SURFaudit: inzicht en overzicht in je informatiebeveiliging en privacy

Zijn de bedrijfsgegevens van je instelling voldoende beschermd en is de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit toets je op welk niveau de informatiebeveiliging en privacybescherming van jouw instelling zich bevindt en kun je dit vergelijken dat met de hele sector onderwijs en onderzoek.

Close-up man achter computer met allerlei documenten erbij

SURFaudit Toetsingskader: beoordeel je informatiebeveiliging

Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. En ook wat risicogebieden zijn voor jouw sector. Het SURFaudit Toetsingskader Informatiebeveiliging helpt je de veiligheid en continuïteit van je bedrijfsgegevens te beschermen en verbeteren.

Toetsingskader om het niveau te bepalen

Voor de beoordeling van de informatieveiligheid van instellingen voor onderwijs en onderzoek gebruiken we het SURFaudit Toetsingskader Informatiebeveiliging (2021). Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld en vervolgens afgestemd met externe auditors. De laatste versie is gebaseerd op het Volwassenheidsmodel Informatiebeveiliging v2.1 van de NBA.

Volwassenheidsniveaus

Bij een self-assessment of audit bepaal je voor iedere maatregel het volwassenheidsniveau volgens onderstaande criteria:

Volwassenheidsniveau SURFaudit
Niveau Korte omschrijving Toelichting
1 Maatregelen zijn ad hoc. Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.
2 Maatregelen bestaan en worden op consistente wijze uitgevoerd.

Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd.

3 Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar. Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.
4 Er is een verbetercyclus aanwezig en gedocumenteerd. De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.
5 Er is een bedrijfsbrede aanpak van risico’s. Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Inzicht in de risico’s met de SURFaudit-benchmark

Tijdens onze jaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per domein bekijken we wat de stand van zaken is ten opzichte van het door SCIPR aanbevolen volwassenheidsniveau. Dit niveau wordt mede bepaald door de risico’s die het in het Cyberdreigingsbeeld zijn geïdentificeerd, en is momenteel minimaal 3.0 voor alle controls uit het SURFaudit informatiebeveiliging toetsingskader.

Meer informatie