Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SC.03 Leveranciersrisicomanagement
Risico's met betrekking tot het vermogen van leveranciers om effectieve dienstverlening op een veilige en efficiënte manier voort te zetten, worden voortdurend geïdentificeerd en beperkt. Contracten voldoen aan universele zakelijke standaarden in overeenstemming met wet- en regelgeving. Leveranciersrisicomanagement neemt aspecten in overweging als niet-openbaarmakingsovereenkomsten (non-disclosure agreements, NDA’s), escrowcontracten, voortdurende levensvatbaarheid van de leverancier, conformiteit met beveiligingseisen, alternatieve leveranciers, boetes en beloningen, enzovoort.
Volwassenheidsniveau 3 met betrekking tot norm SC.03
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SC.03 Leveranciersrisicomanagement beschrijft volwassenheidsniveau 3 als volgt:
- Er is een proces voor leveranciersrisicomanagement gedefinieerd, ingevoerd en vastgesteld door het schoolbestuur of de schoolleiding.
- Risico’s betreffende het vermogen van de leverancier om effectief en veilig (cloud)diensten te leveren worden voortdurend geanalyseerd en beperkt.
- In het proces voor leveranciersrisicomanagement wordt rekening gehouden met non-disclosure agreements (NDA’s), escrowcontracten, levensvatbaarheid van leveranciers, compliance met beveiligingseisen, alternatieve leveranciers, boetes en beloningen, et cetera.
- Over niet-gemitigeerde of geaccepteerde risico’s wordt periodiek aan het schoolbestuur of de schoolleiding gerapporteerd.
- Contracten zijn volgens algemene bedrijfsstandaarden en voldoen aan wet- en regelgeving (bijvoorbeeld dataprivacy).
- Voordat de contracten worden ondertekend wordt een toetsing verkregen, die aantoont dat de levering van diensten voldoet aan wet- en regelgeving en aan het eigen (beveiligings)beleid.
Hoe ga je aan de slag met Norm SC.03?
Wat doet Cloudwise?
Het is belangrijk om te weten dat het schoolbestuur verantwoordelijk is voor het leveranciersrisicomanagement. Dit betekent dat het schoolbestuur zelf zorgt voor een formeel ingericht proces, waaronder het uitvoeren van risicoanalyses en een BIV-classificatie, en het beoordelen van de continuïteit en betrouwbaarheid van leveranciers. De uiteindelijke afwegingen en besluitvorming hierover ligt bij het schoolbestuur.
Cloudwise is leverancier van (cloud)diensten voor scholen. Dat betekent dat Cloudwise verantwoordelijk is voor een veilige en betrouwbare levering van haar eigen diensten. De afspraken hierover worden vastgelegd in contracten die voldoen aan geldende wet- en regelgeving. Ter borging en evaluatie van uiteenlopende afspraken zijn in de samenwerking tussen de klant en Cloudwise in elk geval de volgende documenten overeengekomen:
- Een Dienstbeschrijving waarin uiteen is gezet wat de dienstverlening omvat, welke onderwerpen zijn inbegrepen (bijv. standaard changes) en welke afspraken er zijn rondom het beindigen van de dienstverlening. Deze dienstbeschrijvingen zijn per te leveren Cloudwise product separaat uitgewerkt;
- De Service Level Agreement (SLA) waarin afspraken zijn vastgelegd over de kwaliteit en continuïteit van de dienstverlening, zoals beschikbaarheid, ondersteuning, responstijden en het melden en afhandelen van incidenten.
- Dossier Afspraken en Procedures (DAP) waarin nader is uitgelegd “hoe” de dienstverlening uitgevoerd wordt en welke processen en afspraken van toepassing zijn.
- Een Verwerkersovereenkomst gesloten tussen Cloudwise en de school conform de Algemene Verordening Gegevensbescherming (AVG), waarin afspraken worden gemaakt over de verwerking en beveiliging van persoonsgegevens.
- De Algemene Voorwaarden waarin de algehele afspraken zijn opgenomen rondom de samenwerking, waarbij onder andere is ingegaan op de duur van de overeenkomst, vertrouwelijkheid, veiligheid e.d.
Al deze overeenkomsten zijn terug te vinden op: www.cloudwise.nl/voorwaarden.
Voor het creëren van een passend niveau van informatiebeveiliging en privacy maakt Cloudwise gebruik van het certificeringsschema ROSA zoals vastgesteld door de Edustandaard. Deze BIV-classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid) is terug te vinden in de verwerkersovereenkomst.
Fasering
- Fase 2 - Ontwikkelen
Domein
- IB Domein 15 - Ketenbeheer
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
