Informatiebeveiligingsplan SOML 2018

Transcriptie

1 Informatiebeveiligingsplan SOML 2018 Status: Geaccordeerd door de Regiegroep ICT van SOML Leon van Lare RI 21 juni 2018

2 Inhoudsopgave - Informatiebeveiligingsplan SOML 2018 Rapportage Achtergronden... 3 Inleiding... 3 Het doel van informatiebeveiliging in het kort... 3 Introductie Informatiebeveiliging... 3 Doelstelling Informatiebeveiligingsplan... 5 Projectgrenzen... 5 Kwaliteit / ISMS... 5 Organisatie... 5 Functies benoemen... 5 Rapportage en verantwoording... 5 Het gevolgde proces... 6 Vaststellen beleidsuitgangspunten stap Opstellen risicoprofiel stap Management rapportage stap Aanbevelingen... 9 Opvolging... 9 Bijlagen Extra informatie Beschrijving uitgewerkt risicoprofiel...10 Opstellen risicoprofiel...10 Vaststelling van het basisbeveiligingsniveau (BBN)...11 Uitwerking Risicomatrix t.b.v. de management rapportage Risicoanalyse Informatiebeveiligingsplan SOML

3 Achtergronden Inleiding De definitie van informatiebeveiliging is het geheel van corrigerende maatregelen alsmede procedures die de beschikbaarheid en integriteit van alle vormen van informatie binnen een organisatie garanderen. Met als doel de continuïteit van de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te beperken. Het gaat dus om borging van de informatievoorziening door de gevolgen van incidenten te minimaliseren. Dit wordt gedaan door maatregelen te treffen en procedures in te voeren. Een informatiebeveiligingsplan is erop gericht om via een systematische aanpak een passende set van aanbevelingen te doen. De meest gebruikte aanpak (ook best practice genoemd) is die van ISO Hierbij is ISO27001 kader scheppend en ISO27002 de pragmatische uitvoering hiervan. SOML zal ISO27002 hanteren als best practice. Op deze manier is er borging voor het proces. Binnen de gekozen aanpak worden eerst beleidsuitgangspunten geformuleerd t.b.v. informatiebeveiliging. Dit zijn richtlijnen waaraan de beveiliging van informatie binnen de Stichting moet voldoen. Vervolgens kan er een brede risicoanalyse uitgevoerd worden. SOML-breed met input van alle scholen. En om niet een wirwar van risico's te krijgen wordt er gebruik gemaakt van de 10 aandachtsgebieden van informatiebeveiliging. De richtlijnen en aandachtsgebieden tezamen zorgen ervoor dat er een schifting ontstaat van acceptabele en niet-acceptabele risico s. Dit schiftingsproces wordt ook nulmeting of basisbeveiligingsniveau genoemd. Het proces van de risicoanalyse is stap 2 van het informatiebeveiligings-plan en bestaat uit het systematisch verzamelen van risico s, het opstellen van een risicoprofiel en deze vertalen naar een risicomatrix. Als de niet-acceptabele risico's in beeld zijn gebracht via een risico-matrix, kan er gekeken worden naar de te nemen maatregelen. In het plan worden hiervoor als derde en laatste stap aanbevelingen gedaan. Als er consensus is over deze aanbevelingen kunnen er passende maatregelen en procedures worden geformuleerd voor een verbetertraject. Door vervolgens dit hele proces cyclisch in te richten kan men van een kwaliteitssysteem spreken. Het doel van informatiebeveiliging in het kort Een goede informatiebeveiliging is een belangrijke basis voor de informatiehuishouding binnen SOML. Hierbij speelt ICT een belangrijke rol. Daarnaast is een optimale beveiliging van groot belang voor de nieuwe privacywet, de AVG. De AVG stelt als uitgangspunt privacy by design. Optimale informatiebeveiliging dient aantoonbaar te zijn. Het belangrijkste doel van dit plan is om een lijst met aanbevelingen op te stellen ter verbetering van de informatiebeveiliging binnen SOML. Daarnaast moet dit document inzicht geven in het doorlopen proces via beleidsuitgangspunten en een brede risicoanalyse. Introductie Informatiebeveiliging SOML is een stichting voor voortgezet onderwijs in regio Roermond. Met de stafdienst erbij telt de Stichting 11 locaties. Verder zijn er ruim 8000 leerlingen en ongeveer 900 medewerkers. Binnen de Stichting bevindt zich een enorme hoeveelheid informatie in digitale en papieren vorm. Hierbij is in het verleden binnen een best-effort aanpak beveiliging hoofdzakelijk puur technisch aangepakt. Zag een school in het verleden een verbetering t.a.v. de beveiliging, dan werd deze kort geanalyseerd en opgelost. 3

4 Omdat het hier vaak om (zeer) vertrouwelijke informatie gaat, moet beveiliging vanuit een breder perspectief bekeken worden. Minimaal vanuit de wettelijke kaders (gegevensregistratie BRON, bewaartermijnen, wet op de privacy, enzovoorts). Informatiebeveiliging staat synoniem voor risicomanagement waarbij de focus ligt bij bedrijfscontinuïteit. Informatiebeveiliging heeft 3 algemene doelen: het beschermen van de vertrouwelijkheid van informatie, het waarborgen van de integriteit van informatie en het waarborgen van de beschikbaarheid van informatie. Voor SOML geldt dat informatiebeveiliging een bedrijfsaspect is dat behoort tot het takenpakket van de Manager ICT. Doelstelling is dat de kosten van preventie in balans zijn met de hoogte van de schade die door incidenten kan worden veroorzaakt en dat de te nemen maatregelen niet ten koste gaan van de efficiency van de bedrijfsvoering. Bij de meeste organisaties is er doorgaans geen behoefte aan gespecialiseerde en gecertificeerde informatiebeveiligers, maar meer aan een pragmatisch ingestelde functionaris die de risico s bepaalt en hierop passende maatregelen definieert. ISO zal als norm gebruikt worden. Bedenk ook dat 100% beveiliging niet mogelijk is en doorgaans ook niet gewenst. Als een schoollocatie bijvoorbeeld een redundante glasvezelverbinding heeft, kunnen beide lijnen tegelijkertijd stoppen te functioneren. Moet er dan een derde verbinding gerealiseerd worden? ISO wordt vaak als optimale aanpak gezien. De AutoriteitPersoonsgegevens, Kennisnet en de VO-raad zien enkel ISO27002 als acceptabele best practice. De AVG gaat uit van privacy by design en eist dat organisaties kunnen aantonen aandacht te hebben besteed aan privacy verhogende maatregelen. De kern van ISO is dat: A. Er balans is tussen bedrijfsuitgangspunten, risico s en best practices, waardoor een basisbeveiligingsniveau gedefinieerd kan worden; B. Er sprake is van een systeem (beleid, planning, uitvoering en control) en niet van een willekeurige set van projecten en maatregelen. Precies hieraan schort het vaak in middelgrote organisaties; er worden wel maatregelen getroffen, maar van balans en inbedding is geen sprake. Organisaties kunnen bovendien tegenwoordig desgewenst op basis van ISO27001 gecertificeerd worden. Dit plan streeft naar hoge kwaliteit door de ISO-norm te gebruiken, maar gaat niet uit van daadwerkelijke certificering. Meer informatie over ISO27002 is te vinden in de bijlagen. 4

5 Doelstelling Informatiebeveiligingsplan Het vaststellen van de beleidsuitgangspunten, het maken van een risicoanalyse van de informatiesystemen binnen SOML, het opstellen van een basisbeveiligingsniveau (BBN) en het maken van een lijst van aan te bevelen maatregelen t.b.v. de informatiebeveiliging. Projectgrenzen Dit project beperkt zich tot de beveiliging van informatiesystemen, die binnen SOML ondersteund worden. Informatiesystemen zoals o.a. papieren archieven, postverwerking horen hier impliciet ook bij. Verder dient men zich te realiseren dat het gaat om een reële beschrijving/inventarisatie van de huidige situatie en niet om een geïdealiseerde of gewenste situatie. Kwaliteit / ISMS Het gegeven dat ISO27002 als norm gebruikt wordt geeft een hoge mate van garantie van kwaliteit voor dit project. Desgewenst is voor deze ISO-norm een officiële certificering mogelijk. Deze is echter duur en tijdsintensief. Doordat collega s op meerdere locaties van SOML meegenomen zijn in de risicoanalyse wordt draagvlak gecreëerd voor dit plan. SOML wenst deze opzet cyclisch in te richten (bijvoorbeeld na 2 jaar licht herzien en 2 jaar later volledig herzien). Dan is er ook sprake van een kwaliteitssysteem. Bij informatiebeveiliging heet de opzet van een cyclisch ingericht informatiebeveiligingsproces een ISMS (Information Security Management System). Organisatie Functies benoemen Stuurgroep: College van Bestuur en Regiegroep ICT Uitvoering: Projectleider: Manager ICT Risicoanalyse-gesprekken: ICT Consulenten Ondersteuning: diverse collega s SOML (interviews) Rapportage en verantwoording Tussentijds is er over de voortgang van dit plan mondeling gerapporteerd aan de stuurgroep. Dit traject is gestart in september De kosten die dit plan met zich mee brengen bestaat uit werktijd van collega s. De Manager ICT heeft reeds diverse cursussen over dit vakgebied gevolgd, heeft dit traject reeds eerder doorlopen en heeft dientengevolge voldoende kennis en vaardigheid om dit project aan te sturen. 5

6 Het gevolgde proces Onderstaande schema geeft het stappenplan aan dat gevolgd is. beleidsuitgangspunten risico inventarisatie eisen/normering maatregelen volgende cyclus Vaststellen beleidsuitgangspunten stap 1 Met de beleidsuitgangspunten t.b.v. informatiebeveiliging worden drie doelstellingen gerealiseerd: Duidelijkheid verschaffen aan stakeholders hoe SOML omgaat met informatiebeveiliging. Handvatten bieden aan de planningsfunctie om gepaste maatregelen te definiëren en te plannen. Duidelijk maken aan (interne en externe) auditors welk belang SOML toekent aan de verschillende aandachtgebieden binnen de informatiebeveiliging. Onderstaand de door de Regiegroep ICT samengestelde lijst van beleidsuitgangspunten van SOML: 1. Informatiebeveiliging is een belangrijk bedrijfsrisico voor SOML. Het bestuur stelt daarom het beleid vast, beoordeelt de risico s, stelt de maatregelen vast en laat periodiek de werking van het beleid en de naleving van deze maatregelen beoordelen om te borgen, dat het informatiebeveiligings-methodiek blijvend adequaat werkt en waar nodig verbeterd wordt. 2. SOML conformeert zich m.b.t. de informatiebeveiliging aan de van toepassing zijnde wetgeving. 3. SOML streeft er naar om haar dienstverlening continu te verbeteren. 4. De doelstellingen en beheersmaatregelen van de norm NEN-ISO/IEC (ook wel genoemd NEN-ISO 7510, Code voor InformatieBeveiliging (CvIB) of Certificeringsschema ROSA) en de privacy richtsnoeren van de AutoriteitPersoonsgegevens vormen, voor zover zij bijdragen aan de informatiebeveiliging van SOML, het uitgangspunt voor de te definiëren maatregelen. Dit is vooral een bedrijfseconomische afweging. 6

7 5. SOML beschouwt computercriminaliteit als een ongewenst maatschappelijk probleem en ziet het slechts als haar taak om passende maatregelen te nemen om schade ten gevolge van criminele activiteiten zoveel mogelijk te beperken. 6. Vertrouwen is voor SOML een groot goed en zij hanteert naar medewerkers, leerlingen, leveranciers en andere stakeholders het wederkerigheidsprincipe. SOML gaat er vanuit, dat zij afspraken nakomen m.b.t. integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening. 7. Het HRM-beleid is mede gericht op het verbeteren van de integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening bij medewerkers. 8. De fysieke en logistieke beveiliging van de gebouwen en de ruimtes daarin zijn zodanig, dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en gegevensverwerking gewaarborgd zijn. 9. Aanschaf, installatie en onderhoud van informatie- en communicatiesystemen, alsmede inpassing van nieuwe technologieën, moeten zo nodig met aanvullende maatregelen worden uitgevoerd, dat hiermee geen afbreuk wordt gedaan aan de informatiebeveiliging. 10. Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening kan ontstaan. 11. Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om privacy van leerlingen, medewerkers en andere betrokkenen te waarborgen. Hierbij valt bijvoorbeeld te denken aan (veilige) wachtwoorden, versleutelde toegang tot websites, centrale opslag van gegevens, diverse rechten-systemen en tokens. 12. Toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de informatiesystemen, gegevensbestanden en programmatuur van SOML. 13. Gegevensverstrekking extern gebeurt op basis van need to know. Intern is dit niet altijd wenselijk omdat kennisdeling essentieel is voor een kosteneffectieve dienstverlening. 14. SOML en haar medewerkers treffen maatregelen om te voorkomen, dat vertrouwelijke informatie in handen van derden terechtkomt. Er wordt o.a. gebruikt gemaakt van een aantal gedragscodes. 15. Input die vertrouwelijke data bevat, wordt na verwerking op korte termijn gearchiveerd of vernietigd. 16. Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van deze gegevens. 17. Medewerkers moeten ook op afstand een beveiligde toegang hebben tot bedrijfsinformatie. Dit gebeurt via versleutelde toegang via internet. 18. SOML maakt gebruik van gescheiden omgevingen. Hierin kunnen specifiek toegangsrechten worden verleend en is monitoring van de toegang mogelijk. Voor zowel vaste als ook draadloze netwerken is een scheiding aangebracht tussen educatief, personeel en gasten/publiek. 19. Het beheer en de opslag van gegevens zijn zodanig, dat (binnen geaccepteerde risico s) geen informatie verloren kan gaan. 20. Er zijn functiescheidingen aangebracht tussen de beheer- en gebruikersorganisatie. Voorts wordt functiescheiding toegepast waar dat mogelijk en wenselijk is. Dit gebeurt in personele, financiële en leerlingvolg-applicaties. 21. Er is een proces om incidenten adequaat af te handelen en hier lessons learned uit te trekken. 22. Er zijn calamiteitenvoorzieningen (o.a. backups en noodstroomvoorzieningen) om de continuïteit van de informatievoorziening te waarborgen. 23. Bij uitbesteding van gegevensverwerking kan het bestuur besluiten om tijdelijk af te wijken van deze beleidsuitgangspunten en de risico s hiervan tijdelijk te accepteren. 24. Genoemde beleidsuitgangspunten gelden voor die gegevensverwerkingen, waarvoor SOML wettelijk en/of contractueel verantwoordelijk is. 7

8 Opstellen risicoprofiel stap 2 De risicoanalyse (zie bijlage 4 Risicoanalyse Informatiebeveiligingsplan SOML ) volgens ISO27002 met als model het stoplichtenmodel levert de volgende overzichtsmatrix op voor SOML: In de tabel staan de 10 risicogebieden van ISO27002 genoemd met bij ieder gebied een kleurcode van de huidige situatie en de toekomstige (gewenste) situatie. De toekomstige situatie is niet volledig groen. Dat hoeft ook niet. Enig risico kan best geaccepteerd worden. Voor een uitgebreide uitleg over het tot stand komen van deze tabel zie bijlage 2. 8

9 Management rapportage stap 3 Het gevolgde proces levert de eindrapportage in dit document op met als afsluiter een lijst met aanbevelingen. De voordelen van deze aanpak zijn: Het management krijgt een overzicht van de bedrijfsrisico s gepresenteerd op een gering aantal A4-tjes, waarop het desgewenst verder (via bijlagen) kan inzoomen. Het proces van informatiebeveiliging is te monitoren en dus bij te sturen in de tijd. Verbeteracties zijn altijd gekoppeld aan onderkende bedrijfsrisico s, waardoor overbodige maatregelen uitgesloten worden en het commitment voor de acties hoog is. Aanbevelingen Op grond van de opgestelde beleidsuitgangspunten en de risicoanalyse (interviews, risicoprofiel, basisbeveiligingsniveau en risicomatrix) worden de onderstaande aanbevelingen voorgesteld: Stel een SOML-breed beveiligingsbeleid op t.a.v. het gebruik van BYOD Start om efficiënt en effectief te beveiligen een project om de publieke domeinnaamservices (DNS) binnen SOML te centraliseren Onderzoek of het intranet van SOML beter te beveiligen is Investeer in verbetering van het ICT kennis- en vaardigheidsniveau van het personeel Zorg voor een goede regulering bij het publiceren van beeldmateriaal van leerlingen Stel voor specifieke pc s voor aansturing (bijvoorbeeld gebouwbeheersystemen en informatieborden) de voorlaatste Windows-hoofdversie als minimale norm. Onderzoek of en welke vervolgstappen met meervoudige authenticatie wenselijk is. Verplicht het gebruik van een wachtwoord op de hardware-instellingen (BIOS) van alle desktop-pc s en op de beheerinterfaces van de netwerkprinters Onderzoek de noodzaak tot het afschermen van de commando-optie (de Powershell) binnen Windows Onderzoek en optimaliseer het gebruik van (anonieme) groepsaccounts Blijf investeren in de bekendheid met ICT-beleid, beveiliging en privacy Opvolging Op 21 juni 2018 was er binnen de Regiegroep ICT consensus over dit Informatiebeveiligingsplan. Voor de aanbevolen maatregelen worden verbeteracties opgesteld (en gemonitord door de regiegroep). Het plan kan gepubliceerd worden op het intranet. De uitgewerkte risicoanalyse kan desgewenst opgevraagd worden bij de Manager ICT. 9

10 Bijlagen 1. Extra informatie Over CvIB en ISO Artikelen over ISO Risicoanalyse technieken Kennisnet over IBP Over Certificeringsschema IBP ROSA 2. Beschrijving uitgewerkt risicoprofiel Opstellen risicoprofiel De risicoanalyse volgens ISO27002 (met de 10 risicogebieden) met als risicoanalysemethode het stoplichtenmodel levert voor SOML de volgende overzichtsmatrix op: Gebruikte methode risicoprofiel: stoplichtmethode Het risico profiel kan op meerdere wijzen worden samengesteld. In ieder geval kan het door betrokkenen te interviewen. Vervolgens kunnen er diverse methodieken voor de uitwerking worden gebruikt. Te denken valt aan Cramm, de A&K-analyse (behorend bij het VIR) of aan methodieken met een meer bedrijfsmatige invalshoek zoals SARA. Deze methodieken hebben als nadeel dat zij meestal behoorlijk tijdrovend zijn, relatief duur zijn en allemaal een ingewikkelde tool bevatten, dat een diarree aan maatregelen produceert om de risico s af te 10

11 NOODZAAK dekken. Als zo n tool niet wordt gebruikt, dan zal de risicoanalyse niet aansluiten bij de ISOnorm. SPRINT (van het ISF) is ook een zeer acceptabele aanpak voor deze risicoanalyse. Het voordeel van het stoplichtmodel echter is dat het een visuele weergave biedt waardoor het mogelijk wordt om in een stapsgewijze verbetering het beveiligingsniveau van de organisatie te verhogen. Op deze manier kan zicht worden verkregen op de status van het risicomanagement en wordt de besluitvorming overzichtelijk. Na het bepalen van de beleidsuitgangspunten is er dus een risicoprofiel opgesteld. Dit is dus gedaan aan de hand van het stoplichtmodel. Dit model volgt de ISO doelstellingen. Daarnaast biedt het model de mogelijkheid de maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden. Vaststelling van het basisbeveiligingsniveau (BBN) Nadat de beleidsuitgangspunten zijn vastgesteld en een risicoanalyse is gemaakt, is het proces nog niet toe aan de formulering van aanbevelingen. Uiteindelijk zullen de aanbevolen maatregelen er ook niet voor hoeven te dienen om de risicoanalyse volledig groen te laten worden. Er zijn bijna altijd risico s die geaccepteerd kunnen worden. De toekomstige kolom hoeft dus zeker niet volledig groen te zijn. Bij het vaststellen van het basisbeveiligingsniveau wordt gekeken hoe hoog de lat gelegd moet worden voor SOML. Op deze manier dient het basisbeveiligingsniveau als een soort filter over de risicoanalyse, waardoor bepaald kan worden over welke onderdelen een aanbeveling gemaakt dient te worden. Voor risico s die (voldoende) geaccepteerd worden hoeven geen maatregelen genomen worden. Uitwerking Ernst en noodzaak toegelicht Het risicoprofiel wordt weergegeven in kleuren op basis van twee variabelen. De eerste variabele is de noodzaak om de doelstelling te bereiken zoals deze is ingeschat door het management en bepaalt in welke mate de organisatie hiervan afhankelijk is. De tweede variabele is de ernst of kwetsbaarheid zoals deze is ingeschat door de onderzoeker. Voorbeeld: Op een schoollocatie is de serverruimte gelegen achter een receptiebalie en is doorgaans niet afgesloten. Het zou beter zijn deze standaard afgesloten te hebben. Leerlingen die te gemakkelijk toegang hebben tot de serverruimte bieden een ernstig risico. Het gaat echter al jaren goed en de toezicht bij de receptie is goed. Daardoor is de noodzaak om hier snel wat aan te doen niet heel erg hoog. Score zou typisch kunnen zijn 1.4 (of op zijn slechts 2.4, naar gelang de precieze situationele inschatting). Schema noodzaak/ernst: ERNST 11

12 Risicotabellen De kleuren van het (bovenstaande) risicoprofiel worden gedestilleerd uit de uitgebreide risicotabellen, zoals deze zijn opgesteld tijdens de diverse interviews. De meest negatieve kleur in een risicogebied bepaalt voor dat gebied de kleur die wordt meegenomen naar het risicoprofiel. Hieronder de gebruikte risicotabellen, maar dan leeg. # Risicogebied Risico Noodzaak/Ernst nu Maatregelen Noodzaak/Ernst toekomst 1 Beveiligingsbeleid Voorbeeld (leeg) Vaststelling van het basisbeveiligingsniveau Bij de vaststelling van het BBN wordt per risico afgewogen of er mogelijk een maatregel gewenst is. Hierbij vormen de beleidsregels de belangrijkste richtlijn. Aan de risicotabel worden de kolommen uitwerking, nodig en status toegevoegd. Via deze kolommen wordt kenbaar gemaakt wat er hoe en of dit risico mee wordt genomen in de fase van de risicomatrix en de maatregelen. 3. Risicomatrix t.b.v. de management rapportage Nadat de risicomatrix is opgesteld kunnen de maatregelen ter advisering worden bepaald. Risicogebied 1. Beveiligingsbeleid Bevindingen en risico s SOML heeft weinig richtlijnen zijn t.a.v. BYOD. Verder loopt SOML risico doordat beter beschermd moet worden via publieke domeinnaaminstellingen. Een project voor centralisering/uniformering publieke DNS is hiervoor noodzakelijk. 2. Beveiligingsorganisatie Het kennis- en vaardigheidsniveau van ICT bij personeel (OP én OOP) is op sommige locaties laag. Verder is het in de praktijk erg lastig om om te gaan met het publiceren van beeldmateriaal van leerlingen. En voor het intranet van SOML moet onderzocht worden of het niet beter te beveiligen is. 3. Classificatie en beheer van bedrijfsmiddelen Binnen SOML wordt nog gebruik gemaakt van Windows XP. In gebouwbeheersystemen en bij aansturing van infoborden. Hoewel dit uitzonderingen zijn zouden dit soort specifieke Windows-systemen minimaal versie 7 moeten gebruiken. 4. Personele beveiligingseisen Voor dit risicogebied zijn geen opmerkingen. Er zijn geen specifieke maatregelen noodzakelijk. 5. Fysieke- en omgevingsbeveiliging 6. Beheer van communicatie en bedieningsprocessen Hoewel er de verplichting is om Google2FA (softwaretoken) te gebruiken door docenten voor de LVS-en wordt dit mogelijk niet voldoende strikt opgevolgd. Verder loopt SOML risico doordat er soms geen wachtwoorden op de BIOSen van de pc's staan. Hetzelfde geldt voor de gebruikersinterfaces van de netwerkprinters. SOML accepteert de risico's van de enkel uitgevoerde glasvezelverbindingen. SOML accepteert de risico's bij het gebruik van Google als public cloud platform. Verder zijn er voor dit risicogebied geen specifieke maatregelen noodzakelijk. 12

13 7. Toegangsbeveiliging Vanuit ICT moet er met IT-Workz overlegd worden over het beter afschermen van de zogenaamde Powershell. Onderzoek is wenselijk naar de inzet van anonieme of groepsaccounts op het SOML-netwerk. 8. Onderhoud en ontwikkeling van informatiesystemen Het is voor SOML (en heel onderwijsland) lastig om goed vorm te geven aan 'ICT en Onderwijs'. Dit moet in principe bottom up gebeuren, maar centrale hulp is mogelijk wenselijk. Er zijn verder geen maatregelen noodzakelijk. 9. Bedrijfscontinuïteitsbeheer SOML heeft een calamiteitenplan via het facilitair werkgebied, maar leunt hierbij v.w.b. ICT zwaar op IT-Workz. IT-Workz is de belangrijkste ICTtoeleverancier en heeft een calamiteitenplan. Zij is verder gecertificeerd op ISO27001 en ISAE3400. SOML ziet dit als voldoende borging van de belangrijkste continuïteitsvraagstukken. 10. Naleving Wordt het belang van beleid, beveiliging en privacy wel voldoende benadrukt op de scholen? En is er voldoende borging voor de processen van informatiebeveliging en privacy? SOML gebruikt de best practice van ISO27000 en de methodiek IBP van Kennisnet. Dit geeft voldoende borging waardoor er geen specifieke maatregelen nodig zijn binnen dit risicogebied. 4. Risicoanalyse Informatiebeveiligingsplan SOML De volledige uitwerking van de risicoanalyse is als extra Excel-sheet bijgevoegd. Deze bijlage kan desgewenst opgevraagd worden bij de Manager ICT van SOML. 13