Zijn de bedrijfsgegevens van je instelling voldoende beschermd en is de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit toets je op welk niveau de informatiebeveiliging en privacybescherming van jouw instelling zich bevindt en kun je dit vergelijken dat met de hele sector onderwijs en onderzoek.
SURFaudit Toetsingskader: beoordeel je informatiebeveiliging
Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. En ook wat risicogebieden zijn voor jouw sector. Het SURFaudit Toetsingskader Informatiebeveiliging helpt je de veiligheid en continuïteit van je bedrijfsgegevens te beschermen en verbeteren.
Toetsingskader om het niveau te bepalen
Voor de beoordeling van de informatieveiligheid van instellingen voor onderwijs en onderzoek gebruiken we het SURFaudit Toetsingskader Informatiebeveiliging (2021). Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld en vervolgens afgestemd met externe auditors. De laatste versie is gebaseerd op het Volwassenheidsmodel Informatiebeveiliging v2.1 van de NBA.
Volwassenheidsniveaus
Bij een self-assessment of audit bepaal je voor iedere maatregel het volwassenheidsniveau volgens onderstaande criteria:

Niveau | Korte omschrijving | Toelichting |
---|---|---|
1 | Maatregelen zijn ad hoc. | Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen. |
2 | Maatregelen bestaan en worden op consistente wijze uitgevoerd. |
Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd. |
3 | Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar. | Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief. |
4 | Er is een verbetercyclus aanwezig en gedocumenteerd. | De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd. |
5 | Er is een bedrijfsbrede aanpak van risico’s. | Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's. |
Inzicht in de risico’s met de SURFaudit-benchmark
Tijdens onze jaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per domein bekijken we wat de stand van zaken is ten opzichte van het door SCIPR aanbevolen volwassenheidsniveau. Dit niveau wordt mede bepaald door de risico’s die het in het Cyberdreigingsbeeld zijn geïdentificeerd, en is momenteel minimaal 3.0 voor alle controls uit het SURFaudit informatiebeveiliging toetsingskader.
Meer informatie
- Wil je meer informatie, stuur dan een e-mail naar surfaudit@surf.nl
- Om deel te nemen aan de SURFaudit benchmark, stuur een email naar surfaudit@surf.nl (zie https://edu.nl/surfaudit voor details).