SURFaudit: inzicht in je informatiebeveiliging en privacy

Heeft je instelling de veiligheid en de continuïteit van haar bedrijfsgegevens en de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit zie je wat je tenminste moet regelen qua beveiliging en privacy. Bepaal hoe jouw instelling ervoor staat en vergelijk dat met de hele sector onderwijs en onderzoek.

Close-up man achter computer met allerlei documenten erbij

SURFaudit Toetsingskader: beoordeel je informatiebeveiliging

Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. En ook wat risicogebieden zijn voor jouw sector. Het SURFaudit  Toetsingskader Informatiebeveiliging helpt je de veiligheid en continuïteit van je bedrijfsgegevens en de privacy van studenten en medewerkers te beschermen en verbeteren.

ISO-standaard voor informatiebeveiling

De meest geaccepteerde internationale standaard op het gebied van informatiebeveiligingsmaatregelen is ISO27002. Wij hebben ons normenkader hierop gebaseerd. Uit deze ISO-norm zijn de onderdelen geselecteerd die een onderwijsinstelling in ieder geval geregeld moet hebben. De selectie is onder andere gebaseerd op ons Cyberdreigingsbeeld. Dit rapport beschrijft de grootste dreigingen voor de sectoren onderwijs en onderzoek op het gebied van informatieveiligheid. 

Toetsingskader om het niveau te bepalen

Voor de beoordeling van de informatieveiligheid van instellingen voor onderwijs en onderzoek gebruiken we het SURFaudit Toetsingskader Informatiebeveiliging (2021). Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld en vervolgensafgestemd met externe auditors. De laatste versie is gebaseerd op het Volwassenheidsmodel Informatiebeveiliging v2.1 van de NBA.

Volwassenheidsniveaus

Bij een self-assessment of audit bepaal je voor iedere maatregel het volwassenheidsniveau volgens onderstaande criteria:

Volwassenheidsniveau SURFaudit
Niveau Korte omschrijving Toelichting
1 Maatregelen zijn ad hoc. Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.
2 Maatregelen bestaan en worden op consistente wijze uitgevoerd.

Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd.

3 Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar. Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.
4 Er is een verbetercyclus aanwezig en gedocumenteerd. De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.
5 Er is een bedrijfsbrede aanpak van risico’s. Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Inzicht in de risico’s met de SURFaudit-benchmark

Tijdens onze tweejaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per domein bekijken we wat de stand van zaken is ten opzichte van het door SCIPR aanbevolen volwassenheidsniveau.  Dit niveau wordt mede bepaald door de risico’s die het in het Cyberdreigingsbeeld zijn geïdentificeerd.

Meer informatie