdsmæssigt begrundet.

For at minimere risikoen for brud på fortroligheden, integriteten eller tilgængeligheden af organisationens informationer, er det vigtigt at arbejde med adgangsstyring.

Styring af adgangen til systemerne, og opfølgning herpå, er det primære middel til at forhindre uautoriseret adgang til – eller ændring af – organisationens digitale informationer.

Tænk adgangsstyring ind i systemdokumentationen

Systemdokumentationen skal, med udgangspunkt i risikovurderingen for systemet, forholde sig til adgangsstyring, herunder bruger-/rettighedsstyring, log over handlinger og gennemgang af denne, oprettelse og nedlæggelse af brugere og passwordadministration.

I visse systemer, fx regnskabssystemer, er der lovmæssige krav om funktionsadskillelse ud over den grundlæggende adgangsstyring. Disse krav skal til enhver tid opfyldes. Funktionsadskillelse bør generelt indgå i overvejelserne, når adgange til et system defineres og implementeres. Såfremt et system driftes af en ekstern leverandør, skal adgangsstyring og opfølgning herpå fremgå af leverandørkontrakten.

Privilegerede rettigheder

Tildeling af privilegerede rettigheder vil i hovedreglen medføre særligt behov for instruktion af brugeren samt ekstra kontroller som fx logning og opfølgning.

Opfølgning på brugerrettigheder bør som minimum gennemføres to gange pr. år.

Se relevante kontrol- og opfølgningsaktiviteter ved tildeling af rettigheder 

Fælles interesse for landene i NATO eller EU

Ved håndtering af informationer med fælles interesse for landene i NATO eller EU, gælder særlige regler jf. Statsministeriets sikkerhedscirkulære.

Læs mere i statsministeriets sikkerhedscirkulære på retsinformation