Deze maatregel borgt dat regelmatig wordt gecontroleerd of alleen gerechtigde gebruikers toegang hebben tot relevante IT-componenten (waaronder servers, databases en netwerkinfrastructuur).

1. Logging van het gebruik van toegangsrechten op IT-componenten waar gegevens worden verwerkt;

2. Controle van deze logging met een minimale frequentie van eens per maand (geldt ook voor onderaannemers);

3. Toepassing van functiescheiding in de uitvoering van deze controle;

4. Controle op (tijdens controle aandacht voor) onterecht/onnodig gebruik door medewerkers (met aantoonbare opvolging).

A.12.4.1 Gebeurtenissen registreren

• Stel op basis van de procedures vast dat minimaal maandelijkse controle plaats vindt op de logging van servers, databases en netwerkinfrastructuur waar gegevens worden opgeslagen of worden verwerkt.

• Stel vast dat de functionaris(sen) die deze controle uitvoert/uitvoeren geen toegangsrechten verstrekken en/of zelf (beheer)toegang hebben tot de IT-componenten.

• De controle van logging mag geautomatiseerd plaatsvinden. Stel dan vast dat configureren van de geautomatiseerde controle(s) juist en volledig plaatsvindt.

• Welke informatie / registraties (incl. versienummers) zijn ingezien.

• Bewijslast m.b.t. de uitgevoerde controles.