Waar ben je naar op zoek?

Samen aanjagen van vernieuwing

Informatiebeveiliging SURF-diensten

We hebben veel aandacht voor de informatiebeveiliging van onze eigen diensten en de diensten die we inkopen voor de instellingen. Zo minimaliseren we het risico dat gegevens misbruikt worden die door onze diensten worden verwerkt, en daarmee de impact van beveiligingsincidenten. Een aantal SURF-diensten is ISO 27001-gecertificeerd.

Informatieveiligheidsbeleid

Principes informatiebeveiliging

Op het vlak van informatiebeveiliging sluit SURF zo veel mogelijk aan bij sectorale en algemene standaarden. Het informatieveiligheidsbeleid van SURF is gebaseerd op het SCIPR-template voor informatiebeveiligingsbeleid dat vijf principes bevat. Deze principes zijn:

  • Risicogebaseerd: we baseren de maatregelen op de mogelijke veiligheidsrisico’s van onze informatie, processen en IT-faciliteiten.
  • Iedereen: iedereen is en voelt zich verantwoordelijk voor een juist en veilig gebruik van middelen en bevoegdheden.
  • Altijd: informatiebeveiliging zit in het DNA van al onze werkzaamheden.
  • Security by design: informatiebeveiliging is vanaf de start een integraal onderdeel van ieder project of iedere verandering die te maken heeft met informatie, processen en IT-faciliteiten.
  • Security by default: gebruikers hebben alleen toegang tot informatie en IT-faciliteiten die zij nodig hebben voor hun werkzaamheden. Het openstellen van informatie is een bewuste keuze.

Bekijk het SURF-informatieveiligheidsbeleid (pdf)

Borging

SURF heeft een Information Security Management Systeem (ISMS) ingericht met daarin een aantal cyclische processen om te borgen dat onze diensten blijven voldoen aan de normen van het ISO 27001-kader en de Baseline Informatiebeveiliging SURF. Voorbeelden van deze processen zijn periodieke interne audits en self-assessments. In het ISMS houden we de bevindingen daarvan bij en zetten we acties uit. Zo vindt continu verbetering en bijsturing plaats.

Baseline Informatiebeveiliging SURF

De technische en procedurele maatregelen zijn uitgewerkt in de Baseline Informatiebeveiliging SURF (BIS). Deze is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO) en op de maatregelen van de ISO 27002-standaard voor informatiebeveiliging. Alle SURF-diensten moeten voldoen aan de BIS.

Informatie- en geschiktheidsclassificatie

SURF werkt sinds 2023 met twee risiconiveaus voor de onderdelen Beschikbaarheid en Integriteit/Vertrouwelijkheid voor informatiebeveiliging: Basis en Hoog. Het niveau Basis biedt een beschermingsniveau dat ongeveer als voldoende voor vertrouwelijke gegevens kan worden gezien (multifactorauthenticatie is bijvoorbeeld standaard). Onze diensten krijgen verder een aanduiding voor welke gegevens de dienst geschikt is, zodat je snel kunt zien op welk beschermingsniveau een SURF-dienst is ingeregeld. Controleer wel altijd of dat ook aansluit bij de afspraken van de eigen organisatie.

Bekijk de Baseline Informatiebeveiliging SURF (pdf)

ISO 27001-gecertificeerde diensten

De diensten die onder Research Facilities vallen zijn al langere tijd ISO-gecertificeerd. In de verklaring van toepasselijkheid staat de huidige scope van de ISO-certificering. We breiden de scope van de certificering geleidelijk uit naar meer SURF-diensten.

SURFdiensten onder de ISO 27001-certificering (februari 2024)
  • Nationale supercomputer Snellius
  • High-performance Dataprocessing - Grid/GSP, Spider, dCache
  • Jupyter Notebook Hub
  • Data Archive
  • Data Persistent Identifier
  • B2SAFE
  • HPC Cloud
  • iRODS Hosting
  • RDM Storage Scale-out
  • SURF Data Repository
  • SURF Research Cloud
  • Custom Cloud Solutions
  • Managed Services for Sustainable Scientific Solutions (MS4)
  • SURF Research Access Management (SRAM)
  • SURFconext
  • SURFsecureID
  • Research Drive
  • Object Store
  • SURFdrive
  • Visualisatie
  • Yoda Hosting
  • eduVPN
  • SURFcumulus
  • SURFcertificaten

De diensten die vallen onder computing, dataopslag en -analyse, visualisatie, authenticatie, autorisatie en cloud- en griddiensten zijn gecertificeerd conform de wereldwijde ISO 27001-standaard voor informatiebeveiliging. Jaarlijks vindt een externe audit plaats waarin compliance met deze norm wordt getoetst.

Bekijk het ISO 27001-certificaat van SURF (pdf)

Verklaring van Toepasselijkheid versie 6.0 (pdf)

Vragen?

Heb je vragen of opmerkingen over het informatiebeveiligingsbeleid van de SURF-diensten? Neem dan contact op met onze CISO Raoul Vernède, via raoul.vernede@surf.nl.

Documenten bij het SURF-informatiebeveiligingsbeleid

Veelgestelde vragen

Wat is het verschil tussen SURF security baseline voor onderwijs en onderzoek en de door SURF gebruikte BIS (Baseline Informatiebeveiliging SURF)?

De SURF security baseline is voor en door de leden van SURF ontwikkeld en heeft een specifieke uitwerking voor de onderwijs- en onderzoeksector. De BIS (zie hierboven) wordt als baseline intern bij SURF gebruikt en bevat controlemaatregelen op maat voor SURF. De BIS ondersteunt het Information Security Management Systeem (ISMS) met daarin zaken als risicomanagement, continu verbeteren via PDCA-cyclus en audits en vormt samen met het informatieveiligheidsbeleid en de operationele richtlijnen het beleid voor informatiebeveiliging van SURF.

Beide baselines zijn gebaseerd op de ISO 27001/27002 als een best practice die voor iedere organisatie op maat gemaakt moet worden aan de specifieke risico’s en eisen van de stakeholders. 

Wat is het verschil tussen SURFaudit en ISO 27001 en waarom gebruikt SURF het SURFaudit toetsingskader informatiebeveiliging niet?

SURFaudit is ontwikkeld voor en door de onderwijsinstellingen en onderzoekorganisaties en is mede gebaseerd op de ISO 27000-benadering. SURFaudit is ontwikkeld als self-assessment voor een organisatie om te bepalen welk volwassenheidsniveau de organisatie heeft per informatiebeveiligingsonderdeel en als geheel (scores variëren van 1 tot 5). Het hanteren van een volwassenheidsniveau maakt het ook mogelijk deze score te vergelijken met andere soortgelijke organisaties en om groei door de tijd zichtbaar te maken.

Voor ict-dienstverlenende organisaties zoals SURF is het gebruik van de internationaal erkende standaard ISO 27001 gebruikelijker. Op basis van externe audits door een onafhankelijke partij kan men zich certificeren. Een volwassenheidscore SURFaudit van 3-5 komt ongeveer overeen met een ISO 27001-certificatie. Een groot aantal diensten van SURF valt onder de ISO 27001-certificering (zie lijst hierboven).

Wat is het verschil tussen de BIO (Baseline Informatiebeveiliging Overheid) en de BIS die SURF gebruikt?

De BIO is opgesteld voor overheidsorganisaties. SURF is een ICT-organisatie en dat betekent dat SURF sommige overheidsspecifieke maatregelen die in de BIO staan, niet kan overnemen. Bovendien heeft SURF besloten een aantal maatregelen zoals die in de BIO zijn opgenomen, zwaarder te maken voor haar eigen BIS. Wil je meer weten over de verschillen tussen de BIO en de BIS, neem dan contact met ons op via cisoteam@surf.nl.

Wat is NEN7510 en voldoet SURF hier ook aan?

NEN7510 is vergelijkbaar met ISO 27001, maar dan specifiek voor organisaties in de zorgsector. De uitwerking van de normonderdelen bevat enkele extra maatregelen. Leveranciers van zorg-organisaties worden vaak geacht om te voldoen aan NEN7510, met name als er persoonlijke gezondheidsinformatie wordt verwerkt. SURF voldoet niet aan de NEN7510-standaard - in veel gevallen is de ISO 27001-certificering ook voldoende om als leverancier aan te tonen dat informatiebeveiliging op orde is bij de diensten en of producten die worden geleverd, soms met een toelichting op specifieke maatregelen, zoals toegangsbeveiliging en versleuteling. Daarom is het ISO 27001-certificaat voor SURF ook van belang.

Wat is de SURF-geschiktheidsclassificatie van een dienst en wat betekent dit voor mij als gebruiker/afnemer?

De SURF-geschiktheidsclassificatie is een aanduiding die helpt om snel een goede inschatting te maken van het beschermingsniveau dat een bepaalde ict-dienst biedt. De classificatie (basis of hoog) correspondeert met de vereiste maatregelen zoals die in de BIS zijn opgenomen. Het blijft de verantwoordelijkheid van de gegevenseigenaar en dus verantwoordelijke om zelf te bepalen of deze maatregelen voldoende zijn of dat er nog aanvullende maatregelen nodig zijn. De geschiktheidsclassificatie is bedoeld als hulpmiddel; voor de dienstverlening blijven contractafspraken bindend.

Moeten alle componenten van een SURF-dienst voldoen aan het aangegeven niveau voor geschiktheidsclassificatieniveau?

Het korte antwoord daarop is ja. Binnen de BIS wordt onderscheid gemaakt in beschermingsniveau ‘basis’ en ‘hoog’ voor de aspecten beschikbaarheid en integriteit/vertrouwelijkheid samen. Alle relevante componenten van een SURF-dienst, of die nu (deels) intern geleverd worden door SURF dan wel (deels) extern ingekocht worden bij externe leveranciers, moeten voldoen aan de vereiste relevante securitymaatregelen.