1. Toelichting toetsingskader1. Samenhang met IBP beleid2. Toetsingskader nader bekeken3. Diepgang CMMi

2. Opzet zelfregulering1. Begrippen2. Aanpak

3. Peer review 1. De praktijk

1

Agenda

IBP staat voor InformatieBeveiliging en Privacy

2

Samenhang IBP beleid

3

Samenhang IBP beleid

Risico’s IBP

1. Beleid IBP

2. Mens

3. Architectuur

4. Audit IBP

5. B

eh

ee

r IB

P

4

Toetsingskader nader bekeken

5

Toetsingskader nader bekeken

6a

SURFaudit

• Gebaseerd op ISO 27001/27002

• Vraagstelling:Op welk volwassenheidsniveau (CMMi) zit de instelling voor deze norm?

• Scope: focus op centrale en/of decentrale dienstverlening

• Beoordeling: voor organisatie als geheel (rapportcijfer) niet voor extremen aan onder of bovenkant.

6b

SURFaudit

• SURFaudit is ook een weergave van de risico’s Een laag volwassenheidsniveau kan betekenen dat de onderwijsorganisatie grote risico’s loopt.

• BIV classificatieWordt door proces- of systeemeigenaren uitgevoerd

• Bijvoorbeeld Integriteit:

laag: application controls en business rules

midden: ac/br plus manual controls

hoog: ac/br/mc plus 4 ogen principe en verbandcontroles

CA

7

Diepgang CMMi

Opzet:

Bestaan:

Werking:

Vaststellen dat er beheersmaatregelen aanwezig zijn die waarborgen dat er een continue, integere en exclusieve IT-dienstverlening omtrent de in scope zijnde diensten is. Tevens vaststellen in hoeverre deze beheersmaatregelen schriftelijk zijn vastgelegd.

Vaststellen dat de in opzet beschreven beheersmaatregelen op het moment van onderzoek ook in de praktijk zijn geïmplementeerd.

Dagelijks toepassen van het informatiebeveiligingsbeleid door zowel de beheerders als door de overige medewerkers.

8

Diepgang CMMi

CMMi Diepgang en verder

Level 1: Initial Ad hocLevel 2: Repeatable Opzet en bestaan Level 3: Defined WerkingLevel 4: Managed Binnen PDCA cyclusLevel 5: Optimizing Toekomst bestendig

9

Samenhang CMMi en diepgang

10

Opzet zelfregulering: begrippen

Wat is informatiebeveiliging?Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf.

11

Wat is privacy en wat zijn persoonsgegevens?

PrivacyHet recht op een persoonlijke levenssfeer, rust, vrijheid van de hinder van anderen.PersoonsgegevensGegevens over een geïdentificeerde of identificeerbare natuurlijke persoon. Deze gegevens gaan ofwel direct over iemand, ofwel zijn naar deze persoon te herleiden.

Opzet zelfregulering: begrippen

12

Opzet zelfregulering: begrippen

Audit: het controleren van de organisatie met als doel het verschaffen

van (additionele) zekerheid aan de opdrachtgever (auditée) of derden (maatschappelijk verkeer)

IT-audit: het beoordelen van de automatisering van de organisatie en de

organisatie van de automatisering

Peer review: collegiale toetsing of onderlinge toetsing is een methode

om de kwaliteit van (geschreven) werk te verbeteren, verifiëren of controleren door het werk te onderwerpen aan de kritische blik van een aantal gelijken (Engels: peers), meestal vakgenoten of collega's van de auteur

13

Opzet zelfregulering: begrippen

14

Opzet zelfregulering

15

Opzet zelfregulering aanpak

2. Peer review

4.External

Audit

(externe)waarde

volgorde

1. Self-assessment

3.Peer audit

5.ISO certificate

ISAE3402

16

SURFaudit normenkader

SURFaudit

17

SURFaudit tools

Meedoen met de benchmark houdt in dat de instelling een Coable account heeft om de

normen uit te vragen.

Er zijn ook instellingen die zelf een ander tool gebruiken en de uitkomsten daarvan in

Coable invullen tbv de benchmark.

18

Opzet zelfregulering aanpak

2. Peer review

4.External

Audit

(externe)waarde

volgorde

1. Self-assesment

3.Peer audit

5.ISO certificate

ISAE3402

1. Peer review teams worden samengesteld2. Scope van de peer review wordt bepaald3. Peer review wordt voorbereid op basis van

aangeleverde documenten4. Peer review wordt ter plaatse uitgevoerd. Maturity level

wordt gecontroleerd middels documenten-controle en interviews.

5. Bevindingen en aanbevelingen wordt verwoord in een Peer review rapport

19

Opzet peer review

20

Peer review, de praktijk

• Gehanteerde scope (o.a. centrale / decentrale informatievoorziening)

• Gehanteerde normenkader: SURFaudit (vooral ISO27001 / ISO27002)

• Aantoonbaarheid door ‘evidence’

• Wijze van scoren / beoordelen CMM-maturity model

• Opzet / Bestaan / Werking

• Is de Security Officer een Auditor?

20

SURF audit 2015

cluster HO

2011

HO

2013

HO

2015

MBO

2015

Totaal 2.0 2.2 2.4 1.9

1 Beleid en organisatie 2.0 2.2 2.4 1.7

2 Personeel, gasten, studenten 2.1 2.2 2.1 1.7

3 Ruimtes en apparatuur 2.0 2.4 2.7 2.1

4 Continuïteit 2.3 2.4 2.6 2.0

5 Toegangsbeveiliging en integriteit 2.1 2.2 2.4 2.0

6 Controle en logging 1.5 2.0 2.2 1.6

21

Tot slot: