Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SM.04 Logging systeemactiviteiten
Eisen voor logging zijn gedefinieerd op basis van monitoring- en rapportagebehoeften en ingevoerd in systemen, databases en netwerkcomponenten. Logs worden periodiek beoordeeld op indicaties van ongepaste of ongebruikelijke activiteiten en er worden adequate follow-upacties gedefinieerd. Bewaartermijnen van logs en toegangsrechten zijn in lijn met de vereisten van de school.
Volwassenheidsniveau 3 met betrekking tot norm SM.04
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SM.04 Logging systeemactiviteiten beschrijft volwassenheidsniveau 3 als volgt:
- Eisen voor logging zijn formeel vastgelegd. De procedures en toegepaste technieken voor het onderhouden, opslaan en evalueren van logging zijn gedocumenteerd, formeel vastgelegd, en gebaseerd op een risicoanalyse.
- De procedure is volgens de vereisten vastgesteld door de school.
- Het loggen van ongebruikelijke activiteiten en incorrecte of gebrekkige logging wordt gedocumenteerd, geanalyseerd en opgevolgd met gepaste maatregelen.
Hoe ga je aan de slag met Norm SM.04?
Wat doet Cloudwise?
Het opstellen van beleid met betrekking tot logging is de verantwoordelijkheid van de klant. De opvolging van logging binnen de cloudomgeving valt –tenzij anders overeengekomen – niet binnen de standaard dienstverlening van Cloudwise.
Cloudwise hanteert een formeel logbeleid voor onze portalen, waaronder COOL. Dit omvat onder andere logging binnen Cool Sync. Zo worden bijvoorbeeld het aanmaken en wijzigen van gebruikers vastgelegd, evenals alle handelingen met componenten die onder Cool Sync vallen.
Deze logbestanden, ook wel “audit trail” genoemd, bewaren we intern voor onderzoek en om verbeteringen door te voeren. Ze zijn bovendien nuttig bij het oplossen van problemen. We delen deze informatie niet standaard met klanten; zij kunnen er alleen op verzoek toegang toe krijgen.
Naast de registratie van activiteiten binnen Cool Sync wordt tevens logging toegepast op de cloudomgevingen van klanten. Dit omvat onder andere het aanmaken en wijzigen van gebruikers, evenals het creëren, aanpassen en verwijderen van bestanden.
Alle normen van Domein 11: Securitymanagement
- SM.01 Beveiligingsbaselines
- SM.02 Authenticatiemechanismes
- SM.03 Mobiele apparaten en telewerken
- SM.04 Logging systeemactiviteiten
- SM.05 Testen, inspectie en toezicht beveiliging
- SM.06 Patchmanagement
- SM.07 Threat- en vulnerabilitymanagement
- SM.08 Beschikbaarheid en bescherming infrastructuur
- SM.09 Onderhoud van de infrastructuur
- SM.10 Cryptografisch sleutelmanagement
- SM.11 Netwerkbeveiliging
- SM.12 Beheersing van malware-aanvallen
- SM.13 Bescherming van beveiligingstechnologie
Fasering
- Fase 1 - Inrichten
Domein
- IB Domein 11 - Security Management
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
