Administratie Organisatie en Interne Beheersing ... - Scripties UMCG
Administratie Organisatie en Interne Beheersing ... - Scripties UMCG
Administratie Organisatie en Interne Beheersing ... - Scripties UMCG
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
5.2. Autorisaties<br />
De opzet van de AO/IC is getoetst aan het norm<strong>en</strong>kader.<br />
NORM (a): De autorisatiestructuur van TOREN is ingericht conform het <strong>UMCG</strong>bevoegdhed<strong>en</strong>beleid;<br />
onderdeel van het onderzoek is het vaststell<strong>en</strong> van<br />
dit beleid (mogelijk vastgelegd, danwel impliciet).<br />
BEVINDINGEN: Op de Intranetsite van de afdeling ICT-beleid is vermeld dat voor de<br />
informatiebeveiliging de standaardnorm NEN 7510 als richtlijn binn<strong>en</strong> het<br />
<strong>UMCG</strong> wordt gehanteerd. De belangrijkste eis<strong>en</strong> tav toegangsbeveiliging<br />
zijn:<br />
1. Gebruikers moet<strong>en</strong> alle<strong>en</strong> toegang krijg<strong>en</strong> tot gegev<strong>en</strong>s waarvoor<br />
zij zijn geautoriseerd.<br />
2. De instelling moet procedures <strong>en</strong> regels vaststell<strong>en</strong> voor de<br />
toek<strong>en</strong>ning <strong>en</strong> intrekking van bevoegdhed<strong>en</strong>.<br />
3. Om de toegang tot gegev<strong>en</strong>s effectief te beheers<strong>en</strong>, moet de<br />
verantwoordelijke op gezette tijd<strong>en</strong> e<strong>en</strong> procedure uitvoer<strong>en</strong> om<br />
de uitgegev<strong>en</strong> toegangsrecht<strong>en</strong> te controler<strong>en</strong>.<br />
Vervolg<strong>en</strong>s is beoordeeld of deze eis<strong>en</strong> binn<strong>en</strong> het <strong>UMCG</strong> word<strong>en</strong><br />
gehanteerd. Hiervoor is het docum<strong>en</strong>t “ZIS standaard bevoegdhed<strong>en</strong>,<br />
implem<strong>en</strong>tatie, beheer <strong>en</strong> procedures” uit 2003 gebruikt. Uit dit docum<strong>en</strong>t<br />
blijkt dat de hierbov<strong>en</strong> g<strong>en</strong>oemde eis<strong>en</strong> in opzet zijn geregeld.<br />
NORM (b): Aanvrag<strong>en</strong> <strong>en</strong> intrekk<strong>en</strong> van autorisaties geschiedt conform vastgestelde<br />
procedures.<br />
BEVINDINGEN: Dit is in opzet geregeld (zie onderdeel a). Verder is er op Intranet<br />
informatie beschikbaar hoe e<strong>en</strong> ZIS-bevoegdhed<strong>en</strong>profiel voor e<strong>en</strong> nieuwe<br />
medewerker aangevraagd moet word<strong>en</strong> <strong>en</strong> wie dit mog<strong>en</strong> do<strong>en</strong><br />
(tek<strong>en</strong>bevoegd<strong>en</strong>).<br />
NORM (c): Periodiek vindt er e<strong>en</strong> controle plaats op de juistheid van de afgegev<strong>en</strong><br />
autorisaties.<br />
BEVINDINGEN: In opzet is voldaan aan deze norm. Volg<strong>en</strong>s het ontvang<strong>en</strong> docum<strong>en</strong>t<br />
beschikt de coördinator bevoegdhed<strong>en</strong> van e<strong>en</strong> afdeling over allerlei<br />
middel<strong>en</strong> (ZIS-Balie <strong>en</strong> gebruikersdocum<strong>en</strong>tatie op e<strong>en</strong> c<strong>en</strong>trale server)<br />
waarmee hij in staat is e<strong>en</strong> overzicht te mak<strong>en</strong> met de toegek<strong>en</strong>de ZISbevoegdhed<strong>en</strong>profiel<strong>en</strong>.<br />
Of dit periodiek gebeurt is zeer twijfelachtig. Zo is<br />
er geconstateerd dat e<strong>en</strong> aantal medewerkers die vanuit c<strong>en</strong>traal zijn<br />
overgeplaatst naar e<strong>en</strong> sector nog in het bezit zijn van de “oude” Zisbevoegdhed<strong>en</strong>profiel<strong>en</strong>.<br />
Toelichting<br />
De omschrijving<strong>en</strong> <strong>en</strong> b<strong>en</strong>aming<strong>en</strong> van de profiel<strong>en</strong> dater<strong>en</strong> nog van voor<br />
de reorganisatie(s). Duidelijk is dat op dit onderdeel ge<strong>en</strong> onderhoud is<br />
gepleegd (voorbeeld: TOR 600 FMZ PGV leiding). Voor de medische<br />
administratie van afdeling<strong>en</strong> waar effect<strong>en</strong> van reorganisaties beperkt zijn,<br />
is het risico t<strong>en</strong> aanzi<strong>en</strong> van ongeautoriseerd gebruik beperkt. In andere<br />
situaties is het evid<strong>en</strong>t dat medewerkers (nog) bevoegdhed<strong>en</strong> hebb<strong>en</strong> die<br />
verder gaan dan functioneel noodzakelijk.<br />
124