Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.
Terug naar normen
Naar de normenkaderwijzer >>
Normbeschrijving Kennisnet
SM.08 Beschikbaarheid en bescherming infrastructuur
Interne beheers-, beveiligings- en auditmaatregelen worden ingevoerd tijdens configuratie, integratie en onderhoud van hardware en infrastructuursoftware met het doel om middelen te beschermen en beschikbaarheid en integriteit te waarborgen. Verantwoordelijkheden voor het gebruik van gevoelige infrastructuurcomponenten zijn duidelijk gedefinieerd en bekend bij degenen die infrastructuurcomponenten ontwikkelen en integreren. Het gebruik ervan wordt gecontroleerd en geëvalueerd.
Volwassenheidsniveau 3 met betrekking tot norm SM.08
Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm SM.08 Beschikbaarheid en bescherming infrastructuur beschrijft volwassenheidsniveau 3 als volgt:
- Er is een helder gedefinieerd en door iedereen begrepen proces voor de bescherming en beschikbaarheid van de IT-infrastructuur.
- De procesbeschrijving is in lijn met de vereisten van de school en goedgekeurd door het bestuur.
- De verantwoordelijkheden voor het gebruik van gevoelige componenten van de infrastructuur zijn gedefinieerd en begrepen door de ontwikkelaars van infrastructuurcomponenten en degenen die ze implementeren.
- Het testen betreft onder meer de functionaliteit, beveiliging, beschikbaarheid en integriteit, en eventueel andere aanbevelingen van de leverancier.
- Test- en productieomgevingen van de IT-infrastructuur zijn van elkaar gescheiden.
- Alle applicatiesoftware wordt voor installatie getest in een gescheiden maar vergelijkbare omgeving van productie. De installatie van software met een licentie wordt gedaan volgens richtlijnen van de leverancier.
Hoe ga je aan de slag met Norm SM.08?
Wat doet Cloudwise?
Infrabeheer
Cloudwise integreert infrastructuurbeheer binnen een cloud managed omgeving. Deze omgeving is beveiligd door middel van VPN en multi-factor authenticatie (MFA). Daarnaast worden Role-Based Access Control (RBAC) en Identity and Access Management (IAM) toegepast om de veiligheid en het toegangsbeheer verder te optimaliseren.
Patches en firmware upgrades
Om de betrouwbaarheid van de infrastructuur te waarborgen, voeren wij nieuwe patches en firmware eerst uitgebreide interne tests uit. Hierdoor voorkomen we dat de productieomgeving van de klant wordt belast met updates die mogelijk bugs bevatten. Deze tests vinden plaats in een testomgeving die representatief is voor klantomgevingen, waarbij wij het OTAP-proces (Ontwikkeling, Test, Acceptatie, Productie) hanteren.
Patches en firmware-updates worden ingedeeld in regulier, beveiligingspatch en kritieke patch. Reguliere patches worden uitgevoerd volgens een vast schema. Spoed- of beveiligingspatches kunnen, indien de risico’s dit vereisen, buiten het reguliere schema worden toegepast.
Wanneer deze updates plaatsvinden, worden klanten vooraf geïnformeerd over de aard van de patches. In spoedgevallen vindt de communicatie zo snel mogelijk plaats.
Monitoring
Naast het beveiligen van deze omgevingen wordt de beschikbaarheid eveneens bewaakt met behulp van externe monitoringsoftware. Bij eventuele uitval zal daar door de Servicedesk van Cloudwise op geacteerd worden.
Backup
Van productieomgevingen worden op regelmatige basis back-ups gemaakt, die bij ons worden opgeslagen in een beveiligde en afgesloten omgeving.
Alle normen van Domein 11: Securitymanagement
- SM.01 Beveiligingsbaselines
- SM.02 Authenticatiemechanismes
- SM.03 Mobiele apparaten en telewerken
- SM.04 Logging systeemactiviteiten
- SM.05 Testen, inspectie en toezicht beveiliging
- SM.06 Patchmanagement
- SM.07 Threat- en vulnerabilitymanagement
- SM.08 Beschikbaarheid en bescherming infrastructuur
- SM.09 Onderhoud van de infrastructuur
- SM.10 Cryptografisch sleutelmanagement
- SM.11 Netwerkbeveiliging
- SM.12 Beheersing van malware-aanvallen
- SM.13 Bescherming van beveiligingstechnologie
Fasering
- Fase 1 - Inrichten
Domein
- IB Domein 1 - Bestuur
Dienst
- Informatiebeveiliging
Normfocus
- Visie, beleid en organisatie
Verantwoordelijkheid
- Onderwijsorganisatie
Een compleet pakket aan dienstverlening
Cloudwise helpt het onderwijs vooruit
We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.
Visie, beleid en organisatie
De menselijke factor
Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.
De techniek op orde
Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.
Uitgebreide beveiliging
Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.
Digitaal Veilig Onderwijs
Aan de slag met Privacy & Security?
Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.
