Meteen naar de inhoud
ISMS.online

A.5.18 Toegangsrechten – MSP-toegangshercertificering en minimale privileges

Toegang tot MSP's kan de deur openen naar wijdverbreide risico's: één ongecontroleerde identiteit kan gevolgen hebben voor elke klant die u bedient. ISO 27001 A.5.18 vereist dat MSP's verder gaan dan hun historische gewoonten door te documenteren, te beoordelen en opnieuw te certificeren wie toegang heeft, waarom en hoe lang. Duidelijke, op bewijs gebaseerde controles zijn nu essentieel voor het opbouwen van vertrouwen en het verkleinen van uw impactradius.

Auteur
Mark Sharron
Bijgewerkt december 1, 2025
4 / 5 sterren

Waarom MSP-toegang de nieuwe gedeelde blastradius is

MSP-toegang is een gedeelde explosieradius, omdat één identiteit met te veel privileges binnen uw organisatie meerdere klanten tegelijk kan beïnvloeden. Wanneer uw teams over krachtige tools en beheerdersrechten beschikken in tientallen omgevingen, zijn minimale privileges en regelmatige hercertificering van toegang geen achtergrondbeheer meer, maar essentiële veiligheidscontroles om schade te beperken en klanten, directies en verzekeraars gerust te stellen.

Ongeveer 41% van de respondenten in het ISMS.online State of Information Security-onderzoek van 2025 gaf aan dat het beheren van risico's van derden en het bijhouden van de naleving door leveranciers een van hun grootste uitdagingen op het gebied van informatiebeveiliging is.

Het MSP-explosieradiusprobleem in duidelijke bewoordingen

Het MSP-explosieradiusprobleem is het risico dat één gecompromitteerde identiteit of gedeelde tool in één stap vele klantomgevingen kan openen. Multi-tenantplatformen en brede beheerdersrollen omvatten vaak tientallen gebruikers, waardoor een fout of inbreuk snel kan escaleren van een enkel incident tot een impact op meerdere klanten. Beveiligingsrapportages hebben herhaaldelijk echte incidenten aan het licht gebracht waarbij aanvallers MSP-beheertools en gedeelde beheerdersaccounts misbruikten om zich in één keer op meerdere klantnetwerken te richten, zoals beschreven door gespecialiseerde media zoals Dark Reading.

Uw medewerkers kunnen klanten niet ondersteunen zonder zinvolle toegang, maar elke extra toestemming vergroot de schade die een fout of inbreuk kan veroorzaken. Multi-tenant tools vergroten dat risico, doordat ze één set inloggegevens omvormen tot een snelkoppeling tussen klanten. In een multi-tenant MSP treft een gecompromitteerd gedeeld beheerdersaccount of een tool voor extern beheer zelden slechts één bedrijf; het kan een route voor aanvallers worden naar vele bedrijven, vaak met uitgebreide privileges en een langdurig vertrouwen.

Een meerderheid van de organisaties in ons ISMS.online State of Information Security-onderzoek van 2025 gaf aan dat ze in het afgelopen jaar te maken hadden gehad met minimaal één beveiligingsincident gerelateerd aan een derde partij of leverancier.

Veel MSP's zijn opgegroeid met snelheid en vertrouwen: degene die bereikbaar was of "de klant het beste kende" kreeg brede toegang, zodat ze problemen snel konden oplossen. Na verloop van tijd stapelen die beslissingen zich op tot een complexe wirwar van gedeelde accounts, niet-verlopen testtoegang en verouderde beheerdersrollen waar niemand aan wil komen, omdat ze "gewoon werken". ISO 27001:2022 A.5.18 werpt licht op die wirwar en verwacht dat u beslist, documenteert en beoordeelt wie toegang heeft en waarom, in plaats van te vertrouwen op informele geschiedenis. De controletekst in Bijlage A.5.18 vereist dat toegangsrechten tot informatie en andere bijbehorende activa worden toegewezen, beoordeeld, gewijzigd en verwijderd in overeenstemming met uw toegangscontrolebeleid. Dit werkt alleen wanneer die beslissingen over wie toegang heeft en waarom duidelijk worden gedocumenteerd en periodiek worden aangevochten, zoals uiteengezet in ISO 27001:2022 Bijlage A.5.18.

Een sterk toegangsbeheer is het subtiele verschil tussen vertrouwen en een acceptabel risico.

Vanuit het perspectief van een COO of security lead is de echte vraag niet langer "hebben we toegangscontrole?", maar "kunnen we binnen enkele minuten duidelijk beschrijven welke identiteiten toegang hebben tot welke klantsystemen, met welk privilegeniveau en op welke zakelijke basis?". Als het eerlijke antwoord inhoudt dat je door tools, tickets en tribale kennis moet spitten, dan is je explosieradius groter dan je denkt en slecht beheerd.

Privilege creep en culturen met voldoende toegang

Privilege creep is de geleidelijke opbouw van toegang wanneer mensen, klanten of tools veranderen, maar oude rechten behouden blijven voor de zekerheid. In een MSP wordt deze creep vermenigvuldigd met het aantal gebruikers dat u bedient: een senior engineer die jarenlang met veel klanten heeft gewerkt, kan uiteindelijk een vrijwel onbegrensde combinatie van actieve accounts, rollen en backdoors krijgen.

Privilege creep ontstaat meestal uit goede bedoelingen: je vermijdt het intrekken van rechten voor het geval ze nodig zijn tijdens een incident of om een ​​trouwe klant tevreden te houden. Na verloop van tijd bouwen die goedbedoelde beslissingen zich op tot een niveau van toegang dat niemand zou accepteren als ze het op één pagina zouden zien.

Cultureel gezien voelt het vaak veiliger om oude toegang met rust te laten, vooral als je bang bent de service te verstoren. Dat gemak is precies waar aanvallers en auditors misbruik van maken. Wanneer een onderzoek naar inbreuken of een certificeringsaudit de vraag stelt waarom een ​​bepaalde persoon of serviceaccount jaren na afronding van een project nog steeds toegang op hoog niveau heeft, en we er nooit aan toe zijn gekomen om dat te verwijderen, is dat geen antwoord dat iemand graag openbaar maakt.

Toegang zien als een gedeelde explosieradius in plaats van een puur technisch detail verandert het gesprek. U debatteert niet langer of een enkele VPN-groep of een rol voor externe monitoring te breed is; u beslist hoeveel schade uw organisatie bereid is te tolereren als die identiteit misbruikt wordt. Die verschuiving in het kader is de perfecte opstap naar A.5.18, omdat het doel van de controles juist is om die beslissingen weloverwogen, gedocumenteerd en controleerbaar te maken.

Demo boeken


Wat ISO 27001:2022 A.5.18 werkelijk vereist

ISO 27001:2022 A.5.18 verwacht dat u de volledige levenscyclus van toegangsrechten beheert, zodat mensen alleen de minimale rechten hebben die ze nodig hebben, zolang ze die nodig hebben. Voor een MSP betekent dit dat u kunt aantonen hoe u toegang voor elke identiteit inricht, wijzigt, controleert en intrekt, met duidelijke goedkeuringen en bewijs onder elke beslissing. De formulering van Bijlage A.5.18 beschrijft het inrichten, controleren, wijzigen en intrekken van toegangsrechten in overeenstemming met uw toegangscontrolebeleid, en de bredere principes voor toegangscontrole van ISO 27001 versterken het idee dat toegang beperkt moet blijven tot wat noodzakelijk is voor de taak en de duur, zoals vastgelegd in implementatiehandleidingen van normalisatie-instellingen zoals BSI.

Het omzetten van dichte controletekst in praktische werkwoorden

A.5.18 komt neer op vier acties voor uw MSP: toegang verlenen, wijzigen, beoordelen en verwijderen op een consistente, traceerbare manier. Als u deze vier stappen kunt beschrijven en aantonen met echte identiteiten, bent u al bijna in de buurt van het vervullen van de bedoeling van de controle.

Op papier kan A.5.18 er abstract uitzien: "Toegangsrechten tot informatie en andere bijbehorende activa moeten worden toegekend, beoordeeld, gewijzigd en ingetrokken in overeenstemming met het onderwerpspecifieke beleid en de regels voor toegangscontrole van de organisatie." In de praktijk worden dit vier concrete werkwoorden voor uw MSP, rechtstreeks overgenomen uit ISO 27001:2022 Bijlage A.5.18:

  • bepaling: – hoe nieuwe toegang wordt aangevraagd, goedgekeurd en verleend.
  • Aanpassen: – hoe de toegang wordt gewijzigd wanneer rollen, verantwoordelijkheden of klantbereiken veranderen.
  • review: – hoe bestaande toegang periodiek wordt gecontroleerd en opnieuw wordt gecertificeerd.
  • Verwijderen: – hoe de toegang wordt ingetrokken wanneer mensen vertrekken, projecten worden beëindigd of tools worden verwijderd.

Voor elk van deze werkwoorden zoekt A.5.18 naar beide en bewijzenProces betekent dat u hebt gedefinieerd wie mag aanvragen, wie moet goedkeuren, welke systemen worden bijgewerkt en hoe snel. Bewijs betekent dat u, voor een steekproef van echte identiteiten, de aanvraag, de goedkeuring, de wijziging en de beoordelingsgeschiedenis kunt aantonen.

Ervaren auditors kijken meestal minder naar hoe indrukwekkend uw tooling is, en meer naar de vraag of ze een coherente toegangscyclus kunnen volgen van aanvraag tot verwijdering. Als de verdieping consistent, traceerbaar en gekoppeld is aan beleid, voelen ze zich veel meer op hun gemak dan wanneer ze geïsoleerde tickets en logs zien zonder duidelijke bedrijfscontext.

A.5.18 verbinden met de minste privileges en de minste explosieradius

A.5.18 is direct gekoppeld aan de minimale privileges door te eisen dat toegangsrechten de zakelijke behoeften weerspiegelen en actief worden onderhouden in de loop van de tijd. De controle vraagt ​​niet alleen om een ​​beleid; het verwacht ook dat u laat zien hoe dat beleid is ingebouwd in daadwerkelijke provisioning-, beoordelings- en verwijderingsbeslissingen, zodat de impactradius van een enkele identiteit zo klein mogelijk blijft.

Least privilege en need-to-know zijn geen nieuwe ideeën, maar A.5.18 geeft ze een specifieke operationele basis. Het vraagt ​​niet alleen of u een toegangscontrolebeleid hebt; het verwacht dat dat beleid wordt weerspiegeld in hoe u toegang verleent en behoudt in de loop van de tijd. Bijvoorbeeld:

  • Toegangsaanvragen moeten verwijzen naar roldefinities die de minste bevoegdheden belichamen.
  • Goedkeuringsworkflows moeten ervoor zorgen dat bedrijfseigenaren, en niet alleen technische leiders, hun handtekening zetten onder rechten die een materieel risico met zich meebrengen.
  • Hercertificeringscycli moeten frequent en risicogebaseerd genoeg zijn om privilege creep op te sporen voordat het gevaarlijk wordt.
  • Het intrekken van de toegang moet automatisch en tijdig gebeuren wanneer mensen vertrekken of wanneer contracten wijzigen.

Voor MSP's is er een extra wending: de minste privileges moeten voor iedereen gelden. intern systemen (HR, financiën, ticketing, documentatie) en klant Systemen (cloudtenants, on-premises servers, SaaS-beheerportals). Deze worden vaak bereikt via dezelfde multi-tenant tools die u al gebruikt. A.5.18 verwacht daarom dat u dit gecombineerde bereik behandelt als onderdeel van uw toegangsbeheer, en niet als een informeel zijkanaal dat door engineers wordt beheerd. Deze omgevingsoverstijgende visie wordt weerspiegeld in nationale en Europese richtlijnen voor MSP- en supply chain-risico's, waaronder werk van instanties zoals ENISA, die benadrukken dat providertoegang tot klantomgevingen binnen formele regelingen voor toegangsbeheer moet vallen.

ISMS.online kan u helpen door u een gestructureerde plek te bieden voor het bewaren van beleid, roldefinities, goedkeuringsrapporten, beoordelingsschema's en bewijs van verwijderingen, allemaal gekoppeld aan A.5.18 en bijbehorende controles. Ongeacht de tooling is de mentaliteitsverandering hetzelfde: toegangsrechten gaan niet langer alleen over wie mag inloggen; ze gaan over wie de klantresultaten kan beïnvloeden en hoe u aantoont dat die bevoegdheden proportioneel zijn en regelmatig worden aangevochten.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Interpretatie van A.5.18 voor MSP's: interne versus klanttoegang

A.5.18 is van toepassing op elk systeem binnen de scope van uw ISMS, niet alleen op uw eigen netwerk. Als MSP moet u interne toegang, toegang via gedeelde tools en directe toegang tot klantomgevingen kunnen scheiden en deze drie vervolgens consistent beheren als u een gecontroleerde explosieradius wilt.

Duidelijke grenzen trekken tussen interne en klanttoegang

U voldoet gemakkelijker aan A.5.18 wanneer u interne, gedeelde en klantsystemen duidelijk in kaart brengt. Deze kaart helpt u bepalen wie toegang goedkeurt, wie deze dagelijks beheert en waar u de controles op moet richten wanneer u te maken hebt met complexe, multi-tenant tools en overlappende verantwoordelijkheden.

Vanuit een ISO 27001-perspectief omvatten “toegangsrechten” accounts, rollen en technische paden naar:

  • Uw eigen bedrijfssystemen (bijvoorbeeld HR, CRM, financiën, ticketing, documentatie).
  • Uw gedeelde MSP-hulpmiddelen (bijvoorbeeld platforms voor beheer op afstand, gateways voor toegang op afstand, wachtwoordkluizen, back-upconsoles, bewakingssystemen).
  • De omgevingen van uw klanten (bijvoorbeeld cloudbeheerconsoles, on-premises servers, SaaS-beheerinterfaces).

In werkelijkheid overlappen deze categorieën elkaar vaak. Uw ticketsysteem kan klantgegevens of gevoelige incidentgegevens bevatten. Uw platform voor beheer op afstand kan zowel een essentiële servicetool als een toegangspoort tot honderden tenants zijn. Om te voldoen aan A.5.18, moet u deze overlappingen expliciet maken en bepalen waar elk systeem zich bevindt in het kader van toegangsrechtenbeheer.

Praktische vragen die helpen:

  • Is het voor elk kritisch systeem ‘MSP-intern’, ‘klant-omgeving’ of ‘gemengd’?
  • Wie mag per categorie toegang verlenen en wie voert deze toegang dagelijks uit?
  • Kunt u snel aangeven welke medewerkers en serviceaccounts momenteel toegang hebben en met welk machtigingsniveau?

Als de antwoorden onduidelijk zijn of verspreid zijn over verschillende eigenaren, is dit het eerste teken dat A.5.18 nog niet volledig is geïmplementeerd op een manier die een auditor prettig zou vinden en dat uw explosieradius nog steeds wordt bepaald door tribale kennis in plaats van bestuur.

Gedeelde verantwoordelijkheid tussen u en uw klanten

Toegangsrechtenbeheer is een gedeelde verantwoordelijkheid: klanten blijven verantwoordelijk voor risico's voor hun informatie en systemen, terwijl u verantwoordelijk bent voor hoe uw teams omgaan met de toegang die ze krijgen. A.5.18 verwacht dat die gedeelde verantwoordelijkheid expliciet, gedocumenteerd en weerspiegeld wordt in hoe toegang wordt verleend, beoordeeld en ingetrokken in interne en klantomgevingen.

Uw klanten blijven verantwoordelijk voor de risico's voor hun informatie en systemen, zelfs wanneer u ze beheert. Dat betekent dat zij uiteindelijk bepalen welke toegang ze aan uw teams en tools willen verlenen. U bent op uw beurt verantwoordelijk voor het beheren van die toegangsrechten binnen de overeengekomen scope, het aantonen dat u uw eigen beleid en dat van hen volgt, en het handhaven van rechten die in de loop van de tijd in lijn zijn met de principes van minimale bevoegdheden. Modellen voor gedeelde verantwoordelijkheid in de richtlijnen van toezichthouders en nationale cybersecurity-instanties voor cloud- en MSP-regelingen, waaronder publicaties van ENISA, benadrukken consequent dat klanten de uiteindelijke verantwoordelijkheid voor hun informatierisico's behouden, zelfs wanneer de activiteiten worden uitbesteed.

In ons ISMS.online State of Information Security-onderzoek uit 2025 kwamen de volgende typische beveiligingsvereisten voor leveranciers naar voren: ISO 27001, ISO 27701, AVG, Cyber ​​Essentials, SOC 2 en opkomende AI-gerelateerde normen.

Een praktische manier om dit uit te drukken is een eenvoudig model van gedeelde verantwoordelijkheid:

  • Klant: – definieert en keurt goed welke rollen acceptabel zijn (bijvoorbeeld: ‘MSP-ondersteuning op niveau 2 mag alleen-lezentoegang hebben tot productiegegevens, maar geen schrijftoegang’) en neemt deel aan periodieke hercertificeringen voor hun omgevingen.
  • MSP: – implementeert en handhaaft toegang op basis van die beslissingen, zorgt ervoor dat wijzigingen tussen joiners, movers en leavers snel worden doorgevoerd, voert dagelijkse controles uit (bijvoorbeeld monitoring, logging, wachtwoordbeheer) en verstrekt duidelijke bewijzen aan de klant en auditors.

In contracten, werkinstructies en service level agreements kunt u vervolgens vastleggen wie wat doet voor het verlenen, wijzigen, beoordelen en intrekken van toegang. Die duidelijkheid is goed voor ISO 27001, maar vermindert ook de wrijving bij incidenten. Wanneer iedereen precies weet wie welke onderdelen van de toegangsverdieping bezit, vermijdt u het "ik dacht dat jij het deed"-probleem dat leidt tot onbeheerde rechten en vingerwijzen.



Het ontwerpen van toegang met minimale privileges voor MSP- en klantomgevingen

Least privilege werkt in de praktijk alleen wanneer het is ingebouwd in de manier waarop u rollen ontwerpt, rechten toewijst en tijdelijke bevoegdheden afhandelt. Voor een MSP betekent dit het creëren van realistische rolmodellen, het minimaliseren van permanente, krachtige rechten en het bewust, gecontroleerd en tijdgebonden maken van risicovolle rechten in zowel interne als klantomgevingen.

Rolgebaseerde modellen die daadwerkelijk passen bij de realiteit van MSP's

Rolgebaseerde toegang werkt voor MSP's wanneer rollen weerspiegelen hoe het werk daadwerkelijk wordt gedaan en direct gekoppeld zijn aan systemen en machtigingsniveaus. Door een kleine, duidelijke set MSP-rollen en de vereiste toegang tot interne en klantsystemen te definiëren, stopt u met het uitdelen van eenmalige machtigingen en kunt u de toegang beheren via herbruikbare, controleerbare patronen.

De eerste bouwsteen is een rolmodel dat weerspiegelt hoe uw teams daadwerkelijk werken. In plaats van toegang te verlenen op een ad-hoc basis per persoon, definieert u een kleine, beheersbare set rolprofielen, zoals:

  • Eerstelijns servicedesk-engineer.
  • Tweedelijns- of escalatie-engineer.
  • Projectingenieur of architect.
  • Platformbeheerder (bijvoorbeeld voor beheer op afstand, back-up, beveiligingstools).
  • Servicemanager of klantensuccesleider.

Beschrijf voor elke rol:

  • Tot welke systemen de rol toegang moet hebben (intern en klantgericht).
  • Welk niveau van bevoegdheden is vereist voor elk (lezen, standaardgebruiker, beheerder)?
  • Welke klanten of huurdersgroepen toegang moeten hebben?

Door dit één keer te doen, vermijdt u dat u voor elke nieuwe persoon of klant opnieuw hoeft te debatteren over de minimale rechten. Wanneer iemand zich aansluit, van team verandert of een nieuwe verantwoordelijkheid op zich neemt, wijst u rollen toe of past u deze aan in plaats van individuele rechten te stapelen. Dat maakt toegangsbeoordelingen en hercertificeringscycli ook veel eenvoudiger, omdat u kunt vragen: "Past deze persoon nog steeds in rol X?" in plaats van: "Welke van deze vele rechten heeft hij of zij nog nodig?".

Het verminderen van de permanente privileges en het beheersen van tijdelijke verheffing

Bij permanente krachtige toegang wordt de explosieradius van een MSP onacceptabel. Daarom hebt u bewuste patronen nodig om permanente beheerdersrechten te beperken en tijdelijke verhogingen af ​​te handelen. Als u kunt uitleggen welke rechten permanent zijn, welke tijdsgebonden zijn en hoe noodtoegang wordt geregistreerd en ingetrokken, staat u veel sterker tegenover zowel aanvallers als auditors.

Zelfs met goede rollen vertrouwen MSP's vaak op krachtige, altijd beschikbare toegang voor het gemak: gedeelde accounts in de "god-mode", domeinbeheerders die voor onbepaalde tijd actief blijven of brede rollen voor extern beheer die "voor de zekerheid" worden toegekend. Dit zijn precies de patronen die de minimale privileges schenden en de eerder beschreven gedeelde blast radius versterken.

Een beter te verdedigen aanpak is:

  • Beperk het aantal mensen met een permanente beheerdersrol, vooral bij meerdere tenants.
  • Gebruik just-in-time-elevatie voor taken waarvoor echt extra rechten nodig zijn, met een duidelijke rechtvaardiging en korte tijdslimieten.
  • Zorg voor sterke authenticatie en extra controles (bijvoorbeeld op de positie of locatie van het apparaat) voor alle bevoegde toegang tot de omgevingen van klanten.
  • Behandel accounts voor ‘break-glass’ of noodgevallen als uitzonderingen, met strikte registratie, controle achteraf en snelle intrekking na gebruik.

Het ontwerpen van dit model kan in het begin onwennig aanvoelen, omdat het ingesleten gewoontes op de proef stelt. Het hoeft echter niet tot vertraging van de oplevering te leiden als u het afstemt op bestaande workflows. Zo kan de hoogte worden gekoppeld aan wijzigingstickets of incidentregistraties, zodat de context en goedkeuringen al aanwezig zijn. Engineers krijgen nog steeds wat ze nodig hebben om hun werk te doen, maar de organisatie loopt geen onnodig risico op inactieve inloggegevens.

ISMS.online kan dit ontwerp ondersteunen door uw rollencatalogus, toegangsbeleid en wijzigingsrecords te koppelen aan één overzicht. Wanneer u later een toegangsbeoordeling uitvoert voor een klant of tool, ziet u niet alleen wie er over krachtige toegang beschikt, maar ook of die toegang overeenkomt met een gedefinieerde rol, een gedocumenteerde bedrijfsbehoefte en een overeengekomen elevatiepatroon.



beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Het bouwen van een A.5.18-compatibel toegangshercertificeringskader voor MSP's

Hercertificering van toegang is de manier om aan te tonen dat toegangsrechten in lijn blijven met de minimale rechten en niet terugvallen naar 'goed genoeg'. Voor een MSP is het ook de manier om aan auditors en klanten te bewijzen dat privilege creep actief wordt beheerd in interne systemen, gedeelde tools en klantomgevingen, in plaats van dat het pas na incidenten wordt aangepakt.

Het gebruik van op risico gebaseerde beoordelingsfrequenties in plaats van willekeurige data

Een risicogebaseerd schema voor toegangsbeoordelingen is geloofwaardiger dan één beoordelingscyclus voor alles, en past naadloos bij de realiteit van MSP's. Door accounts te groeperen op risico en vervolgens elke groep een verstandig beoordelingsritme te geven, laat u zien dat u de meeste aandacht besteedt aan identiteiten die bij misbruik de meeste schade kunnen veroorzaken.

Twee derde van de organisaties die deelnamen aan ons ISMS.online State of Information Security-onderzoek uit 2025 gaf aan dat de snelheid en omvang van de wet- en regelgevingswijzigingen het moeilijker maken om te voldoen aan de eisen op het gebied van beveiliging en privacy.

ISO 27001 geeft niet precies aan hoe vaak u toegangsrechten moet beoordelen, omdat de juiste frequentie afhankelijk is van het risico. Bijlage A.5.18 en de bijbehorende implementatierichtlijnen vereisen simpelweg dat toegangsrechten periodiek worden beoordeeld als onderdeel van uw risicogebaseerde ISMS, zodat u zelf de intervallen kunt kiezen die passen bij uw eigen context en verplichtingen, zoals uitgelegd in de richtlijnen van ISO 27001:2022.

Een werkbaar MSP-patroon is om de beoordelingsfrequenties te definiëren per account of toegangstype, in plaats van per systeem alleen, en de specifieke timings te beschouwen als voorbeeldpatronen die u aanpast aan uw risicobereidheid in plaats van als vaste best practices. Een eenvoudig startpunt is bijvoorbeeld om accounts te groeperen op type en te bepalen hoe vaak elke groep beoordeeld moet worden en waar de beoordelaar zich op moet concentreren.

Account-/toegangstype Typisch beoordelingsritme Waarop moet je je concentreren?
Bevoorrechte beheerdersaccounts (intern en klant) Maandelijks en na grote veranderingen Noodzaak, reikwijdte, noodgebruik, scheiding van taken
Serviceaccounts (scripts, integraties, automatisering) Kwartaal- en na configuratiewijzigingen Eigendom, doel, registratie, inloggegevens, verweesde accounts
Ondersteunende tools en platforms voor externe toegang Elk kwartaal een Groepslidmaatschap, gedeelde rollen, cross-tenant rechten
Standaard interne gebruikersaccounts Zes tot twaalf maanden Rolverdeling, vertrekkers, verhuizers
Tijdelijke of breekglas-toegang Na elk gebruik en maandelijkse controle Rechtvaardiging, duur, tijdige intrekking, ongebruikelijke activiteit

Deze tabel is niet voorschrijvend, maar biedt u een transparant startpunt. U kunt de frequentie aanpassen op basis van uw eigen dreigingsmodel, klantverplichtingen en regelgevingscontext, zolang u maar kunt uitleggen waarom identiteiten met een hoger risico vaker worden beoordeeld dan identiteiten met een lager risico. MSP's die gestructureerde, risicogebaseerde hercertificering hanteren, merken vaak dat audits voorspelbaarder en minder confronterend worden, omdat reviewers een duidelijke reden achter uw planning zien in plaats van willekeurige data.

Het ontwerpen van hercertificeringsworkflows die mensen daadwerkelijk volgen

Hercertificering werkt wanneer reviewers de juiste informatie zien, duidelijke beslissingen kunnen nemen en erop kunnen vertrouwen dat wijzigingen snel worden doorgevoerd. Als u kunt aantonen wie wat heeft beoordeeld, wat hun beslissing was en hoe snel wijzigingen zijn doorgevoerd, is uw A.5.18-verhaal veel overtuigender dan simpelweg te zeggen "wij voeren beoordelingen uit".

Een schema hebben is slechts het halve werk; je hebt ook een herhaalbare workflow nodig voor elke reviewcyclus. Belangrijke ontwerpkeuzes zijn onder andere:

  • Wie beoordeelt wat: – voor klantomgevingen is een combinatie van uw service-eigenaren en de risico- of systeemeigenaar van de klant vaak zinvol. Voor gedeelde tools zijn uw interne systeemeigenaren doorgaans verantwoordelijk.
  • Wat ze zien: – reviewers moeten voldoende context zien om beslissingen te kunnen nemen: de persoon of serviceaccount, hun rol, de systemen en tenants waartoe ze toegang hebben, wanneer ze die toegang voor het laatst hebben gebruikt en eventuele gekoppelde tickets of projecten.
  • Welke beslissingen ze kunnen nemen: – minimaal: behouden zoals het is, downgraden (bijvoorbeeld van beheerder naar gebruiker) of verwijderen. Voor uitzonderingen moet er een pad zijn om te documenteren waarom de toegang tijdelijk wordt ingehouden ondanks twijfels.
  • Hoe wijzigingen worden uitgevoerd: – goedgekeurde downgrades en verwijderingen moeten daadwerkelijk binnen een afgesproken tijdsbestek in de onderliggende systemen worden doorgevoerd. Die doorvoering moet zichtbaar zijn in uw bewijsstukken.

ISMS.online kan u helpen dit te organiseren door hercertificering om te zetten in een geplande activiteit met toegewezen eigenaren, vervaldata en één plek om bewijs van beslissingen en resulterende wijzigingen te uploaden of te koppelen. In plaats van e-mails en toollogs door te spitten, beschikt u over een auditklaar overzicht van wie welke toegang heeft beoordeeld, wanneer en wat ze hebben besloten.



Het definiëren van rollen en verantwoordelijkheden tussen MSP en klant

Duidelijke rollen en verantwoordelijkheden maken van uw ontwerp voor toegangsbeheer een dagelijkse praktijk. Voor een MSP betekent dit dat u met elke klant afspraken maakt over wie acceptabele toegang definieert, wie wijzigingen goedkeurt, wie beoordelingen uitvoert en wie daadwerkelijk rechten intrekt wanneer personen of contracten veranderen.

Een eenvoudige, expliciete RACI voor toegangsrechten maken

Een eenvoudige RACI (Responsible, Accountable, Consulted, Informed) voor toegangsrechten geeft u een gedeelde kaart van wie beslissingen neemt en wie deze uitvoert. Wanneer u tijdens audits of incidenten naar die kaart kunt verwijzen, vermindert u verwarring en laat u zien dat A.5.18 is ingebed in uw operationele model in plaats van dat het is overgelaten aan informele afspraken.

Een praktische manier om de splitsing uit te drukken is een RACI-matrix die de belangrijkste activiteiten in de toegangslevenscyclus bestrijkt. Bijvoorbeeld:

  • Definiëren wie toegang heeft tot welke klantsystemen: – de klant is verantwoordelijk en de MSP wordt geraadpleegd.
  • Goedkeuren van de eerste MSP-toegang tot een nieuwe klantomgeving: – De klant is verantwoordelijk; de MSP is verantwoordelijk voor de implementatie.
  • Interne MSP-toegang tot gedeelde tools verlenen en wijzigen: – MSP is verantwoordelijk en aansprakelijk; klanten mogen geïnformeerd worden.
  • Periodiek opnieuw certificeren van MSP-toegang voor een bepaalde klant: – MSP en klant delen de verantwoordelijkheid, met duidelijke afspraken over wie wat controleert.
  • Toegang intrekken bij vertrek van personeel of einde contract: – De MSP is verantwoordelijk voor zijn personeel en hulpmiddelen; de klant is verantwoordelijk voor zijn interne gebruikers.

Het vastleggen hiervan in contracten, servicebeschrijvingen en procedures heeft twee voordelen. Ten eerste geeft het auditors een duidelijk beeld van hoe u voldoet aan A.5.18, ongeacht de organisatiegrenzen. Ten tweede vermindert het de spanning bij moeilijke beslissingen, zoals het intrekken van de toegang voor engineers met een vaste aanstelling of het beperken van de reikwijdte van gedeelde beheertools.

Omgaan met grijze gebieden en situaties met hoge druk

Grijze gebieden, zoals onderaannemers, offshore teams en noodoplossingen, zijn gebieden waar toegangsrechten vaak afwijken van het beleid. Behandel ze daarom als ontwerpgevallen in plaats van uitzonderingen. Als u vooraf bepaalt wie ongebruikelijke toegang mag goedkeuren, hoe lang deze mag duren en hoe deze achteraf wordt beoordeeld, handelt u incidenten met meer vertrouwen en minder improvisatie af.

Denk aan een onderaannemer die wordt ingeschakeld om een ​​klantomgeving met een hoog risico te stabiliseren. Zonder duidelijke regels krijgen ze mogelijk brede, langdurige beheerderstoegang tot meerdere gebruikers. Met een overeengekomen model krijgen ze een specifieke rol voor één gebruiker, tijdgebonden rechten gekoppeld aan een project en de toezegging dat deze rechten worden beoordeeld en ingetrokken zodra de werkzaamheden zijn afgerond.

Offshore netwerkbeheercentra zijn een ander voorbeeld. Teams kunnen gedeelde tools gebruiken die veel klanten bereiken, en tijdsdruk kan het verleidelijk maken om rechten breed en permanent te laten. Als u vooraf definieert welke offshore rollen er zijn, welke tools ze kunnen gebruiken, hoe tijdelijke elevatie werkt en wie die toegang controleert, houdt u de service snel zonder dat de explosieradius ongecontroleerd toeneemt.

Zorg ervoor dat uw toegangsrechtenbeheer voor privacygevoelige omgevingen ook aansluit op de verplichtingen inzake gegevensbescherming en de principes van privacy-by-design. Dit kan betekenen dat u functionarissen voor gegevensbescherming of juridische teams moet betrekken bij onderdelen van het goedkeurings- en hercertificeringsproces, met name als het om persoonsgegevens gaat.

Wanneer u later aantoont dat u aan de regels voldoet, is het vaak net zo belangrijk om te kunnen aantonen dat u over deze lastige gebieden hebt nagedacht, ze hebt vastgelegd en contractueel hebt afgestemd als de technische maatregelen zelf.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Ritme, statistieken en bewijs: het aantonen van de minste privileges in de praktijk

Zodra uw rollen, verantwoordelijkheden en hercertificeringscycli zijn vastgelegd, moet u nog steeds aantonen dat ze werken. Cadans, statistieken en bewijs maken van 'least privilege' een interne claim en iets dat besturen, klanten en auditors kunnen zien en vertrouwen.

Het kiezen van zinvolle indicatoren voor besturen en klanten

Goede statistieken over toegangsbeheer helpen directies en klanten te zien of hun explosieradius kleiner wordt, zonder ze te overspoelen met technische details. De beste indicatoren tonen dekking, tijdigheid en impact: hoeveel systemen er binnen de scope vallen, hoe vaak beoordelingen volgens schema plaatsvinden en hoeveel rechten worden beperkt of ingetrokken omdat u actief toegang aanvecht.

Voorbeelden hiervan zijn:

  • Percentage systemen in scope met een actuele toegangsinventaris.
  • Percentage geplande toegangsbeoordelingen dat op tijd is voltooid, per risiconiveau.
  • Aantal en percentage accounts dat tijdens elke beoordelingscyclus is gedegradeerd of verwijderd.
  • Tijd die nodig is om de toegang te verwijderen nadat personen die de toegang hebben verlaten of een rolwijziging hebben ontvangen, hiervan op de hoogte zijn gesteld.
  • Aantal uitzonderingen waarbij risicovolle toegang wordt bewaard met gedocumenteerde en tijdgebonden rechtvaardiging.

U kunt deze aanvullen met kwalitatieve indicatoren, zoals feedback van reviewers over de duidelijkheid van het proces of van klanten over de transparantie van de rapportage. Samen vormen deze metingen een verhaal dat verder gaat dan "we hebben een beleid" en een tastbare beweging laat zien richting strengere controle en een kleinere explosieradius.

Stille, consistente verbeteringen in toegangsgegevens vertellen vaak een sterker verhaal dan één enkele audit.

Standaardiseren van uw bewijspakket voor A.5.18

Een standaard bewijspakket voor A.5.18 zorgt ervoor dat u klaar bent voor audits en klantvragen zonder dat u zich op het laatste moment hoeft te haasten. Wanneer u precies weet welke beleidsregels, records en logs u moet presenteren en u deze up-to-date houdt als onderdeel van de normale bedrijfsvoering, transformeert u toegangsbeheer van een compliance-oefening tot een herhaalbare bedrijfsgewoonte.

Auditors en klanten willen niet dat u uw bewijsmateriaal telkens opnieuw moet samenstellen. Een eenvoudig, gestandaardiseerd bewijspakket voor A.5.18 kan het volgende bevatten:

  • Huidige versies van uw toegangsbeheer- en toegangsrechtenbeleid.
  • Roldefinities voor belangrijke MSP-functies en hoe deze worden gekoppeld aan machtigingen.
  • Voorbeeld van toegangsverzoek- en goedkeuringsrecords voor verschillende systemen.
  • Schema's en verslagen van recente toegangsbeoordelingen, met een overzicht van beslissingen en voltooide wijzigingen.
  • Logboeken of rapporten die aantonen dat de toegang voor geselecteerde verlaters tijdig is ingetrokken.
  • Voorbeelden van hoe nood- of tijdelijke toegang werd verleend, gebruikt en vervolgens weer werd ingetrokken.

Als u dit pakket beheert op een platform zoals ISMS.online, kunt u elk item rechtstreeks koppelen aan de relevante A.5.18-vereiste en bijbehorende controles. Wanneer een auditor of klant vraagt ​​hoe u toegangsrechten beheert, hoeft u zich niet te haasten om screenshots en tickets te verzamelen; u neemt hen mee door een gestructureerd, herhaalbaar verhaal.

Een regelmatige rapportagecyclus houdt iedereen op één lijn. Operationele teams bekijken bijvoorbeeld maandelijks dashboards; risicocommissies of directies beoordelen mogelijk elk kwartaal een samenvatting; grote klanten ontvangen mogelijk op maat gemaakte uittreksels in lijn met contractuele verplichtingen. De sleutel is dat u de regie voert over de verdieping, verankerd in de data en documentatie die u al gebruikt om het bedrijf te runnen.



Boek vandaag nog een demo met ISMS.online

ISMS.online biedt u één plek om MSP-toegangsbeheer te ontwerpen, beheren en te bewijzen in overeenstemming met A.5.18, zodat u de explosieradius kunt beperken en de minimale bevoegdheden kunt aantonen zonder uw engineers te overladen met extra administratie. Het platform is gebouwd om beleid, workflows en bewijs voor ISO 27001 en gerelateerde frameworks te centraliseren, zoals beschreven in onze productdocumentatie en implementatierichtlijnen voor klanten op isms.online. Wilt u testen hoe robuust uw huidige toegangsverhaal werkelijk is? Een korte demo is een praktische manier om uw bestaande controlemechanismen te vergelijken met de hier beschreven modellen voor levenscyclus, hercertificering en verantwoordelijkheid.

Een gerichte ISMS.online-demo laat zien hoe uw huidige toegangsbeleid, rolmodellen en MSP-tools kunnen worden vertaald naar gestructureerde workflows, taken en bewijspakketten. U ziet hoe toegangsaanvragen en hercertificeringscycli vanuit één plek kunnen worden beheerd, terwijl uw bestaande ticketing- en operationele processen behouden blijven.

Wat u in een demo zult zien

Een gerichte demo werkt het beste wanneer deze een realistisch toegangsverhaal belicht, niet een abstracte rondleiding door de functies. U kunt verwachten dat u ziet hoe uw rollen, tools en klantomgevingen in een praktisch toegangsmodel, afgestemd op A.5.18, kunnen worden geïmplementeerd.

Tijdens een demonstratie kunt u het volgende verwachten:

  • Bekijk een voorbeeld van een raamwerk voor toegangsrechten dat direct is gekoppeld aan A.5.18 en is opgebouwd rond uw rollen, hulpmiddelen en klantomgevingen.
  • Ontdek hoe wijzigingen in de levenscyclus van personeel, toegangsaanvragen en hercertificeringscycli kunnen worden gekoppeld aan tickets en activiteiten die uw teams al beheren.
  • Bekijk dashboards en bewijsweergaven waarin u in één oogopslag ziet welke toegangscontroles moeten worden uitgevoerd, waar uitzonderingen bestaan ​​en hoe snel wijzigingen worden doorgevoerd.
  • Bespreek een startpunt met een laag risico, zoals het testen van gestructureerde toegangsbeoordelingen voor één tool met een hoog risico of een subset van belangrijke klanten.

Aan het einde van de sessie zou u een concreet beeld moeten hebben van hoe u uw bestaande praktijken kunt organiseren in een meer doelbewust, controleerbaar model, zonder dat u uw MSP volledig opnieuw moet opbouwen.

Hoe een demo u helpt A.5.18-gaten te dichten

Een demo is niet zomaar een productrondleiding; het is een kans om uw huidige toegangsverhaal te testen aan de hand van de verwachtingen van A.5.18 en bijbehorende controles. Door te zien hoe beleid, rollen, verantwoordelijkheden en bewijs samenkomen in ISMS.online, kunt u zien waar uw grootste tekortkomingen liggen en welke wijzigingen u de grootste risico- en inspanningsreductie zouden opleveren.

Ondanks de toenemende druk noemden de meeste respondenten in ons ISMS.online State of Information Security-onderzoek uit 2025 het behalen of behouden van certificeringen zoals ISO 27001 of SOC 2 als topprioriteit.

U hoeft uw MSP niet helemaal opnieuw te ontwerpen om te voldoen aan A.5.18. U hebt een duidelijk model, realistische hercertificeringsritmes en een plek nodig waar verantwoordelijkheden, workflows en bewijs samenkomen. ISMS.online is ontworpen om u precies dat te bieden, zodat u de explosieradius kunt verkleinen, privilege creep kunt beperken en met vertrouwen de minimale privileges kunt aantonen. Wilt u opereren als een MSP met een lage explosieradius die gecontroleerde toegang op aanvraag kan aanbieden? Dan is het boeken van een korte demo een praktische volgende stap voor uw organisatie en een duidelijk signaal aan uw klanten dat u hun vertrouwen serieus neemt.

Demo boeken


Veelgestelde Vragen / FAQ

Hoe verandert ISO 27001 A.5.18 de manier waarop MSP's moeten denken over 'wie heeft toegang tot wat'?

ISO 27001 A.5.18 verwacht dat u toegang behandelt als een gereguleerde levenscyclus voor elke identiteit, niet een eenmalige toestemmingsinstelling die u vergeet.

Bekijk toegang op alle drie de MSP-lagen

Voor een managed service provider moet die levenscyclus drie lagen tegelijk omvatten:

  • Uw interne bedrijfssystemen – HR, CRM, financiën, ticketing, documentatie.
  • Uw gedeelde MSP-platforms – RMM, externe toegang, wachtwoordkluizen, back-up, monitoring.
  • Uw omgevingen van klanten – cloudtenants, on-premises infrastructuur, SaaS-beheerdersrollen.

Voor elk menselijk of serviceaccount verwacht een auditor nu dat u het volgende laat zien:

  • Hoe toegang werd aangevraagd en goedgekeurd: – wie de vraag stelde, wie de toestemming gaf en waarom dat niveau gerechtvaardigd was.
  • Hoe wijzigingen worden aangebracht: wanneer mensen van rol, team of klant wisselen.
  • Hoe vaak de toegang wordt beoordeeld: , met verschillende frequenties voor verschillende risiconiveaus.
  • Hoe en wanneer de toegang wordt verwijderd: wanneer personeel vertrekt, contracten aflopen of gereedschappen worden afgevoerd.

Een snelle check is om een ​​engineer of serviceaccount met een naam te selecteren en, zonder inboxen te hoeven doorspitten, iemand door het volledige verhaal te loodsen: oorspronkelijke aanvraag, goedkeuring, huidige scope, laatste beoordeling en de trigger die die toegang verwijdert. Als u dit niet op betrouwbare wijze kunt doen, hebt u A.5.18-hiaten.

Het tekenen van een eenvoudig swimlane-diagram met vier stappen (Inrichten → Wijzigen → Controleren → Verwijderen) en rijen voor interne systemen, gedeelde MSP-tools en klanttenants laat snel zien waar het echte proces nog steeds "we vragen het even na". Dat zijn precies de zwakke plekken die ISO 27001-auditors en zakelijke klanten zullen onderzoeken.

ISMS.online helpt u die levenscyclus zichtbaar en herhaalbaar te maken door uw toegangsbeleid, rollencatalogus, workflows en bewijsmateriaal in één beheerde werkruimte te bewaren. Uw IAM-, RMM- en tools voor externe toegang doen nog steeds het technische zware werk; ISMS.online geeft u het verifieerbare verhaal over wie toegang heeft tot wat, op welke basis en voor hoelang – en dat is uiteindelijk wat A.5.18 probeert af te dwingen.

Hoe ziet een praktisch model met minimale privileges eruit voor een MSP voor zowel interne als klantsystemen?

Een praktisch model met de minste privileges voor een MSP is gebaseerd op een kleine, stabiele set rollen, heel weinig vaste admins en een kortstondige verhoging wanneer iemand echt meer macht nodig heeft.

Rollen definiëren die passen bij de manier waarop uw teams daadwerkelijk werken

Het proberen om de rechten per persoon tegelijk in te stellen, mislukt naarmate je groeit. Je krijgt meer controle en minder administratieve rompslomp als je:

  • Definieer een duidelijk rolcatalogus, bijvoorbeeld:
  • Eerstelijnsondersteuning
  • Tweedelijns- of specialist-ingenieur
  • Project Ingenieur
  • Platform-/toolbeheerder
  • Service- of accountmanager
  • Wijs elke rol toe aan:
  • De interne systemen wat nodig is (ticketing, kennis, beperkt financieel inzicht, CRM).
  • De MSP-tools het zou moeten gebruiken (RMM, externe toegang, wachtwoordkluizen, back-upconsoles).
  • De klantomgevingen wat het kan aanraken, en op welk niveau (alleen-lezen, standaardgebruiker, beperkte beheerder, beheerder voor de hele tenant).

Beslis dan, rol voor rol:

  • Waar permanente beheerdersrechten zijn echt gerechtvaardigd – meestal een kleine groep platform- of beveiligingsingenieurs.
  • Waar de beheerder zou moeten zijn net op tijd – tijdelijke verhoging voor een specifieke wijziging, met registratie en duidelijke goedkeuringen.
  • Waar de beheerder zou moeten nooit nodig zijn, omdat taken via automatisering, tickets of nauwkeurig gedefinieerde rollen kunnen worden afgehandeld.

In de praktijk betekent dit meestal dat gedeelde 'god'-accounts worden vervangen door benoemde beheerders, dat de rechten voor meerdere tenants worden aangescherpt en dat break-glass-accounts worden behandeld als zeldzame, streng gecontroleerde uitzonderingen in plaats van als alledaagse hulpmiddelen.

Met ISMS.online kunt u dat rolmodel eenmalig beschrijven, koppelen aan uw toegangsbeleid en afstemmen op gebeurtenissen van toetreders, verhuizers en afvallers en toegangsaanvragen. Wanneer iemand zich bij een team aansluit, van team verandert of een nieuwe klant gaat ondersteunen, past u telkens hetzelfde patroon van minimale rechten toe in plaats van onder druk te improviseren met machtigingen. Bovendien heeft u een duidelijke, controleerbare uitleg paraat wanneer een ISO 27001-auditor vraagt ​​waarom een ​​bepaalde persoon een bepaald toegangsniveau heeft.

Hoe moet een MSP-structuur toegang krijgen tot beoordelingen en hercertificering om privilege creep onder controle te houden?

Je houdt privilege creep onder controle door toegang met een hoog risico is vaker toegestaan ​​dan toegang met een laag risico, waardoor reviewers voldoende context krijgen om beslissingen te nemen en er bewezen kan worden dat downgrades en verwijderingen daadwerkelijk in de tools hebben plaatsgevonden.

Het gebruik van een op risico's gebaseerd ritme in plaats van een vaste jaarlijkse evaluatie

Elk account op dezelfde manier behandelen lijkt misschien netjes, maar het strookt niet met de denkwijze van aanvallers of toezichthouders. Een beter te verdedigen patroon is om de beoordelingsfrequenties per toegangscategorie in te stellen, bijvoorbeeld:

Toegangstype Typisch beoordelingsritme Focus van recensent
MSP-brede administratie in klantomgevingen Maandelijks + na grote wijzigingen Noodzaak, reikwijdte, noodgebruik, SoD
Serviceaccounts (scripts, integraties, back-ups) Kwartaal + na configuratie Eigendom, doel, houtkap, verweesd gebruik
RMM, VPN en andere tools voor externe toegang Elk kwartaal een Groepslidmaatschap, cross-tenant bereik
Standaard interne gebruikersaccounts Elke 6–12 maanden Rol fit, verhuizers/verlaters
Tijdelijke / breekglas-toegang Na elk gebruik + maandoverzicht Rechtvaardiging, intrekking, ongebruikelijk gebruik

Houd, naast het ritme, de beoordelingen eenvoudig en consistent:

  • Wijs duidelijke eigenaren toe: – doorgaans service-eigenaren voor gedeelde platforms en mede-eigenaren met de klant voor hun huurders.
  • Zorgen voor verband, niet alleen gebruikersnamen: van wie het account is, wat het kan doen, wanneer het voor het laatst is gebruikt en waarom het bestaat.
  • Leg voor elke identiteit een beslissing vast (behouden, downgraden, verwijderen) en bijhouden of veranderingen worden doorgevoerd in uw mappen en hulpmiddelen, en niet alleen door erop te klikken in een spreadsheet.
  • Markeer de toegang met een hoog risico die als uitzondering wordt gehandhaafd en eis dat er een korte motivering wordt gegeven en een specifiek plan om de toegang opnieuw te bekijken.

Met ISMS.online kunt u deze beoordelingen plannen, reviewers toewijzen en exports of rapporten van IAM, RMM, VPN en tools voor externe toegang toevoegen, zodat beslissingen en vervolgstappen op één plek worden verzameld. Zo verandert "we beoordelen de toegang regelmatig" van een hoopvolle verklaring in een beleid in een zichtbare, herhaalbare controle die u rustig kunt doorlopen met een ISO 27001-auditor of een veeleisend beveiligingsteam van de klant.

Hoe kan een MSP de toegangsrechten en verantwoordelijkheden duidelijk verdelen onder elke klant?

Je vermijdt hiaten en het afschuiven van de schuld als je het eens bent over een schriftelijke, begrijpelijke verantwoordelijkheidsverdeling met elke klant en integreer dit in contracten, servicebeschrijvingen en draaiboeken.

Het omzetten van ‘gedeelde verantwoordelijkheid’ in een toetsbare overeenkomst

Een eenvoudig en effectief patroon is een RACI-stijlmodel dat duidelijk maakt wie waarvoor verantwoordelijk is:

  • De de klant is verantwoordelijk voor:
  • Bepalen wie toegang heeft tot welke systemen, tenants en gegevens.
  • Goedkeuren van uw eerste en blijvende toegang tot hun omgevingen.
  • Deelnemen aan, of expliciet ondertekenen van, periodieke toegangsbeoordelingen voor hun huurder.
  • De MSP is verantwoordelijk voor:
  • Het implementeren en handhaven van deze beslissingen in uw tools en onder uw personeel.
  • Uitvoeren van dagelijkse controles – logging, monitoring, wachtwoord- en sleutelbeheer, automatiseringsregels.
  • Zorg ervoor dat de toegang is afgestemd op de minste privileges en trek deze direct in wanneer mensen vertrekken of de reikwijdte verandert.
  • Regelmatig en duidelijk bewijs leveren van toegangsverzoeken, goedkeuringen, beoordelingen en verwijderingen.

Samen spreken jullie af hoe dit werkt wanneer:

  • Een nieuwe klant wordt aan boord gehaald en de eerste toegang tot zijn/haar tenant wordt goedgekeurd.
  • Een nieuwe dienst, regio of project vereist diepere of bredere toegang.
  • Er worden onderaannemers of offshoreteams ingezet die nauwkeurig omschreven rechten nodig hebben.
  • U hebt tijdens een incident noodtoegang nodig en moet die vervolgens op een veilige manier terug kunnen brengen.

Door dit in een eenvoudige RACI vast te leggen en in te bedden in overeenkomsten en operationele procedures, krijgt u een herhaalbaar A.5.18-niveau. Wanneer u een te breed verzoek moet afwijzen of toegang moet intrekken die niet langer gerechtvaardigd is, kunt u verwijzen naar het overeengekomen model in plaats van per geval te argumenteren.

Met ISMS.online kunt u de RACI, uw toegangsbeleid en klantgegevens koppelen, zodat u de onvermijdelijke vraag "Wie beslist wat voor deze huurder en hoe bewijst u dat?" kunt beantwoorden met een enkel, samenhangend overzicht, in plaats van dat u door contracten en oude vergadernotities moet spitten.

Welke statistieken en bewijzen overtuigen auditors en klanten er daadwerkelijk van dat het principe van minimale privileges echt bestaat?

Auditors en klanten worden overtuigd wanneer u deze combineert een kleine, stabiele set metrieken with betonnen artefacten die uw beweringen onderbouwen, en niet door extra beleidstekst toe te voegen.

Het opstellen van een korte, betrouwbare scorecard voor toegangsbeheer

Voor een managed service provider kan een handige scorecard het volgende bijhouden:

  • dekking: – percentage systemen en tenants binnen het bereik die een actuele, benoemde toegangsinventaris hebben.
  • Tijdigheid: – percentage van de geplande toegangsbeoordelingen die op tijd zijn voltooid voor elke risicoklasse.
  • Impact: – aantal en percentage accounts dat in elke beoordelingscyclus is gedegradeerd of verwijderd.
  • Ontvankelijkheid: – mediane tijd voor het intrekken van de toegang na vertrek, functiewijziging of beëindiging van het contract.
  • Uitzonderingen: – aantal rechten met een hoog risico dat behouden is met gedocumenteerde rechtvaardiging en een datum voor de volgende beoordeling.

Deze getallen komen het best tot hun recht als ze worden gecombineerd met een standaardpakket aan bewijsmateriaal, bijvoorbeeld:

  • Uw huidige toegangscontrolebeleid is gekoppeld aan ISO 27001 A.5.15–A.5.18.
  • Roldefinities voor de belangrijkste MSP- en klantgerichte functies.
  • Voorbeelden van toegangsaanvragen en goedkeuringen, inclusief de gevallen waarin de klant heeft getekend.
  • Recente beoordelingsgegevens en wijzigingslogboeken voor representatieve tools en klanttenants.
  • Een aantal voorbeelden van procedures voor het verlenen, registreren en intrekken van verlofaanvragen en noodtoegang.

Met ISMS.online kunt u elke metriek en elk voorbeeld koppelen aan de clausule of controle die het ondersteunt, eigenaren toewijzen en alles actueel houden tijdens de normale bedrijfsvoering. Wanneer een ISO 27001-auditor of een belangrijke klant vraagt: "Hoe weet u of uw least-privilege model werkt?", kunt u binnen enkele minuten een consistente set genereren en aantonen dat u dat kunt. tonen controle in plaats van te hopen dat een presentatie met dia's of een mondelinge uitleg voldoende zal zijn.

Hoe kan ISMS.online een MSP helpen A.5.18 te operationaliseren zonder dat dit engineers vertraagt?

ISMS.online geeft u een governance- en bewijslaag voor A.5.18, zodat u toegangscontrole kunt ontwerpen, toewijzen en bewijzen, terwijl uw technici de technische platformen blijven gebruiken die ze al kennen.

Het omzetten van de huidige ad-hocbeslissingen in een gereguleerd toegangsregime

In de dagelijkse praktijk kan uw team ISMS.online gebruiken om:

  • Vang een A.5.18‑aangepast toegangsbeleideen realistische rollencatalogus en een MSP/klant-RACI op één plek, zodat iedereen kan zien wie welke toegang kan goedkeuren en behouden.
  • Link workflows voor joiner-mover-leaver en toegangsaanvragen voor HR- of ticketsystemen, zodat wijzigingen in personen en verantwoordelijkheden op betrouwbare wijze wijzigingen in de toegang tot stand brengen.
  • Programma risicogebaseerde toegangsbeoordelingen Voor accounts, tools en tenants met een hoog risico kunt u reviewers aanwijzen en exports of schermafbeeldingen van IAM, RMM, VPN, wachtwoordkluizen en andere platforms bijvoegen als registratie van wat er is gecontroleerd en aangepast.
  • Houd een levend bewijspakket voor A.5.18 en gerelateerde toegangscontroles die klaar is voor ISO 27001-audits en klantverzoeken voor due diligence, in plaats van dat u het in paniek opnieuw moet samenstellen op basis van spreadsheets en e-mailstromen.

Omdat ISMS.online zich richt op wie beslist, wie keurt goed, wie beoordeelt en hoe bewijst u dat?, blijven uw engineers de daadwerkelijke machtigingswijzigingen in uw bestaande stack doorvoeren. U krijgt een coherent, herhaalbaar verhaal voor toegangsbeheer; zij krijgen duidelijkere richtlijnen, minder geïmproviseerde goedkeuringen en veel minder last-minute "Kunt u dit toegangsrapport morgen ophalen?"-verzoeken.

Als u wilt dat uw MSP degene is die aan directies en klanten kan laten zien dat de toegang gecontroleerd is en de explosieradius beperkt is – in plaats van te hopen dat mensen u op uw woord geloven – is het de moeite waard om te kijken hoe vergelijkbare aanbieders ISMS.online gebruiken om A.5.18 te structureren. Het helpt u te presenteren als de partner die... tonen gecontroleerde toegang op aanvraag, en niet alleen een belofte tijdens een audit.

Mark Sharron

Mark Sharron leidt Search & Generative AI Strategy bij ISMS.online. Hij richt zich op het communiceren over hoe ISO 27001, ISO 42001 en SOC 2 in de praktijk werken - door risico's te koppelen aan controles, beleid en bewijs, met auditklare traceerbaarheid. Mark werkt samen met product- en klantteams om deze logica te integreren in workflows en webcontent - en helpt organisaties zo om beveiliging, privacy en AI-governance met vertrouwen te begrijpen en te bewijzen.

Twitter

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.