SURFaudit: inzicht in je informatiebeveiliging en privacy

Heeft je instelling de veiligheid en de continuïteit van haar bedrijfsgegevens en de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit zie je wat je ten minste moet regelen qua beveiliging en privacy. Vergelijk auditresultaten en bepaal hoe jouw instelling ervoor staat.

Close-up man achter computer met allerlei documenten erbij

Normenkader SURFaudit: audit je informatiebeveiliging

Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. Maar ook wat risicogebieden zijn voor jouw branche. Met ons Normenkader en Toetsingskader helpen we je de veiligheid en continuïteit van je bedrijfsgegevens en de privacy van studenten en medewerkers te beschermen.

ISO standaard voor informatiebeveiling

De meest geaccepteerde internationale standaard op het gebied van informatiebeveiliging is ISO27002:2013. Wij hebben ons normenkader hierop gebaseerd. Uit deze ISO-norm zijn de onderdelen geselecteerd die een onderwijsinstelling in ieder geval geregeld moet hebben. De selectie is onder andere gebaseerd op ons Cyberdreigingsbeeld (pdf). Dit rapport beschrijft de grootste dreigingen voor de sectoren onderwijs en onderzoek op het gebied van informatieveiligheid. 

In het Normenkader staan ook alle privacy-aspecten uit het richtsnoer Beveiliging van Persoonsgegevens (2013) van de Autoriteit Persoonsgegevens. De meest recente versie van het Normenkader is in 2015 gepubliceerd.

De normen zijn gegroepeerd in 6 clusters:

  1. beleid en organisatie
  2. personeel, studenten en gasten
  3. ruimten en apparatuur
  4. continuïteit
  5. vertrouwelijkheid en integriteit
  6. controle en logging

Toetsingskader om het niveau te bepalen

Het toetsingskader vult het normenkader aan. Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld. Vervolgens is dit afgestemd met externe auditors. De laatste versie maakten we samen met de mbo-sector.

Volwassenheidsniveaus

Bij een self-assessment of audit bepalen we voor iedere maatregel hoe de instelling ervoor staat. We gebruiken hiervoor het Cobit Maturity Model (CMM):

Cobit Maturity Model
Niveau Omschrijving Toelichting
0 Niet-bestaand Processen worden niet toegepast.
1 Initieel/ad hoc Processen zijn ad hoc georganiseerd en sterk afhankelijk van individuele personen.
2 Herhaalbaar maar intuïtief Er wordt op een vaste manier gewerkt.
3 Gedefinieerd proces Processen zijn gedocumenteerd en bekend bij betrokkenen.
4 Beheerd en meetbaar Processen worden beheerd, zitten in een verbetercyclus (PDCA) en zijn meetbaar.
5 Geoptimaliseerd Er wordt als vanzelfsprekend verbeterd en volgens best-practice gewerkt.

Inzicht in de risico’s met de audit-benchmark

Tijdens onze tweejaarlijkse audit-benchmark analyseren we de resultaten over alle deelnemende instellingen. Per cluster bekijken we wat de stand van zaken is ten opzichte van de baseline. Het aanbevolen CMM-niveau bepaalt de baseline. In het normenkader staat wat het aanbevolen CMM-niveau is. Dit niveau wordt mede bepaald door de risico’s die het Cyberdreigingsbeeld identificeert. Daarbij geldt altijd een van de volgende regels:

  • De maatregel is van zo groot belang dat een regelmatige toetsing (PDCA) noodzakelijk is: CMM-niveau 4;
  • De maatregel is zo basaal dat deze niet kan ontbreken: CMM-niveau 3;
  • Op basis van de analyse van het Cyberdreigingsbeeld is de maatregel als belangrijk geclassificeerd: CMM-niveau 3;
  • Alle andere maatregelen: CMM-niveau 2.

Meer informatie

  • Wil je meer informatie of wil je het normenkader SURFaudit ontvangen stuur dan een e-mail naar surfaudit@surfnet.nl
  • Het genoemde toetsingskader is beschikbaar als je lid bent van SCIPR