Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SM.06 Patchmanagement
Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.
Installeer je patches of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de IT-infrastructuur van je school te verkrijgen.
Volwassenheidsniveau 3 met betrekking tot norm SM.01
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SM.06 Patchmanagement beschrijft volwassenheidsniveau 3 als volgt:
- Er is een formeel vastgelegd beleid voor patchmanagement.
- Patchmanagement is op organisatieniveau ingevoerd en gedocumenteerd, in lijn met changemanagement.
- Patches worden in de basis overgenomen in samenwerking met CSIRT.
- IT-medewerkers checken handmatig de patchlevels van besturingssystemen, databases en applicaties.
Hoe ga je aan de slag met Norm SM.06?
Wat doet Cloudwise?
Cloudwise hanteert het OTAP-proces voor patchmanagement om verstoringen in de productieomgeving zoveel mogelijk te beperken. In het vervolg worden de processen per dienst uitgelegd.
Werkplekken
De werkplekken van de klant worden beheerd via ons product Manage. In Manage wordt er gebruikt gemaakt van automatische updates voor de werkplekken. Deze worden standaard direct gedownload zodat de werkplekken ook automatisch updaten naar de laatste versie.
Naast het bijwerken van de systemen vindt er ook monitoring plaats op systemen die mogelijk verouderd zijn en niet meer zullen updaten naar een laatste versie. Deze informatie wordt op het dashboard van Manage weergegeven.
COOL Portaal.
Het COOL-portaal is opgebouwd uit verschillende onderdelen. Hieronder volgt een overzicht van deze componenten.
- Startportaal
- Admin
- Manage
- Focus
Deze componenten worden binnen Azure beheerd, waarbij wij als Cloudwise het updatebeleid van Previder volgen.
Net als alle andere backend-systemen worden ook deze onderhouden door Previder.
Infrastructuur
Voor het actualiseren van de door Cloudwise beheerde netwerkomgeving hanteren wij een updateprocedure die eerst wordt toegepast in een testomgeving. Cloudwise waarborgt hiermee dat de productieomgeving niet wordt belast door eventuele fouten die uit een update kunnen voortvloeien.
Na beoordeling en goedkeuring wordt de update zorgvuldig en gestructureerd uitgerold op cloud-managed netwerkcomponenten. In eerste instantie vindt implementatie plaats binnen een beperkt deel van de productieomgeving. Zodra deze omgeving stabiel functioneert, wordt de update gefaseerd toegepast: eerst op één helft van de postcodegebieden in Nederland, gevolgd door de andere helft.
Elke maand wordt er een controle uitgevoerd op recente updates, waarbij zorgvuldig de voordelen en nadelen worden geëvalueerd. Updates die als cruciaal worden aangemerkt, worden vervolgens zo spoedig mogelijk geïmplementeerd.
Informeren
Klanten worden doorgaans twee weken vooraf op de hoogte gebracht van geplande updates. Voor kleinere updates die enkel betrekking hebben op bugfixes, informeren wij de klant niet apart. Door deze aanpak vermijden wij overmatige communicatie, waardoor klanten relevante update-informatie blijven volgen. Bij kritieke updates ontvangen klanten direct een mailing met details over de geplande uitvoering.
Alle normen van Domein 11: Securitymanagement
- SM.01 Beveiligingsbaselines
- SM.02 Authenticatiemechanismes
- SM.03 Mobiele apparaten en telewerken
- SM.04 Logging systeemactiviteiten
- SM.05 Testen, inspectie en toezicht beveiliging
- SM.06 Patchmanagement
- SM.07 Threat- en vulnerabilitymanagement
- SM.08 Beschikbaarheid en bescherming infrastructuur
- SM.09 Onderhoud van de infrastructuur
- SM.10 Cryptografisch sleutelmanagement
- SM.11 Netwerkbeveiliging
- SM.12 Beheersing van malware-aanvallen
- SM.13 Bescherming van beveiligingstechnologie
Fasering
- Fase 1 - Inrichten
Domein
- IB Domein 11 - Security Management
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
