Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SD.01 Methodiek veilige softwareontwikkeling en -implementatie
Er is een gestructureerde aanpak voor de interne ontwikkeling en aanschaf van software ingevoerd, in de vorm van een levenscyclus voor veilige softwareontwikkeling. Deze aanpak zorgt ervoor dat potentiële risico’s voor bedrijfsvoering adequaat worden beoordeeld en beperkt, en dat de aspecten vertrouwelijkheid, integriteit en beschikbaarheid worden meegenomen. Voor elke nieuwe ontwikkeling of acquisitie is goedkeuring vereist door het juiste niveau van school- en IT-management.
Volwassenheidsniveau 3 met betrekking tot norm SD.01
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SD.01 Methodiek veilige softwareontwikkeling en -implementatie beschrijft volwassenheidsniveau 3 als volgt:
- De organisatie heeft een gestructureerde aanpak voor interne ontwikkeling en aanschaf van software ingevoerd.
- Er zijn verplichte standaarden voor veilig coderen bepaald. Security by design, privacy by design en privacy by default worden geborgd door richtlijnen en standaarden.
- Voor elke nieuwe ontwikkeling of aanschaf is goedkeuring nodig van het juiste niveau van het school- of IT-management.
- De methodiek voor toetsing van softwarekwaliteit bevat verplichte ‘mijlpalen voor informatiebeveiliging’ (met inbegrip van risicobeoordeling, broncodebeoordeling en tests) die niet kunnen worden omzeild. Deze worden gedocumenteerd.
- Bewustwordingstraining voor beveiliging wordt op vrijwillige basis gevolgd.
Hoe ga je aan de slag met Norm SD.01?
Wat doet Cloudwise?
Bij Cloudwise staat veilig software ontwikkelen centraal. We hanteren een duidelijke en herhaalbare werkwijze waarbij beveiliging, privacy en kwaliteit in elke fase van het ontwikkelproces zijn ingebouwd. Zo zorgen we ervoor dat nieuwe functies en applicaties verantwoord worden ontwikkeld en geen onnodige risico’s met zich meebrengen.
Cloudwise hanteert duidelijke richtlijnen voor veilig coderen (secure coding policy). We volgen onder andere de OWASP Top 10, werken met codereviews volgens het vierogenprincipe, maken gebruik van geautomatiseerde tests en laten jaarlijks pentests uitvoeren. Beveiligingseisen en broncodes worden periodiek geëvalueerd. Deze controles vormen vaste beveiligingsmijlpalen binnen onze ontwikkelstraat (OTAP) en kunnen niet worden overgeslagen.
Security by design, privacy by design en privacy by default zijn standaard onderdelen van onze ontwikkelaanpak. Dat betekent dat beveiligings- en privacyaspecten al vanaf het eerste ontwerp worden meegenomen en in elke stap worden herbeoordeeld.
Tijdens de ontwikkelcyclus werken we met vaste, verplichte controlemomenten. Per wijziging leggen we vooraf vast wat we toetsen en hoe. We voeren risicobeoordelingen uit, doen onafhankelijke codereviews en technische tests. Alle uitkomsten worden vastgelegd zodat we kunnen aantonen wat is getest en niets kan worden overgeslagen.
Cloudwise stimuleert medewerkers om bewustwordingstrainingen over beveiliging te volgen, zodat iedereen die bij ontwikkeling betrokken is goed op de hoogte blijft van actuele risico’s, best practices en veilige werkmethoden.
Door deze werkwijze garandeert Cloudwise dat software veilig, verantwoord en volgens een voorspelbare methode wordt ontwikkeld, van eerste ontwerp tot daadwerkelijke implementatie.
Aangezien de meeste onderwijsorganisaties zelf geen software ontwikkelen, ligt de focus van deze norm volledig op de veilige implementatie en configuratie van software binnen de eigen organisatie-infrastructuur.
De verantwoordelijkheid voor het formeel vastleggen en uitvoeren van het implementatieproces (zoals het testen van nieuwe functionaliteiten, het beoordelen van privacy-impact en de uiteindelijke ingebruikname) valt buiten de dienstverlening van Cloudwise. Als verwerkingsverantwoordelijke is de onderwijsorganisatie zelf verantwoordelijk voor het borgen van een methodiek die een veilige implementatie garandeert.
Fasering
- Fase 4 - Verfijnen
Domein
- IB Domein 8 - Systeemontwikkeling
Dienst
- Informatiebeveiliging
Normfocus
- De techniek op orde
Verantwoordelijkheid
- Leverancier & onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
