Berechtigungskonzept (Authorization Concept / Access Control Concept)

Das Berechtigungskonzept ist ein dokumentiertes Regelwerk, das festlegt, welche Nutzergruppen oder Systeme auf welche Ressourcen, Funktionen und Daten Zugriff erhalten, und wie Berechtigungen beantragt, genehmigt, vergeben und entzogen werden. Es bildet die organisatorische Grundlage für technische Zugriffskontrollen (RBAC, ABAC) und ist nach BSI IT-Grundschutz (ORP.4) und ISO 27001 ein Pflichtelement des Informationssicherheits-Managements. Auftraggeber sollten in IT-Vergaben ein initiales Berechtigungskonzept als Lieferdokument fordern und sicherstellen, dass der Auftragnehmer bei Systemänderungen das Konzept aktuell hält.