Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
GO.05 Onafhankelijke toetsing
Onafhankelijke toetsing (intern of extern) wordt verkregen om te bepalen in hoeverre de informatievoorziening (inclusief IT) voldoet aan relevante wet- en regelgeving, het beleid van de organisatie, de normen en procedures van de organisatie, algemeen aanvaarde werkwijzen en effectieve en efficiënte prestaties van IT.
Volwassenheidsniveau 3 met betrekking tot norm GO.05
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm PR.01 (Operationele processen) beschrijft volwassenheidsniveau 3 als volgt:
- Onafhankelijke toetsing (intern of extern) wordt ingezet om in beeld te krijgen of de informatievoorziening (inclusief IT) voldoet aan relevante wet- en regelgeving, beleid, standaarden, procedures binnen de organisatie en algemeen aanvaarde werkwijzen.
- De toetsingsactiviteiten zijn beschreven in een auditplan dat is vastgesteld door het schoolbestuur of de schoolleiding en een auditcommissie.
- De resultaten van deze activiteiten worden gerapporteerd aan het schoolbestuur of de schoolleiding en de auditcommissie.
Hoe ga je aan de slag met Norm GO.05?
Met een onafhankelijke toetsing krijg je in beeld waar de dagelijkse praktijk op je school afwijkt van het beleid en de procedures. Deze toetsing kan via een interne of externe audit gebeuren. Door een audit uit te voeren, kunnen processen/maatregelen die niet goed lopen, worden geïdentificeerd en kan actie worden ondernomen om de risico’s die hierdoor ontstaan te mitigeren.
Wat doet Cloudwise?
Het uitvoeren van een onafhankelijke toetsing van de IBP-normen is de verantwoordelijkheid van het schoolbestuur. Met deze toetsing wordt inzichtelijk in hoeverre de informatievoorziening (inclusief IT) voldoet aan relevante wet- en regelgeving, beleid, standaarden en procedures binnen de organisatie.
Een onafhankelijke toetsing kan via een interne of externe audit plaatsvinden. Hiermee wordt duidelijk waar de dagelijkse praktijk afwijkt van beleid en procedures, zodat processen en maatregelen die niet goed lopen kunnen worden geïdentificeerd en risico’s kunnen worden beperkt.
Bij de toetsing kan het schoolbestuur zelf bepalen hoe de beoordeling wordt vormgegeven. Kennisnet geeft het voorbeeld van opzet, bestaan en werking:
- Opzet: er is een beleid geschreven en gedocumenteerd.
- Bestaan: het beleid is daadwerkelijk geïmplementeerd in de organisatie; medewerkers en systemen volgen het beleid en het maakt onderdeel uit van de dagelijkse praktijk.
- Werking: de maatregel functioneert effectief en beperkt risico’s zoals bedoeld. Dit wordt bijvoorbeeld vastgesteld via audits, controles of steekproeven.
Door deze drie aspecten per norm te beoordelen, ontstaat een overzicht van het huidige volwassenheidsniveau per norm. Zo kan het schoolbestuur zien welke normen volledig op orde zijn, welke zijn geïmplementeerd maar nog niet effectief werken, en waar nog vervolgstappen nodig zijn. Dit overzicht kan vervolgens worden opgenomen in de planning/roadmap, zodat prioriteiten en acties duidelijk zijn.
- De toetsing kan plaatsvinden via interviews en/ of documentanalyses. De audit wordt vaak gevolgd via een planning, waarin wordt aangegeven welke school en welke domeinen worden gecontroleerd de aankomende x periode. Na afloop wordt een rapport opgesteld met de bevindingen en conclusies per domein.
- Cloudwise kan scholen ondersteunen door het uitvoeren van een Security Scan Normenkader, waarmee inzichtelijk wordt waar de school momenteel staat ten opzichte van het normenkader en welke volwassenheidsniveau per norm wordt bereikt.
- Op Kennisnet is het voorbeelddocument ‘Auditplan IBP-normenkader’ beschikbaar, waarin wordt uitgelegd hoe je de normen kunt toetsen en het volwassenheidsniveau kunt bepalen.
Cloudwise heeft als leverancier een grote verantwoordelijkheid voor (informatie)beveiliging. Dit wordt geborgd door geformaliseerde processen, maatregelen en certificeringen op basis van ISO 9001, ISO 14001 en ISO 27001. Hiermee voldoen wij aan de eisen op het gebied van kwaliteit, milieu en informatiebeveiliging.
Fasering
- Fase 1 - Inrichten
Domein
- IB Domein 1 - Bestuur
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in of lees meer over onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
