Informatiebeveiliging SURF-diensten

We hebben veel aandacht voor de informatiebeveiliging van onze eigen diensten en de diensten die we inkopen voor de instellingen. Zo minimaliseren we het risico dat gegevens misbruikt worden die door onze diensten worden verwerkt, en daarmee de impact van beveiligingsincidenten. Een aantal SURF-diensten is ISO 27001-gecertificeerd.

Informatieveiligheidsbeleid

Principes informatiebeveiliging

Op het vlak van informatiebeveiliging sluit SURF zo veel mogelijk aan bij sectorale en algemene standaarden. Het informatieveiligheidsbeleid van SURF is gebaseerd op het SCIPR-template voor informatiebeveiligingsbeleid dat vijf principes bevat. Deze principes zijn:

  • Risicogebaseerd: we baseren de maatregelen op de mogelijke veiligheidsrisico’s van onze informatie, processen en IT-faciliteiten.
  • Iedereen: iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.
  • Altijd: informatiebeveiliging zit in het DNA van al onze werkzaamheden.
  • Security by design: informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering die te maken heeft met informatie, processen en IT-faciliteiten.
  • Security by default: gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.

Bekijk het SURF-informatieveiligheidsbeleid (pdf)

Borging

SURF heeft een Information Security Management Systeem (ISMS) ingericht met daarin een aantal cyclische processen om te borgen dat onze diensten blijven voldoen aan de normen van het ISO 27001-kader en de Baseline Informatiebeveiliging SURF. Voorbeelden van deze processen zijn periodieke interne audits en self-assessments. In het ISMS houden we de bevindingen daarvan bij en zetten we acties uit. Zo vindt continu verbetering en bijsturing plaats.

Baseline Informatiebeveiliging SURF

De technische en procedurele maatregelen zijn uitgewerkt in de Baseline Informatiebeveiliging SURF (BIS). Deze is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO) en op de maatregelen van de ISO 27002-standaard voor informatiebeveiliging. Alle SURF-diensten moeten voldoen aan de BIS.

Bekijk de Baseline Informatiebeveiliging SURF (pdf)

ISO 27001-gecertificeerde diensten

De diensten die onder Research Facilities vallen zijn al langere tijd ISO-gecertificeerd. In de verklaring van toepasselijkheid staat de huidige scope van de ISO-certificering. We breiden de scope van de certificering geleidelijk uit naar meer SURF-diensten.

SURFdiensten onder de ISO 27001-certificering (november 2022)
  • Nationale supercomputer Snellius
  • Nationaal rekencluster Lisa
  • High-performance Dataprocessing - Grid/GSP, Spider, dCache
  • Jupyter Notebook Hub
  • Data Archive
  • Data Persistent Identifier
  • B2SAFE
  • iRODS Hosting
  • RDM Storage Scale-out
  • SURF Data Repository
  • SURF Research Cloud
  • Custom Cloud Solutions
  • Managed Services for Sustainable Scientific Solutions (MS4)
  • SURF Research Access Management (SRAM)
  • SURFconext
  • SURFsecureID
  • Research Drive
  • Object Store
  • SURFdrive
  • Visualisatie

De diensten die vallen onder computing, dataopslag en -analyse, visualisatie, authenticatie, autorisatie en cloud- en griddiensten zijn gecertificeerd conform de wereldwijde ISO 27001-standaard voor informatiebeveiliging. Jaarlijks vindt een externe audit plaats waarin compliance met deze norm wordt getoetst.

Bekijk het ISO 27001-certificaat van SURF (pdf)

Verklaring van Toepasselijkheid versie 6.0 (pdf)

Vragen?

Heb je vragen of opmerkingen over het informatiebeveiligingsbeleid van de SURF-diensten? Neem dan contact op met onze CISO Raoul Vernède, via raoul.vernede@surf.nl.

Documenten bij het SURF-informatiebeveiligingsbeleid

Veelgestelde vragen

Wat is het verschil tussen de Baseline Informatiebeveiliging Overheid (BIO) en de Baseline Informatiebeveiliging van SURF (BIS)?

De Baseline Informatiebeveiliging Overheid (BIO) is opgesteld voor overheidsorganisaties. SURF is echter een IT-organisatie. Dat betekent dat SURF sommige overheidspecifieke maatregelen die in de BIO staan, niet kan overnemen. Daarnaast is het zo dat SURF besloten heeft een aantal maatregelen in de BIO zwaarder te maken voor de  Baseline Informatiebeveiliging van SURF (BIS). Wil je meer weten over de verschillen tussen de BIO en de BIS, neem dan contact met ons op.

Wat is NEN7510 en voldoet SURF hier ook aan?

NEN7510 is een soortgelijke certificering als ISO27001, maar dan specifiek voor organisaties die actief zijn in de zorg. De uitwerking van de normonderdelen zijn gespecificeerd voor de zorg en bevat enkele extra maatregelen. Leveranciers van zorgorganisaties worden daarom ook vaak geacht om te voldoen aan NEN7510, met name als er persoonlijke gezondheidsinformatie wordt verwerkt. SURF voldoet niet aan de NEN7510-standaard - in veel gevallen is ISO27001 ook voldoende om als leverancier aan te tonen dat informatiebeveiliging op orde is bij de diensten en of producten die worden geleverd. Soms met een toelichting op specifieke maatregelen, zoals toegangsbeveiliging en versleuteling. Daarom is het ISO27001 certificaat voor SURF ook van belang.