Informatiebeveiliging SURF-diensten

We hebben veel aandacht voor de informatiebeveiliging van onze eigen diensten en de diensten die we inkopen voor de instellingen. Zo minimaliseren we het risico dat gegevens misbruikt worden die door onze diensten worden verwerkt, en daarmee de impact van beveiligingsincidenten. Een aantal SURF-diensten is ISO 27001-gecertificeerd.

Informatieveiligheidsbeleid

Op het vlak van informatiebeveiliging sluit SURF zo veel mogelijk aan bij sectorale en algemene standaarden. Het informatieveiligheidsbeleid van SURF is gebaseerd op het SCIPR-template voor informatiebeveiligingsbeleid dat vijf principes bevat. Deze principes zijn:

Risicogebaseerd: we baseren de maatregelen op de mogelijke veiligheidsrisico’s van onze informatie, processen en IT-faciliteiten.
Iedereen: iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.
Altijd: informatiebeveiliging zit in het DNA van al onze werkzaamheden.
Security by design: informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering die te maken heeft met informatie, processen en IT-faciliteiten.
Security by default: gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.

Bekijk het SURF-informatieveiligheidsbeleid (pdf)

Baseline Informatiebeveiliging SURF

De technische en procedurele maatregelen zijn uitgewerkt in de Baseline Informatiebeveiliging SURF (BIS). Deze is gebaseerd op de maatregelen van de ISO 27002-standaard voor informatiebeveiliging. Alle SURF-diensten moeten voldoen aan de BIS.

Bekijk de Baseline Informatiebeveiliging van SURF (pdf)

Borging

SURF heeft een Information Security Management Systeem (ISMS) ingericht met daarin een aantal cyclische processen om te borgen dat onze diensten blijven voldoen aan de normen van de Baseline Informatiebeveiliging SURF en het ISO 27001-kader. Voorbeelden van deze processen zijn periodieke interne audits en self-assessments. In het ISMS houden we de bevindingen daarvan bij en zetten we acties uit. Zo vindt continu verbetering en bijsturing plaats.

Informatie- en geschiktheidsclassificatie

SURF werkt met twee risiconiveaus voor de onderdelen Beschikbaarheid en Integriteit/Vertrouwelijkheid voor informatiebeveiliging, namelijk standaard en hoog. Het niveau standaard biedt een beschermingsniveau dat ongeveer als voldoende voor vertrouwelijke gegevens kan worden gezien (multifactorauthenticatie is bijvoorbeeld standaard).

Onze diensten hebben geschiktheidclassificatie: een aanduiding voor welke gegevens de dienst geschikt is, zodat je snel kunt zien op welk beschermingsniveau een SURF-dienst is ingeregeld. Controleer wel altijd of dat ook aansluit bij de afspraken van de eigen organisatie.

In het overzicht hieronder kun je zien op welk niveau een dienst is beschermd. In de BIS vind je de bijbehorende beveiligingsmaatregelen, zodat je kunt controleren wat die bescherming inhoudt. Bedenk dat een dienst op bepaalde aspecten andere eisen kan hanteren afhankelijk van de aard van die dienst. Op basis van een risicoanalyse implementeert de dienst de BIS-maatregelen voor zover ze relevant zijn. Deze geschiktheidsclassificatie is bedoeld als hulpmiddel en vervangt niet de contractuele afspraken, je kunt er geen rechten aan ontlenen.

Dienstenoverzicht geschiktheidsclassificatie

Het niveau standaard bij SURF biedt al een stevig beschermingsniveau. Heb je vragen over de beschermingsmaatregelen van een dienst? Klik door en stel je vraag bij de dienst zelf.

NB Componenten van diensten en adviesdiensten zoals OZON, Vendor Compliance, CSY, etc. zijn niet in het overzicht opgenomen.

ISO 27001-gecertificeerde diensten

In de verklaring van toepasselijkheid staat de huidige scope van de ISO 27001-certificering van SURF. Jaarlijks vindt een externe audit plaats waarin compliance met deze norm wordt getoetst.

Bekijk het ISO 27001-certificaat van SURF (pdf)

Verklaring van Toepasselijkheid (pdf)

Informatie bij storing

Bij storingen aan SURF-diensten kun je actuele updates vinden op grotestoring.nl

Vragen over informatiebeveiliging

Heb je vragen of opmerkingen over het informatieveiligheidsbeleid van SURF of de BIS? Neem dan contact op met onze CISO Raoul Vernède, via raoul.vernede@surf.nl.

Documenten bij het SURF-informatiebeveiligingsbeleid

SURF-informatieveiligheidsbeleid (pdf)
ISO 27001-certificaat SURF (pdf)
Verklaring van Toepasselijkheid (pdf)
Baseline Informatiebeveiliging SURF (pdf)

Veelgestelde vragen

Wat is het verschil tussen SURF security baseline voor onderwijs en onderzoek en de door SURF gebruikte BIS (Baseline Informatiebeveiliging SURF)?

De SURF security baseline is voor en door de leden van SURF ontwikkeld en heeft een specifieke uitwerking voor de onderwijs- en onderzoeksector. De BIS (zie hierboven) wordt als baseline intern bij SURF gebruikt en bevat controlemaatregelen op maat voor SURF. De BIS ondersteunt het Information Security Management Systeem (ISMS) met daarin zaken als risicomanagement, continu verbeteren via PDCA-cyclus en audits en vormt samen met het informatieveiligheidsbeleid en de operationele richtlijnen het beleid voor informatiebeveiliging van SURF.

Beide baselines zijn gebaseerd op de ISO 27001/27002 als een best practice die voor iedere organisatie op maat gemaakt moet worden aan de specifieke risico’s en eisen van de stakeholders.

Wat is het verschil tussen SURFaudit en ISO 27001 en waarom gebruikt SURF het SURFaudit toetsingskader informatiebeveiliging niet?

SURFaudit is ontwikkeld voor en door de onderwijsinstellingen en onderzoekorganisaties en is mede gebaseerd op de ISO 27000-benadering. SURFaudit is ontwikkeld als self-assessment voor een organisatie om te bepalen welk volwassenheidsniveau de organisatie heeft per informatiebeveiligingsonderdeel en als geheel (scores variëren van 1 tot 5). Het hanteren van een volwassenheidsniveau maakt het ook mogelijk deze score te vergelijken met andere soortgelijke organisaties en om groei door de tijd zichtbaar te maken.

Voor ict-dienstverlenende organisaties zoals SURF is het gebruik van de internationaal erkende standaard ISO 27001 gebruikelijker. Op basis van externe audits door een onafhankelijke partij kan men zich certificeren. Een volwassenheidscore SURFaudit van 3-5 komt ongeveer overeen met een ISO 27001-certificatie. Een groot aantal diensten van SURF valt onder de ISO 27001-certificering (zie lijst hierboven).

Wat is het verschil tussen de BIO (Baseline Informatiebeveiliging Overheid) en de BIS die SURF gebruikt?

De BIO is opgesteld voor overheidsorganisaties. SURF is een ICT-organisatie en dat betekent dat SURF sommige overheidsspecifieke maatregelen die in de BIO staan, niet kan overnemen. Bovendien heeft SURF besloten een aantal maatregelen zoals die in de BIO zijn opgenomen, zwaarder te maken voor haar eigen BIS. Wil je meer weten over de verschillen tussen de BIO en de BIS, neem contact met ons op via cisoteam@surf.nl.

Wat is NEN7510 en voldoet SURF hier ook aan?

NEN7510 is vergelijkbaar met ISO 27001, maar dan specifiek voor organisaties in de zorgsector. De uitwerking van de normonderdelen bevat enkele extra maatregelen. Leveranciers van zorg-organisaties worden vaak geacht om te voldoen aan NEN7510, met name als er persoonlijke gezondheidsinformatie wordt verwerkt. SURF voldoet niet aan de NEN7510-standaard - in veel gevallen is de ISO 27001-certificering ook voldoende om als leverancier aan te tonen dat informatiebeveiliging op orde is bij de diensten en of producten die worden geleverd, soms met een toelichting op specifieke maatregelen, zoals toegangsbeveiliging en versleuteling. Daarom is het ISO 27001-certificaat voor SURF ook van belang.

Wat is de SURF-geschiktheidsclassificatie van een dienst en wat betekent dit voor mij als gebruiker/afnemer?

De SURF-geschiktheidsclassificatie is een aanduiding die helpt om snel een goede inschatting te maken van het beschermingsniveau dat een bepaalde ict-dienst biedt. De classificatie (standaard of hoog) correspondeert met de vereiste maatregelen zoals die in de BIS zijn opgenomen. Het blijft de verantwoordelijkheid van de gegevenseigenaar en dus verantwoordelijke om zelf te bepalen of deze maatregelen voldoende zijn of dat er nog aanvullende maatregelen nodig zijn. De geschiktheidsclassificatie is bedoeld als hulpmiddel; voor de dienstverlening blijven contractafspraken bindend.

Moeten alle componenten van een SURF-dienst voldoen aan het aangegeven niveau voor geschiktheidsclassificatieniveau?

Het korte antwoord daarop is ja. Binnen de BIS wordt onderscheid gemaakt in beschermingsniveau standaard en hoog voor de aspecten beschikbaarheid en integriteit/vertrouwelijkheid samen. Alle relevante componenten van een SURF-dienst, of die nu (deels) intern geleverd worden door SURF dan wel (deels) extern ingekocht worden bij externe leveranciers, moeten voldoen aan de vereiste relevante securitymaatregelen.

Valt SURF onder de NIS2-richtlijn (cyberbeveiligingswet)?

Ja, SURF wordt hier als leverancier van ict aan de onderwijssector voor aangemerkt. De vereisten zijn verwerkt in onze BIS (zie hierboven) en we zijn bezig met de voorbereidingen om aan de eisen te voldoen.