SURFaudit: inzicht in je informatiebeveiliging en privacy
Heeft je instelling de veiligheid en de continuïteit van haar bedrijfsgegevens en de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit zie je wat je tenminste moet regelen qua beveiliging en privacy. Bepaal hoe jouw instelling ervoor staat en vergelijk dat met de hele sector onderwijs en onderzoek.
Zelf je informatiebeveiliging beoordelen
Met SURFaudit beoordeel je op ieder gewenst moment de informatiebeveiliging of privacybescherming van jouw instelling. De assessments kun je op de instelling als geheel, maar ook op een faculteit of afdeling toepassen.
In samenwerking met de SURF Community voor Informatiebeveiliging en Privacy (SCIPR) heeft SURF het Normenkader Informatiebeveiliging Hoger Onderwijs opgesteld. Hierin vind je maatregelen uit de ISO 27002:2013 die relevant zijn voor de veiligheid en continuïteit van bedrijfsgegevens en de bescherming van privacy van studenten en medewerkers. Een SCIPR-werkgroep analyseert de nieuwe versie van de ISO 27002:2022 standaard om te zien welke updates op het Normenkader gewenst zijn. Daarbij kijkt de werkgroep ook naar specifieke beheersmaatregelen die betrekking hebben op cloudleveranciers.
Om de staat van je informatiebeveiliging in kaart te brengen maken we gebruik van het SURFaudit Toetsingskader Informatiebeveiliging v2.2 (2021). Dit toetsingskader is de basis voor onze self-assessment en maakt gebruik van het NBA/NOREA Volwassenheidsmodel Informatiebeveiliging 2.1. Voor de privacy assessment hebben we een toetsingskader samengesteld op basis van het AVG Borgingsproduct 2.0 van de VNG.
Inzicht in je organisatie en de sector
SURFaudit geeft je inzicht in de mate van controle over de informatiebeveiliging bij jouw organisatie en signaleert waar de prioriteiten liggen voor verbetering. We voeren regelmatig SURFaudit-benchmarks uit die laten zien hoe de sector ervoor staat en hoe instellingen het ten opzichte van elkaar doen. De resultaten kun je gebruiken in verantwoordingen naar overheden of accountants.
Ambitie van SURFaudit
Onze audit sluit aan op audits die vereist zijn voor de jaarrekeningcontrole. Je toont ermee aan dat je een betrouwbare partner bent en zorgvuldig omgaat met bedrijfs-en persoonsgegevens.
Beschikbaar voor alle instellingen
Onze audit is beschikbaar voor alle bij SURF aangesloten instellingen. Voor het uitvoeren van assessments is het Smile benchmark-platform beschikbaar. Hier staan verschillende normenkaders in. Meer informatie vind je op de SURFaudit-wiki .
Tarief
Als instelling betaal je niets extra voor SURFaudit. Deze dienst valt onder de basisvergoeding Infrastructuur van SURF.