SURFaudit: inzicht in je informatiebeveiliging en privacy

Heeft je instelling de veiligheid en de continuïteit van haar bedrijfsgegevens en de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit zie je wat je tenminste moet regelen qua beveiliging en privacy. Bepaal hoe jouw instelling ervoor staat en vergelijk dat met de hele sector onderwijs en onderzoek.

Close-up man achter computer met allerlei documenten erbij

Zelf je informatiebeveiliging beoordelen

Met SURFaudit beoordeel je op ieder gewenst moment de informatiebeveiliging of privacybescherming van jouw instelling. De assessments kun je op de instelling als geheel, maar ook op een faculteit of afdeling toepassen.

In samenwerking met de SURF Community voor Informatiebeveiliging en Privacy (SCIPR) heeft SURF het Normenkader Informatiebeveiliging Hoger Onderwijs opgesteld. Hierin vind je maatregelen uit de ISO 27002:2013 die relevant zijn voor de veiligheid en continuïteit van bedrijfsgegevens en de bescherming van privacy van studenten en medewerkers. Een SCIPR-werkgroep analyseert de nieuwe versie van de ISO 27002:2022 standaard om te zien welke updates op het Normenkader gewenst zijn. Daarbij kijkt de werkgroep ook naar specifieke beheersmaatregelen die betrekking hebben op cloudleveranciers.

Om de staat van je informatiebeveiliging in kaart te brengen maken we gebruik van het SURFaudit Toetsingskader Informatiebeveiliging v2.2 (2021). Dit toetsingskader is de basis voor onze self-assessment en maakt gebruik van het NBA/NOREA Volwassenheidsmodel Informatiebeveiliging 2.1. Voor de privacy assessment hebben we een toetsingskader samengesteld op basis van het AVG Borgingsproduct 2.0 van de VNG.

Inzicht in je organisatie en de sector

SURFaudit geeft je inzicht in de mate van controle over de informatiebeveiliging bij jouw organisatie en signaleert waar de prioriteiten liggen voor verbetering. We voeren regelmatig SURFaudit-benchmarks uit die laten zien hoe de sector ervoor staat en hoe instellingen het ten opzichte van elkaar doen. De resultaten kun je gebruiken in verantwoordingen naar overheden of accountants.

Ambitie van SURFaudit

Onze audit sluit aan op audits die vereist zijn voor de jaarrekeningcontrole. Je toont ermee aan dat je een betrouwbare partner bent en zorgvuldig omgaat met bedrijfs-en persoonsgegevens.

Beschikbaar voor alle instellingen

Onze audit is beschikbaar voor alle bij SURF aangesloten instellingen. Voor het uitvoeren van assessments is het Smile benchmark-platform beschikbaar. Hier staan verschillende normenkaders in. Meer informatie vind je op de SURFaudit-wiki .

Tarief

Als instelling betaal je niets extra voor SURFaudit. Deze dienst valt onder de basisvergoeding Infrastructuur van SURF.