SURFaudit: inzicht in je informatiebeveiliging en privacy

Heeft je instelling de veiligheid en de continuïteit van haar bedrijfsgegevens en de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit zie je wat je ten minste moet regelen qua beveiliging en privacy. Vergelijk auditresultaten en bepaal hoe jouw instelling ervoor staat.

Close-up man achter computer met allerlei documenten erbij

Normenkader SURFaudit: audit je informatiebeveiliging

Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. Maar ook wat risicogebieden zijn voor jouw branche. Met ons Normenkader en Toetsingskader helpen we je de veiligheid en continuïteit van je bedrijfsgegevens en de privacy van studenten en medewerkers te beschermen.

ISO standaard voor informatiebeveiling

De meest geaccepteerde internationale standaard op het gebied van informatiebeveiliging is ISO27002:2013. Wij hebben ons normenkader hierop gebaseerd. Uit deze ISO-norm zijn de onderdelen geselecteerd die een onderwijsinstelling in ieder geval geregeld moet hebben. De selectie is onder andere gebaseerd op ons Cyberdreigingsbeeld (pdf). Dit rapport beschrijft de grootste dreigingen voor de sectoren onderwijs en onderzoek op het gebied van informatieveiligheid. 

In het Normenkader staan ook alle privacy-aspecten uit het richtsnoer Beveiliging van Persoonsgegevens (2013) van de Autoriteit Persoonsgegevens. De meest recente versie van het Normenkader is in 2015 gepubliceerd.

De normen zijn gegroepeerd in 6 clusters:

  1. beleid en organisatie
  2. personeel, studenten en gasten
  3. ruimten en apparatuur
  4. continuïteit
  5. vertrouwelijkheid en integriteit
  6. controle en logging

Toetsingskader om het niveau te bepalen

Het toetsingskader vult het normenkader aan. Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld. Vervolgens is dit afgestemd met externe auditors. De laatste versie is gebaseerd op het Volwassenheidsmodel Informatiebeveiliging v2.0 van de NBA.

Volwassenheidsniveaus

Bij een self-assessment of audit bepaal je voor iedere maatregel het volwassenheidsniveau, bijvoorbeeld:

Model Volwassenheidsniveau
Niveau Korte omschrijving Toelichting
1 Maatregelen zijn ad hoc. Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.
2 Maatregelen bestaan en worden op consistente wijze uitgevoerd.

Beheersmaatregelen bestaan en worden op een gestructureerde en consitente, maar informele manier uitgevoerd.

3 Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar. Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.
4 Er is een verbetercyclus aanwezig en gedocumenteerd. De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.
5 Er is een bedrijfsbrede aanpak van risico’s. Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Inzicht in de risico’s met de SURFaudit-benchmark

Tijdens onze tweejaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per cluster bekijken we wat de stand van zaken is ten opzichte van de baseline. Het aanbevolen volwassenheidsniveau uit het Normenkader Informatiebeveiliging HO bepaalt de baseline. Dit niveau wordt mede bepaald door de risico’s die het Cyberdreigingsbeeld identificeert. Daarbij geldt altijd een van de volgende regels:

  • De maatregel is van zo groot belang dat een regelmatige toetsing (PDCA-cyclus) noodzakelijk is: volwassenheidsniveau 4;
  • De maatregel is zo basaal dat deze niet kan ontbreken: volwassenheidsniveau 3;
  • Op basis van de analyse in het Cyberdreigingsbeeld is de maatregel als belangrijk geclassificeerd: volwassenheidsniveau 3;
  • Alle andere maatregelen: volwassenheidsniveau 2.

Meer informatie

  • Wil je meer informatie, stuur dan een e-mail naar surfaudit@surfnet.nl
  • Om het Normenkader Informatiebeveiliging HO te ontvangen, schrijf je je in voor SURFaudit op het SURFdashboard. Ga akkoord met de voorwaarden voor het Normenkader Informatiebeveiliging (zie https://edu.nl/dndq9).