Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SM.01 Beveiligingsbaselines
Beveiligingsbaselines en richtlijnen voor IT-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot IT-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding. De verantwoordelijke IT-medewerkers worden hiervan op de hoogte gesteld. Ingevoerde beveiligingsinstellingen voor IT-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.
Volwassenheidsniveau 3 met betrekking tot norm SM.01
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SM.01 Beveiligingsbaselines beschrijft volwassenheidsniveau 3 als volgt:
- Beveiligingsbaselines zijn gedefinieerd, goedgekeurd door het schoolbestuur of de schoolleiding en gecommuniceerd naar verantwoordelijk IT-medewerkers.
- De ingevoerde beveiligingsinstellingen voor IT-middelen worden periodiek gecontroleerd op overeenstemming met de beveiligingsbaselines.
- Resultaten worden gedocumenteerd, afwijkingen worden gedocumenteerd en goedgekeurd (of gecorrigeerd).
- Voor nieuwe IT-infrastructuurcomponenten en projectmanagementprocessen wordt implementatie van beveiligingsbaselines afgedwongen.
- Periodiek wordt aan het schoolbestuur of de schoolleiding gerapporteerd in hoeverre aan de baseline wordt voldaan.
Hoe ga je aan de slag met Norm SM.01?
Wat doet Cloudwise?
Het vaststellen van beveiligingsbaselines en het informatiebeveiligingsbeleid is de verantwoordelijkheid van het schoolbestuur als eigenaar van de IT-omgeving en verwerkingsverantwoordelijke voor de gegevens. Het schoolbestuur bepaalt de beveiligingskaders en ziet erop toe dat deze binnen de organisatie worden toegepast.
Cloudwise ondersteunt onderwijsinstellingen door IT-omgevingen initieel in te richten op basis van gestandaardiseerde en beveiligde blauwdrukken. Deze blauwdrukken bevatten vooraf gedefinieerde beveiligingsinstellingen en configuraties voor de IT-infrastructuur, waarmee een veilige basis wordt gelegd voor het gebruik van systemen en diensten.
Gedurende de looptijd van de dienstverlening kunnen configuraties en instellingen wijzigen door changes of aanvullende wensen van de onderwijsinstelling. Hierdoor kan de feitelijke inrichting van de omgeving afwijken van de oorspronkelijke blauwdruk. Wanneer een onderwijsinstelling een actueel overzicht wil van de huidige inrichting en de mate waarin deze nog overeenkomt met de oorspronkelijke baseline, kan Cloudwise hierbij ondersteunen via IT-consultancy.
Indien aangesloten vormt COOL Manage daarnaast een vertrekpunt voor de technische inrichting van Cloudomgevingen. Binnen COOL Manage wordt de technische inrichting vormgegeven, die aanvullend zal worden overgenomen door de aangesloten Clouddiensten.
De verantwoordelijkheden met betrekking tot informatiebeveiliging en configuratiebeheer zijn vastgelegd in de dienstverleningsovereenkomst en verwerkersovereenkomst. Hiermee blijft het schoolbestuur verantwoordelijk voor het vaststellen van beleid en beveiligingsbaselines, terwijl Cloudwise zorgdraagt voor een veilige initiële inrichting en ondersteuning bij de technische uitvoering.
Alle normen van Domein 11: Securitymanagement
- SM.01 Beveiligingsbaselines
- SM.02 Authenticatiemechanismes
- SM.03 Mobiele apparaten en telewerken
- SM.04 Logging systeemactiviteiten
- SM.05 Testen, inspectie en toezicht beveiliging
- SM.06 Patchmanagement
- SM.07 Threat- en vulnerabilitymanagement
- SM.08 Beschikbaarheid en bescherming infrastructuur
- SM.09 Onderhoud van de infrastructuur
- SM.10 Cryptografisch sleutelmanagement
- SM.11 Netwerkbeveiliging
- SM.12 Beheersing van malware-aanvallen
- SM.13 Bescherming van beveiligingstechnologie
Fasering
- Fase 2 - Ontwikkelen
Domein
- IB Domein 11 - Security Management
Dienst
- Informatiebeveiliging
Normfocus's
- De techniek op orde
- Uitgebreide beveiliging
Verantwoordelijkheid
- Leverancier & onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
