Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen"

Transcriptie

1 Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen Resultaten van de metingen informatiebeveiliging, identity management en security incident management 2008 Een gezamenlijk onderzoek van SURFfoundation en SURFnet. Juni 2009

2 In 2008 zijn landelijk een drietal metingen verricht om te bepalen hoe informatiebeveiliging er voor staat bij het Hoger Onderwijs. De conclusie van de metingen is dat er sprake is van een onvolwassen situatie, met duidelijke kenmerken van groei. Er is sprake van een groeiend bewustzijn van nut en noodzaak van informatiebeveiliging, dat was er al in ICT kringen, en dat wordt in toenemende mate gesteund in management en bestuur. Op de bestuurstafel is het onderwerp echter nog geen gemeengoed. Instellingen moeten zich voorbereiden op toenemende eisen die gesteld gaan worden aan informatiebeveiliging. Die eisen worden enerzijds gesteld door de verschillende toezichthouders, anderzijds door samenwerkingsverbanden die steeds intensiever informatie delen en uitwisselen. Daarnaast neemt de complexiteit van de informatie infrastructuur toe door het vervagen van de grenzen van instellingen en informatiesystemen 1.Ook deze ontwikkeling vraagt om continue aandacht op het gebied van informatiebeveiliging. De belangrijkste kenmerken van informatiebeveiliging in het Hoger Onderwijs in 2008 zijn: Bij veel instellingen ontbreekt een geaccoordeerd kader voor informatiebeveiliging: Er is geen vastgesteld beveiligingsbeleid en de verantwoordelijkheden zijn niet helder of niet duidelijk belegd. In het beveiligingsbeleid dienen de keuzes die een instelling maakt op het gebeid van informatiebeveiliging vastgelegd te worden. De beveiliging van de infrastructuur is redelijk op orde, als is dit bij een aantal instellingen gekoppeld aan een gesloten ICT omgeving. Security Incident Management is bij veel instellingen niet apart ingericht. Hierdoor hebben die instellingen geen inzicht in het aantal security incidenten en gebeurt de afhandeling op ad hoc basis. Identity management staat bij veel instellingen aan het begin van de ontwikkeling en inrichting. Identity Management is een basis faciliteit voor het beheersbaar en controleerbaar omgaan met toegang tot informatie. De metingen van 2008 zullen worden gecombineerd en voortgezet onder de noemer SURFaudit, waarbij vanaf 2009 ook een norm voor het Hoger Onderwijs gehanteerd zal gaan worden. De verwachting is dat vanaf 2010 verschillende toepassingen en samenwerkingsverbanden zullen vereisen dat aan deze normen voldaan wordt. 1 WTR Trendrapport 2008

3 Inleiding Vanuit drie invalshoeken zijn in 2008 metingen verricht aan informatiebeveiliging en informatiebeveiligingsaspecten in het Hoger Onderwijs. Ter stimulering van het gebruik van SURFfederatie is gemeten hoe ver instellingen zijn met de implementatie en inbedding van identity management. Hiervoor is een volwassenheid groeimodel gebruikt dat weergeeft in welk stadium van ontwikkeling een instelling zit. De stand van zaken van de incident respons is gemeten in het kader van het stimuleren van de CERT-vorming, de vorming van Computer Emergency Respons Teams. Voor deze meting wordt een voorloper van een methode gebruikt die in internationaal CERT verband wordt ontwikkeld. De breedte van informatiebeveiliging is gemeten met het 4 aspecten maturity model van Moens, een model dat gebaseerd is op de Code voor Informatiebeveiliging. Aan deze drie metingen is breed deelgenomen. Deze laatste meting is gebruikt om een benchmarkcijfer voor het Hoger Onderwijs te berekenen. De benchmark is gebruikt om onderling te vergelijken en kan gebruikt worden om de ontwikkelingen in de loop der jaren te volgen en te sturen. Dit rapport geeft een verslag van de resultaten van de metingen van Allereerst worden de gebruikte meetmethodes nader toegelicht, vervolgens wordt ingegaan op de resultaten per meting. Daarna wordt ingegaan op de bevindingen en conclusies uit de metingen en ten slotte wordt ingegaan op het vervolg van de metingen in 2009 en daarna. Deelnemende instellingen In de zomer van 2008 zijn de instellingen Hoger Onderwijs middels een brief aan de Colleges en Raden van Bestuur uitgenodigd deel te nemen aan de metingen. Op deze oproep is een goede respons gekomen. Daarnaast zijn ook de contacten in het kader van de aansluiting op SURFfederatie, in het kader van de CERTvorming en de reguliere contacten van SURFnet accountmanagement en SURFibo (SURF Informatie Beveiligers Overleg) gebruikt om instellingen te interesseren deel te nemen aan de metingen. In totaal hebben 35 instellingen (Hoger Onderwijs, Research, UMC's) deelgenomen aan een of meer van de metingen. In bijlage A is een overzicht opgenomen van de instellingen die in 2008 deelgenomen hebben. De instellingen hebben per meting een detailrapport ontvangen, met persoonlijke resultaten en adviezen. De meetmethodes Alle in 2008 gebruikte methodes maken gebruik van een vragenlijst of invullijst. De informatie is bij de instellingen vergaard middels interviews en self-assesment workshops. In 2009 worden de drie metingen gecombineerd in SURFaudit. Alle metingen zijn gebruikt om feedback en adviezen te geven aan de gemeten instelling. Voor een deel direct na een meting, voor een deel nadat de benchmarkcijfers, de gemiddelde scores, bekend waren. Identity Management In 2008 zijn 27 instellingen uit de doelgroep van SURF en SURFnet bezocht in het kader van de maturity scan Identity Management. In deze scan zijn de belangrijkste aspecten van Identity Management beoordeeld op basis van een vragenlijst. Het doel van de scan was om na te gaan in hoeverre de instellingen een basisimplementatie van Identity Management op orde hebben. De scan is ontwikkeld door Jaap Kuipers en Peter Jurg. Er

4 bestond nog geen algemeen kader voor maturity metingen van identity management. Het identity management model is een groeimodel dat de ontwikkelingsfase van identity management in een organisatie beschrijft. Het gaat uit van vier groeifasen. Een instelling bevindt zich in een van de vier categorieën. Volwassenheid van Identity Management in een organisatie is bereikt in de fase Integrated. Ad Hoc Een instelling heeft geen focus op Identity Management, maar wellicht wel een aantal praktische zaken geregeld, zoals één instellingsaccount voor meerdere diensten (misschien zelfs single sign-on), en autorisatie per applicatie. Focused Een instelling heeft een duidelijke focus op Identity Management. Dat wil zeggen dat helder is welke systemen leidend zijn voor het bestaan van identiteiten en voor aanvullende informatie bij identiteiten, dat de provisioning naar doelsystemen is gerealiseerd en er een beleid is voor Identity Management Standardized Een instelling heeft als onderdeel van de ingerichte provisioning een systeem beschikbaar dat als Identity Provider (IdP) kan dienen bij het aansluiten op een federatie (de SURFfederatie). Het beleid is vertaald naar goed beschreven processen en procedures, die zo goed mogelijk zijn geïmplementeerd. Integrated De processen en procedures zijn niet alleen geïmplementeerd, maar er is ook controle op de implementatie en ze kunnen worden herzien waar nodig. De kwaliteit van de data uit de bronsystemen of via andere invoer is gewaarborgd door checks en procedures. De beveiliging van de Identity Managementsystemen krijgt de benodigde aandacht en er is aan de wettelijke eisen voldaan. In de meting wordt vastgesteld in welke fase ene instelling zit. Daarnaast geeft de meting inzicht in ontwikkelfase van deelaspecten van identity management zodat gericht gestuurd kan worden. Security Incident Management Voor dit onderwerp bestond internationaal geen meetmethode, en evenmin een maturity model. Don Stikvoort heeft dit opgezet voor SURFnet, gebaseerd op het werk dat hij sinds 1992 in de internationale CERT community heeft verricht. Hij heeft hiermee voortgebouwd op eerdere accreditatie systemen die hij ontwikkeld heeft met en voor: accreditaties voor FIRST, het wereldwijde forum voor incident respons teams (CERT's) de Europese accreditatie Trusted Introducer SURFnet's invulling hiervan, PACT, en Philips CERT, een (niet gepubliceerd) maturity model. Het zo ontwikkelde CERT maturity model beschouwt een vijftigtal parameters verdeeld over vier deelgebieden: organisation, human resources, processes en tools. Op elke parameter kan gescoord worden van 0 (aspect niet gedefinieerd of afwezig) tot 3 (aspect gedocumenteerd en geformaliseerd). Dit model is analoog aan zogenaamde Capability Maturity modellen, het geeft de volwassenheidsstatus op een aantal deelgebieden weer. Het hier ontwikkelde maturity model wordt meegenomen in de Europese Trusted Introducer werkgroep die certificering voor CERT s als onderwerp heeft en die in 2009 tot conclusies moet komen. Stikvoort is lid van die werkgroep. Hiermee wordt zoveel mogelijk

5 verzekerd dat deze ontwikkeling bij SURFnet niet op zichzelf staat, maar zo mogelijk ingekaderd wordt in breder Europees verband via TERENA. In Europees verband is er wel intensieve samenwerking op het gebied van incident management (CERT) maar nog niet op andere vlakken van informatiebeveiliging. Hiervoor spant de Europese Unie zich wel in via haar agentschap ENISA. ENISA stimuleert ook CERT ontwikkelingen, o.a. in samenwerking met de Trusted Introducer. De 4 aspecten van informatiebeveiliging De volwassenheid van informatiebeveiliging is gemeten met het 4 aspecten model van Moens. Het model kijkt naar 4 deelaspecten van informatiebeveiliging, waarbij van ieder aspect de mate van volwassenheid bepaald kan worden, volgens de capability maturity methodiek. Het model kan zowel gebruikt worden om te meten (hoe staat mijn organisatie er voor?) als om te sturen (op welk aspect wil mijn organisatie zich verbeteren?) en uiteraard om te vergelijken (hoe doet mijn organisatie het ten opzichte van anderen?). De 4 aspecten in het model zijn deelgebieden van informatiebeveiliging gezien vanuit een bedrijfsmatig perspectief: Reactief vermogen: Hoe goed is een organisatie in staat om te reageren op security incidenten? Dit is de brandweer functie binnen een organisatie. Pro-actief vermogen: Hoe goed is een organisatie in staat om security incidenten te voorkomen? Dit is de brandpreventie functie. Continuïteit: Hoe goed is een organisatie is staat om te herstellen na een kleine of grote calamiteit? Integraal: In welke mate is informatiebeveiliging breed in alle bedrijfsprocessen geïntegreerd? Reactief vermogen blijft van belang ook al is het pro-actief vermogen groot. Er zal altijd wel een incident doorglippen, hoe goed de preventie ook is, en juist dan is een goed reactief vermogen van belang. Het integrale aspect geeft een beeld van de mate waarin informatiebeveiliging meer is dan alleen een ICT aangelegenheid en waar ook aan de businesskant taken en verantwoordelijkheden worden belegd. Onder het model ligt een meetmethode gebaseerd op de Code voor Informatiebeveiliging, ISO Middels een wegingcoëfficiënt draagt ieder criterium van de Code in enige mate bij aan een van de 4 aspecten. De mate van bijdrage is afgestemd op de branche Hoger Onderwijs en is vastgesteld door de werkgroep Maturity van SURFibo. De gebruikte meetmethode biedt de mogelijkheid in te zoomen op de resultaten van een instelling en de score per hoofdstuk van de Code voor Informatiebeveiliging te bekijken. Hierdoor wordt inzichtelijk waar mogelijk pijnpunten en verbeterpunten liggen. Zowel de 4 aspecten benadering als de benadering naar hoofdstukken van de Code zijn gebruikt in rapportage en de adviezen aan de instellingen. Resultaten 2008 De drie type metingen zijn in 2008 afzonderlijk uitgevoerd. Sommige instellingen hebben aan alle drie de metingen deelgenomen, sommige slechts aan een enkele. De meetmethodes, de terminologie en de interpretatie van de resultaten zijn in het verslagjaar maar beperkt op elkaar afgestemd. De resultaten van de metingen worden hier dan ook als afzonderlijke resultaten gepresenteerd, wel worden er gezamenlijke conclusies gepresenteerd.

6 Identity Management In 2008 zijn 27 instellingen uit de doelgroep van SURF en SURFnet bezocht in het kader van de maturity scan Identity Management. De scores van deze instellingen is in afbeelding 1 weergegeven met een uitsplitsing naar type instelling (Universiteit, HBO, onderzoeksinstelling) in de afbeeldingen 2a tot en met 2c. De conclusie die hieruit getrokken mag worden is dat ongeveer 50% van de bezochte universiteiten, en een hoger percentage van de overige instellingen, op basis van hun maturity-niveau (ad hoc of focused) verbeteringen dienen aan te brengen om Identity Management op orde te brengen. De instellingen die ad hoc scoren hebben vaak nog geen Identity Management ingericht. Ze hebben wel een zogenaamde enterprise directory met alle accounts, maar de kwaliteit daarvan is niet duidelijk. 1. Aantal Instelling naar Fase De meeste instellingen die het maturity-level focused hebben, scoren niet hoger, omdat ze de Identity Management processen onvoldoende hebben beschreven. Ze hebben vaak de uitgangspunten voor Identity Management wel beschreven in een beleid of soortgelijk document, maar zijn niet goed in staat de operationele situatie - na de eerste implementatie - daaraan te toetsen. De universiteiten zijn zich bewust van dit probleem. In een aantal gevallen is men van plan om de processen in Archimate te beschrijven en bij te houden. 2a: Universiteiten. 2b: HBO's. 2c: Onderzoek In de meting is een belangrijk aspect van Identity Management beperkt meegenomen:

7 rolgebaseerde toegang. Vooraf was namelijk bekend dat de rollen die de instellingen gebruiken voor het verlenen van toegang vrijwel uitsluitend gebaseerd zijn op functies en organisatie-onderdelen die uit de bronsystemen worden verkregen. Daarmee is een soort globale rolgebaseerde toegang mogelijk. Echter, meer verfijnde toegangsregels zijn meestal gebaseerd op zogenaamde business rollen. Deze rollen hebben betrekking op de taken en werkprocessen die personen uitvoeren (beheerder systeem, lid van de faculteitsraad, decentrale HR manager, etc.). Geen van de bezochte hoger onderwijsinstellingen gebruikt dergelijke rollen al. Er bleek echter wel veel belangstelling voor, omdat ze cruciaal zijn voor goed bestuur (governance) en compliance (wetgeving). Security Incident Management Bij tien instellingen is de meting uitgevoerd. Hierbij is voorselectie gebruikt er is alleen gemeten bij instellingen met een reeds bestaande CERT functie. Waar nog geen CERT is wordt immers al het stimuleringsinstrument van CVPO en PACT gehanteerd, zodat een maturity meting in dat stadium eerder overkill leek. Van de tien instellingen zijn er zeven universiteiten, één hogeschool, één medisch centrum en één overig. Een vergelijking tussen sectoren heeft hier dus geen zin. Kijken we nu naar de resultaten voor de vier deelgebieden. We blijven de Engelse termen hier hanteren, omdat het model internationaal volop in ontwikkeling is en vertalingen daar (nog) niet in passen. Deelgebied A: organisation : vanwege de toegepaste voorselectie is het niet vreemd dat de score zo hoog is gemiddeld 2,6. De spreiding is gering de organisatorische factoren zijn bijna overal goed beschreven, alleen nog niet altijd geformaliseerd. Uit de détailrapportage blijkt dat met name service (level) beschrijvingen nog achterblijven. Een verifieerbaar controle/audit proces is bovendien vrijwel overal afwezig dit geldt ook voor de drie deelgebieden hieronder. SIM "Organisation" Maturity (average) client maturity score (0..3) Zkh-1 HS-1 U ni-1 U ni-2 U ni-3 U ni-4 U ni-5 U ni-6 U ni-7 O vg-1 A vg

8 Deelgebied B: human resources : duidelijk een nog achterblijvend gebied, met een gemiddelde score van 1,6. Uit de détails blijkt dat resilience" gelukkig wel hoog scoort de CERT s hangen niet van één of twee individuen af. Maar gedragscodes en opleidingen zijn meestal óf niet óf indirect geregeld. SIM "Human resources" Maturity (average) maturity score (0..3) Zkh-1 HS-1 Uni-1 Uni-2 Uni-3 client Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg Deelgebied C: tools : scoort met een gemiddelde van 2,2 als beste deelgebied na organisation. De technische achtergrond van CERT s speelt hier een rol. Toch is er vrij veel impliciet geregeld, gebaseerd op de toevallige kennis van de CERT leden. Als er dan ook geen intern training proces is gedefinieerd (wat meestal zo is), dan is dat geen basis voor een stabiele situatie. Daar is nog duidelijk verbetering mogelijk. SIM "Tools" Maturity (average) maturity score (0..3) Zkh-1 HS-1 Uni-1 Uni-2 Uni-3 client Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg

9 Deelgebied D: processes : met een gemiddelde score van 1,9 over alle metingen, komen de processen er zeker niet slecht af. Hier bestaat tussen de klanten gemiddeld weinig verschil maar per parameter bestaat juist wel een grote spreiding. Zo zijn bijvoorbeeld escalaties naar bestuursniveau bijna overal goed geregeld maar controle/audit/feedback processen vrijwel afwezig. Zijn die laatste niet de eenvoudigste processen - bij diverse processen valt er ook nog heel eenvoudig winst te halen. SIM "Processes" Maturity (average) maturity score (0..3) Zkh-1 HS-1 Uni-1 Uni-2 Uni-3 client Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg Al met al zien we dat behalve bij de organisatorische aspecten, die als regel redelijk tot goed voor elkaar zijn, er wisselvallig gescoord wordt. Dit komt vooral omdat bijna alle parameters wel tussen de oren zitten, maar er veelal niets voor geregeld is of over op papier staat. Er wordt bijvoorbeeld bij tools van uitgegaan dat de CERT leden dat gewoon kunnen en weten bij processes is meestal weinig vastgelegd, en bij human resources is zeker nog ruimte voor een betere (h)erkenning van de bijzondere positie van een CERT. De metingen zelf werden als nuttig ervaren door de respondenten. De discussies spitsten zich meestal toe op die parameters waar 1 of 2 werd gescoord, en er dus verbetering mogelijk was. Vaak had men eerder niet expliciet bij deze vragen stilgestaan. De 4 aspecten van informatiebeveiliging 2 In 2008 zijn 23 instellingen gemeten aan de hand van het 4 aspecten maturity model van Moens. Uit deze metingen is geconcludeerd dat Informatiebeveiliging in het Hoger onderwijs kenmerken heeft van onvolwassenheid. Beveiliging ligt bij de meeste instellingen op het bordje van de ICT afdeling en is hoofdzakelijk gericht op ICT infrastructuurbeveiliging. Een deel van de instellingen is al wat verder en wordt gekenmerkt door het hebben van een beveiligingsfunctionaris, een beveiligingsbeleid en een herkenbare vorm van security incident respons. De universiteiten zijn gemiddeld genomen hier verder in dan de Hogescholen, bij de Hogescholen is geconstateerd dat de grootte van de instelling geen rol speelt, met uitzondering van de hele kleine instellingen, daar is weinig of geen speelruimte. Het meten en de methode van meten heeft er toe 2 Een deel van deze rapportage is ook in het blad Informatiebeveiliging gepubliceerd door Moens en van Noord, in december 2008

10 bijgedragen dat instellingen hernieuwd en op een andere manier naar informatiebeveiliging zijn gaan kijken. Voor de metingen zijn verschillende disciplines bij elkaar gebracht om in een workshop te discussiëren over de maturity van informatiebeveiliging bij de instelling. Deze methode werd door alle betrokkenen als positief en stimulerend ervaren. Veel instellingen hebben aangegeven de resultaten van de metingen en de daaruit voortvloeiende Hoger Onderwijs Benchmarkcijfers te gaan gebruiken om de interne besluitvorming te beïnvloeden. De volwassenheidsmetingen informatiebeveiliging zijn uitgevoerd door Fred van Noord (Verdonk, Klooster & Associates) en Alf Moens. De benchmark maakt vergelijken tussen instellingen mogelijk Vanwege het hoge percentage deelnemende instellingen zijn de bevindingen te gebruiken als benchmark. Dat betekent dat de overall resultaten het gemiddelde weerspiegelen van het niveau van informatiebeveiliging bij het Hoger Onderwijs. Tevens maken de scores van een individuele onderwijsinstelling een vergelijking mogelijk met de overall scores en/of met het niveau van het HBO of het universitair onderwijs. Het Hoger Onderwijs heeft een traditionele ICT-georiënteerde beveiligingscultuur Het gemiddelde van het gehele Hoger Onderwijs over alle aspecten en alle maatregelen is 39 %. Wat opvalt is het volgende: - de hoogste scores worden behaald op: - fysieke beveiliging (67%) - toegangsbeveiliging (54%). - De laagste scores worden behaald op - bedrijfscontinuiteit (12%) De hoge scores van fysieke beveiliging en toegangsbeveiliging verwijzen, gezamenlijk met de gemiddeld hogere scores voor beheer van bedrijfsmiddelen en beheer van communicatie en bedieningsprocessen naar een traditionele ICT georiënteerde cultuur binnen het hoger onderwijs. Dat beeld wordt versterkt door de lage scores voor beheer van informatiebeveiligingsincidenten (31%), naleving (32%), beveiligingsbeleid (32%), verwerving, ontwikkeling en onderhoud van informatiesystemen (38%) en maatregelen omtrent het personeel (36%) (deze maatregelen betreffen: rollen en verantwoordelijkheden, screening, directieverantwoordelijkheid,opleiding en training). Hoofdstukken Code voor Informatiebeveiliging Gemiddeld HO Univ. HBO 5 Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiligings omgeving Beheer van communicatie & bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling & onderhoud van infomatiesystemen Beheer van informatiebeveiligings incidenten Bedrijfscontinuïteitsbeheer Naleving Gemiddeld overall Gemiddelde scores per onderwerp voor het Hoger Onderwijs, universiteiten en HBO per hoofdstuk CvIB

11 Verschillen tussen universiteiten en HBO instellingen Gemiddeld genomen scoren universiteiten enigszins hoger dan instellingen binnen het HBO. Op een deel van de onderwerpen liggen de scores nagenoeg even hoog, soms wat hoger, soms wat lager. Significant hogere scores worden bij universiteiten gevonden ten opzichte van HBO-instellingen bij: Beheer van informatiebeveiligingsincidenten (universiteiten (46%) vs. HBO (21%) Beleid van informatiebeveiliging (universiteiten (45%) vs. HBO (24%) Bedrijfscontinuiteïtsbeheer (universiteiten (21%) vs. HBO (6%). De verschillen tussen HBO en universiteiten zijn op andere onderwerpen niet significant. Gemiddeldes HBO vs. Universiteiten 5 Beleid naleving Organisatie 14 continuiteit 30 7 Bedrijfsmiddelen incidentbeheer Personeel gem. HO Gem. Universiteiten gem. HBO 12 infosystemen 9 fysieke beveiliging 11 toegangsbeveiliging 10 bedieningsprocessen De gemiddelde scores per onderwerp voor overall Hoger Onderwijs, universiteiten en HBO-instellingen Universiteiten gaan beter om met incidenten Uit de metingen blijkt dat het reactief vermogen bij universiteiten beter is ontwikkeld dan bij HBO-instellingen. Dat gevoegd bij de eerder gevonden verschillen tussen beheer van informatiebeveiligingsincidenten (universiteiten (46%) vs. HBO (20%) en beleid van informatiebeveiliging (universiteiten (45%) vs. HBO (25%) geeft aan dat universiteiten beter zijn voorbereid op het optreden van informatiebeveiligingsincidenten dan HBO instellingen. Gemiddelde score Reactief Proactief Continuiteit Integraal Universiteiten HBO Gemiddelde scores per maturity aspect voor universiteiten en HBO Het is twijfelachtig of het eerder besproken verschil voor bedrijfscontinuïteitsbeheer in het voordeel voor universiteiten te noemen is, zo extreem laag zijn de scores: universiteiten (21%) en HBO (6%). De instellingen hebben weliswaar pro-actief een aantal preventieve maatregelen genomen maar bedrijfscontinuïteit is vrijwel nergens als proces ingericht. De

12 lage scores zijn een indicatie dat het hoger onderwijs in het algemeen slecht is voorbereid op calamiteiten die ernstige consequenties tot gevolg kunnen hebben. Naast bedrijfsmatige schade (imago, financieel) kan een calamiteit ook veel persoonlijke schade aanrichten bij afstudeerders, promovendi en individuele medewerkers. Verschillen tussen instellingen Bovenstaande situaties hebben niet op alle onderwijsinstellingen betrekking. In voorgaande paragrafen is niet aan de orde gekomen dat het niveauverschil van informatiebeveiliging bij individuele onderwijsinstellingen sterk uiteen kan lopen van 12% tot 76%. Er zijn instellingen die hun zaakjes goed op orde hebben, en er zijn er bij die nog erg veel te doen hebben om informatiebeveiliging op een acceptabel niveau te brengen. De hoogste score was 100% voor een instelling die op beleidsmatig gebied alles goed geregeld had. De laagste score was 0% voor bedrijfscontinuïteit bij een onderwijsinstelling waar helemaal niets aanwezig was ter voorbereiding op calamiteiten. Andere opvallende lage scores waren voor beheer van informatiebeveiligingsincidenten (2%), beveiligingsbeleid, Verwerving, ontwikkeling en onderhoud informatiesystemen en beveiliging van personeel (allen 6%). Ook de hoogste en laagste scores bij de vier maturity aspecten lopen sterk uiteen. Zie onderstaande tabel. Min max Reactief Pro actief Continu Integraal Laagste en hoogste score per maturity aspect. Conclusies uit de metingen De lage scores voor informatiebeveiliging in het Hoger Onderwijs kunnen als volgt verklaard worden : informatiebeveiliging is een ICT-feestje. De verantwoordelijkheid voor de ongestoorde procesgang van het onderwijs ligt daarmee teveel bij de ICT afdeling. De verantwoordelijkheden die bij de procesverantwoordelijken hoort dienen ook te zijn ingevuld; op het niveau van het College van Bestuur wordt vaak nog niet de noodzaak gevoeld om aandacht te besteden aan informatiebeveiliging; de aandacht gaat uit naar organisatorische vraagstukken als fusies en andere samenwerkingsvraagstukken, waardoor informatiebeveiliging niet voldoende aandacht krijgt; de totale hoeveelheid beschikbare middelen is te gering: als er (te) weinig geld beschikbaar is, dan kan er weinig geïnvesteerd worden. de complexiteit van de organisatie, in het bijzonder de autonomie van organisatie onderdelen, is debet aan het tempo van doorvoeren van veranderingen bij relatief kleine organisaties speelt de cultuur mee: men kent elkaar en men vertrouwt op elkaar. Bij grote organisaties overheersen vaak zakelijke aspecten. Door verschillende malen in een jaar met een meting bij een instelling aan te kloppen ontstaat verwarring, terwijl de metingen elkaar uitstekend kunnen aanvullen. Identity Management zit bij veel instellingen in een aanloopfase. Het is complexe materie waar medewerking van veel verschillende disciplines vereist is. Security Incident Management is bij de meeste instellingen wel aanwezig maar is veelal niet als apart proces onderkend en ingericht.

13 Het vervolg: SURFaudit Met de metingen van 2008 is aan de instellingen en aan SURF/SURFnet een krachtig instrument aangereikt om voortgang en zwakke plekken te monitoren van zowel informatiebeveiliging in de hele breedte als van specifieke aandachtspunten zoals identity management en security incident management. SURF heeft er voor gekozen de ingeslagen weg voort te zetten en aan te sturen op integratie van de metingen. De integratie resulteert in de SURFaudit en bestaat uit de meting informatiebeveiliging, op basis van het 4 aspecten model van Moens, met daaraan gekoppeld verdiepingsmetingen op speciale onderwerpen. Voor 2009 en 2010 zijn die speciale onderwerpen in elk geval identity management en security incident management. De metingen worden integraal uitgevoerd bij een instelling, dat wil zeggen dat een instelling één keer gemeten wordt maar dan op alle onderwerpen tegelijk (i.e. op dezelfde dag). De individuele metingen behouden ieder hun eigen karakter zodat de voortgang van een instelling en de voortgang van de branche vergeleken en gemonitord kan worden. De individuele metingen blijven ook los inzetbaar. SURFaudit zal in 2009 ook een referentiekader kennen. Dit kader wordt opgesteld en bewaakt door de werkgroep Maturity van SURFibo. Het doel van dit kader is om een minimum niveau van informatiebeveiliging aan te geven, dat gewenst is om op een veilige en vertrouwde manier samen te werken in het Hoger Onderwijs. Medio 2009 zal door SURF een besluit worden genomen over de wijze waarop SURFaudit zal worden aangeboden aan het hoger onderwijs en onderzoek. Deze beslissing is ondermeer afhankelijk van een pilot die in het tweede kwartaal zal worden uitgevoerd. Binnen deze pilot zal niet alleen het geïntegreerde meetinstrument in de praktijk worden getoetst, maar wordt tevens het beleidsmatige en financiële draagvlak voor SURFaudit bij de instellingen onderzocht.

14 Bijlage A: deelnemende instellingen metingen 2008 Universiteiten en Hogescholen Erasmus Universiteit Radboud Universiteit Technische Universiteit Delft Universiteit Maastricht Rijks Universiteit Groningen Universiteit Leiden Technische Universiteit Eindhoven Universiteit van Tilburg Universiteit Utrecht Universiteit Twente Universiteit van Amsterdam Vrije Universiteit Wageningen Universiteit Open Universiteit ArtEZ Hogeschool voor de kunsten Avans Christelijke Hogeschool Ede Driestar Gereformeerde Hogeschool Zwolle Haagse Hogeschool Hanze Hogeschool Groningen Hogere Hotelschool Den Haag Hogeschool Utrecht Hogeschool Zuyd Overige Instellingen/organisaties KNAW LUMC Erasmus Medisch Centrum ISS SARA SURFcert Telematica Inholland Noordelijke Hogeschool Leeuwarden Stenden Hogeschool Saxion Windesheim

Eindrapport Stimulering beveiliging

Eindrapport Stimulering beveiliging indi-2009-12-024 Eindrapport Stimulering beveiliging Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie

Nadere informatie

Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer. of toch liever niet.

Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer. of toch liever niet. Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer of toch liever niet. 1 ALF MOENS Security Manager TU Delft Programmamanager SURF: Beveiliging en Identity Management voorzitter

Nadere informatie

INFORMATIEBEVEILIGING

INFORMATIEBEVEILIGING december 2008 nummer 8 ISAE 3402 volgt SAS 70 op: een vergelijking Met 4 aspecten model op weg naar volwassenheid IB Nieuw: Bacheloropleiding Information Security Management Marten Lohstroh wint Joop Bautz

Nadere informatie

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool

Nadere informatie

CYBERDREIGINGSBEELD 2015

CYBERDREIGINGSBEELD 2015 CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet bart.bosma@surfnet.nl CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld

Nadere informatie

Enquêteresultaten QSK & studiekeuzetevredenheid

Enquêteresultaten QSK & studiekeuzetevredenheid Enquêteresultaten QSK & studiekeuzetevredenheid www.qompas.nl Januari 2015 Enquêteresultaten QSK & studiekeuzetevredenheid 1 Oordeel studenten/scholieren over Qompas en tevredenheid met betrekking tot

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Voorstel voor een nieuwe invulling van de PACT dienstverlening

Voorstel voor een nieuwe invulling van de PACT dienstverlening Voorstel voor een nieuwe invulling van de PACT dienstverlening Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : juni 2009 Versie

Nadere informatie

Rapportage Enquête StudieKeuze 2015

Rapportage Enquête StudieKeuze 2015 Rapportage Enquête StudieKeuze 2015 www.qompas.nl Februari 2016 Surrounded by Talent Inleiding In deze rapportage laten we de resultaten zien van een enquête onder eerstejaars studenten welke met de Qompas

Nadere informatie

Aantal ingeschreven studenten per universiteit naar onderwijstaal, studiejaar

Aantal ingeschreven studenten per universiteit naar onderwijstaal, studiejaar Aantal per universiteit naar onderwijstaal, studiejaar 2015-2016 Bron: VSNU 1. Per instelling bachelor, studiejaar 2015-2016 +ENG Erasmus Universiteit Rotterdam 27,27% 3658 54,55% 7184 18,18% 3184 14026

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

Overzicht aangesloten instellingen

Overzicht aangesloten instellingen Overzicht aangesloten instellingen - A - Academisch Medisch Centrum (AMC) Academisch Ziekenhuis Maastricht Amarantis Onderwijsgroep Amphia Ziekenhuis Amsterdamse Hogeschool voor de Kunsten ArtEZ Astronomische

Nadere informatie

Compliance and Control

Compliance and Control SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other&sectors What&do&all&agree&upon&(and&where&do&they&disagree)?

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Security Operations Center. CISO: Bob van Graft

Security Operations Center. CISO: Bob van Graft Security Operations Center CISO: Bob van Graft OPENING De digitale toekomst van Nederland is in het geding Onderwijs en bedrijfsleven geven te weinig aandacht aan cybersecurity Het is van groot belang

Nadere informatie

INTERSECTORALE MOBILITEIT IN HET HOGER ONDERWIJS ROB GRÜNDEMANN (HOGESCHOOL UTRECHT)

INTERSECTORALE MOBILITEIT IN HET HOGER ONDERWIJS ROB GRÜNDEMANN (HOGESCHOOL UTRECHT) INTERSECTORALE MOBILITEIT IN HET HOGER ONDERWIJS ROB GRÜNDEMANN (HOGESCHOOL UTRECHT) 1. Opzet van het onderzoek 2. Resultaten en conclusies 3. Discussie Vraagstelling 1. Welke omvang heeft intersectorale

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Vragenlijst onderzoek

Vragenlijst onderzoek Vragenlijst onderzoek Compliance in de zorg KPMG, VCZ en Erasmus Februari 06. HOEVEEL MEDEWERKERS (FTE) TELT HET ZIEKENHUIS?. IN WAT VOOR TYPE ZIEKENHUIS BENT U WERKZAAM? Algemeen 9 Topklinisch 50-000

Nadere informatie

Security en Privacy. Agenda

Security en Privacy. Agenda Security en Privacy Benchmark#SURFaudit#2013##44###EPV HO#Security#congres#20144#Alf#Moens Agenda Resultaten#SURFaudit#benchmark#2013 De#ervaringen#van#TU#Eindhoven SURFaudit#2020:#een#vooruitblik Privacy

Nadere informatie

PACT met nieuwe invulling operationeel

PACT met nieuwe invulling operationeel indi-2009-12-023 PACT met nieuwe invulling operationeel Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

3 Management van ICT-kosten en baten

3 Management van ICT-kosten en baten 3 Management van ICT-kosten en baten Stand van zaken in de woningcorporatiesector Patrick van Eekeren en Menno Nijland Het bepalen van de hoogte van de ICT-kosten (en baten), bijvoorbeeld door gebruik

Nadere informatie

Nieuws uit t decanaat 6 oktober 2017

Nieuws uit t decanaat 6 oktober 2017 Nieuws uit t decanaat 6 oktober 2017 havo/vwo bestemd voor havo/vwo bovenbouw Nieuws uit t decanaat is het mededelingenblad vanuit het decanaat havo/vwo van het Vechtdal College in Hardenberg. Het verschijnt

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

Governance en Business Intelligence

Governance en Business Intelligence Governance en Business Intelligence Basis voor de transformatie van data naar kennis Waarom inrichting van BI governance? Zorgorganisaties werken over het algemeen hard aan het beschikbaar krijgen van

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs 2010 1 Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs 2010 Ten opzichte van 2009 is de instroom stabiel: -0,3 procent

Nadere informatie

Handleiding voor het SURF Groene ICT Maturity Model

Handleiding voor het SURF Groene ICT Maturity Model Een zelfscan voor Groene ICT en Duurzaamheid in de organisatie Auteur(s): Met dank aan: Versie: Gebaseerd op: Albert Hankel Henk Plessius, Dirk Harryvan, Bert van Zomeren 2.0 SGIMM v2.0 Datum: 16-04-2015

Nadere informatie

Hoe scoren onderwijsinstellingen op Twitter?

Hoe scoren onderwijsinstellingen op Twitter? Hoe scoren onderwijsinstellingen op Twitter? Onderzoek naar het Twittergebruik door -, - en -instellingen Gemeten door Coosto over het studiejaar 2014/2015 Daphne Nonahal 1. Een stand van zaken In dit

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

Bedrijfsarchitectuur sterker door opleiding

Bedrijfsarchitectuur sterker door opleiding Onderzoek naar het effect van de Novius Architectuur Academy Bedrijfsarchitectuur sterker door opleiding Door met meerdere collega s deel te nemen aan een opleiding voor bedrijfsarchitecten, werden mooie

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Eindrapport Stimulering SURFfederatie

Eindrapport Stimulering SURFfederatie indi-2009-12-025 Eindrapport Stimulering SURFfederatie Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie

Nadere informatie

CERTIFICERING NEN 7510

CERTIFICERING NEN 7510 CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2

Nadere informatie

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs. februari 2009

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs. februari 2009 Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs februari 2009 1 Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs Inleiding Deze factsheet geeft informatie over het

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

Gemeente Roosendaal. Cliëntervaringsonderzoek Wmo over Onderzoeksrapportage. 26 juni 2017

Gemeente Roosendaal. Cliëntervaringsonderzoek Wmo over Onderzoeksrapportage. 26 juni 2017 Gemeente Cliëntervaringsonderzoek Wmo over 2016 Onderzoeksrapportage 26 juni 2017 DATUM 26 juni 2017 Dimensus Beleidsonderzoek Wilhelminasingel 1a 4818 AA Breda info@dimensus.nl www.dimensus.nl (076) 515

Nadere informatie

DDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter

DDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter DDoS en netwerkbeschikbaarheid Xander Jansen Niels den Otter Seminar Naar een op,male netwerkbeschikbaarheid - 17 April 2014 Voorbereiding is het halve werk Bron: NCSC Factsheet Continuïteit van onlinediensten!

Nadere informatie

Management. Analyse Sourcing Management

Management. Analyse Sourcing Management Management Analyse Sourcing Management Management Business Driven Management Informatie- en communicatietoepassingen zijn onmisbaar geworden in de dagelijkse praktijk van uw organisatie. Steeds meer

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs. februari 2010

Feiten en cijfers. Studentenaantallen in het hoger beroepsonderwijs. februari 2010 Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs februari 2010 1 Feiten en cijfers Studentenaantallen in het hoger beroepsonderwijs Inleiding Deze factsheet geeft informatie over het

Nadere informatie

Onderzoek naar de effectiviteit van Business Control

Onderzoek naar de effectiviteit van Business Control Onderzoek naar de effectiviteit van Business Control Top 10 kenmerken van een effectieve v Rotterdam, februari 2015 vs Final Wat kunt u in deze doorkijk verwachten? Inleiding FinTouch doet onderzoek naar

Nadere informatie

céáíéå=éå=åáàñéêë= HBO-Monitor 2012: De arbeidsmarktpositie van afgestudeerden van het hbo juni 2013

céáíéå=éå=åáàñéêë= HBO-Monitor 2012: De arbeidsmarktpositie van afgestudeerden van het hbo juni 2013 céáíéå=éå=åáàñéêë= HBO-Monitor 2012: De arbeidsmarktpositie van afgestudeerden van het hbo juni 2013 céáíéå=éå=åáàñéêë 2 Inleiding In deze factsheet staan de arbeidsmarktresultaten van hbo-afgestudeerden

Nadere informatie

Compliance and Control

Compliance and Control Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari 2014 - Alf Moens Wat ga ik u brengen? Framework Informatiebeveiliging, best practices uit het onderwijs Normenkader

Nadere informatie

Managementsamenvatting Onderzoek Code Goed Bestuur. Monitoringscommissie Code Goed Bestuur, VO-raad. 21 januari 2011

Managementsamenvatting Onderzoek Code Goed Bestuur. Monitoringscommissie Code Goed Bestuur, VO-raad. 21 januari 2011 Managementsamenvatting Onderzoek Code Goed Bestuur Monitoringscommissie Code Goed Bestuur, VO-raad. 21 januari 2011 Twee jaar na invoering van de Code Goed Onderwijsbestuur heeft een grote meerderheid

Nadere informatie

Hoe intelligent of dom is Nederland? De resultaten van het Nationaal BI Survey 2006

Hoe intelligent of dom is Nederland? De resultaten van het Nationaal BI Survey 2006 Hoe intelligent of dom is Nederland? De resultaten van het Nationaal BI Survey 2006 in samenwerking met: dinsdag 11 december 2007 Passionned 2003-2007 1 Uitleg De diapresentatie toont de meest opmerkelijke

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Het Analytical Capability Maturity Model

Het Analytical Capability Maturity Model Het Analytical Capability Maturity Model De weg naar volwassenheid op het gebied van Business Intelligence. WHITEPAPER In deze whitepaper: Wat is het Analytical Capability Maturity Model (ACMM)? Een analyse

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Handelende in overeenstemming met de Minister van Economische Zaken;

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Handelende in overeenstemming met de Minister van Economische Zaken; STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 39147 10 november 2015 Regeling van de Minister van Onderwijs, Cultuur en Wetenschap van 2 november 2015, nr. 825853,

Nadere informatie

Hans Wijnbergen CCZ. Adviseur Veiligheid. Afdeling Advies & Monitoring

Hans Wijnbergen CCZ. Adviseur Veiligheid. Afdeling Advies & Monitoring Hans Wijnbergen CCZ Adviseur Veiligheid Afdeling Advies & Monitoring 1 Doelstelling van de afdeling Advies & Monitoring Ondersteunen van regiodirecteuren op het gebied van naleving van normen die s Heeren

Nadere informatie

Leerlingtevredenheidsonderzoek

Leerlingtevredenheidsonderzoek Rapportage Leerlingtevredenheidsonderzoek De Meentschool - Afdeling SO In opdracht van Contactpersoon De Meentschool - Afdeling SO de heer A. Bosscher Utrecht, juni 2015 DUO Onderwijsonderzoek drs. Vincent

Nadere informatie

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit

Nadere informatie

Hoe implementeer je de NEN7510?

Hoe implementeer je de NEN7510? Hoe implementeer je de NEN7510? Inspiratiesessie NEN 7510 / ISO 27001 Aart Bitter, 12 september 2012 www.information-security-governance.com Keep It Simple (1) Doe een risicoanalyse en kies beveiligingsmaatregelen

Nadere informatie

Onderzoek Passend Onderwijs

Onderzoek Passend Onderwijs Rapportage Onderzoek passend onderwijs In samenwerking met: Algemeen Dagblad Contactpersoon: Ellen van Gaalen Utrecht, augustus 2015 DUO Onderwijsonderzoek drs. Liesbeth van der Woud drs. Tanya Beliaeva

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

De dienstverlening van SURFnet Onderzoek onder aangesloten instellingen. - Eindrapportage -

De dienstverlening van SURFnet Onderzoek onder aangesloten instellingen. - Eindrapportage - De dienstverlening van Onderzoek onder aangesloten instellingen - Eindrapportage - 09-09-2009 Inhoud Inleiding 3 Managementsamenvatting 4 Onderzoeksopzet 5 Resultaten 6 Tevredenheid 6 Gebruik en waardering

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Administratie Leuker kunnen we het niet maken, wel sneller!

Administratie Leuker kunnen we het niet maken, wel sneller! Administratie Leuker kunnen we het niet maken, wel sneller! EEN ONDERZOEK NAAR ADMINISTRATIESYSTEMEN VOOR ALTERNATIEVE GENEZERS Administratie is een bijkomend nadeel bij elke zorgpraktijk. Veel praktijken

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Analyserapport Kennismonitor

Analyserapport Kennismonitor Analyserapport Kennismonitor Organisatie Instelling A Afdeling Afdeling Zuid Kennismonitor Dementie intramuraal Deelnemers met account 31 Deelnemers gestart 30 Deelnemers klaar 26 Datum van resultaten

Nadere informatie

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016 Business Control binnen de gemeente DATA GOVERNANCE Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016 Noodzaak goede data Voorbeeld sociaal domein Inhoud Data is vakwerk Het Data Maturity Model

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Check Je Kamer Rapportage 2014

Check Je Kamer Rapportage 2014 Check Je Kamer Rapportage 2014 Kwantitatieve analyse van de studentenwoningmarkt April 2015 Dit is een uitgave van de Landelijke Studenten Vakbond (LSVb). Voor vragen of extra informatie kan gemaild worden

Nadere informatie

Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016

Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016 Terugkoppeling monitor subsidieregeling Versterking samenwerking lerarenopleidingen en scholen 2013-2016 Tussenmeting 2015 Portret samenwerkingsverband P029 Opdrachtgever: ministerie van OCW Utrecht, oktober

Nadere informatie

UITTREKSEL en MANAGEMENTRAPPORTAGE

UITTREKSEL en MANAGEMENTRAPPORTAGE UITTREKSEL en MANAGEMENTRAPPORTAGE Zelfevaluatie Paspoorten en NIK Gemeente Hoogeveen 2015 Uittreksel gemeente Hoogeveen van de resultaten van de controle als bedoeld in artikel 94 van de Paspoortuitvoeringsregeling

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Opname WPA2-Enterprise op de lijst voor pas toe of leg uit

Opname WPA2-Enterprise op de lijst voor pas toe of leg uit FS 151028.2B Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl Opname WPA2-Enterprise op de lijst voor pas toe of leg uit FORUM

Nadere informatie

Op de vraag of men de artikelen zelf in het Engels schrijft, gaf één wetenschapper het volgende aan:

Op de vraag of men de artikelen zelf in het Engels schrijft, gaf één wetenschapper het volgende aan: NEDERLANDS, TENZIJ Onderzoek Vakgroep Marktkunde en Marktonderzoek RUG In dit onderzoek zijn de volgende vragen geformuleerd: Welke factoren zijn op dit moment van invloed op de beslissing of Nederlandse

Nadere informatie

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Workshop agressie. Omgaan met agressie Een integrale aanpak. RadarVertige Training & Opleiding

Workshop agressie. Omgaan met agressie Een integrale aanpak. RadarVertige Training & Opleiding Workshop agressie Omgaan met agressie Een integrale aanpak RadarVertige Training & Opleiding maandag 14 oktober 2013 Wie spreekt hier Bart Verhagen (Directeur RadarVertige) Bureau voor sociale vraagstukken

Nadere informatie

Hoe scoren onderwijsinstellingen op social? Onderzoek naar het gebruik van Twitter onder MBO-, HBO- en WO-instellingen.

Hoe scoren onderwijsinstellingen op social? Onderzoek naar het gebruik van Twitter onder MBO-, HBO- en WO-instellingen. Hoe scoren onderwijsinstellingen op social? Onderzoek naar het gebruik van Twitter onder -, - en -instellingen. Over Coosto Coosto levert oplossingen voor social media monitoring en webcare. Je krijgt

Nadere informatie

UITTREKSEL en MANAGEMENTRAPPORTAGE

UITTREKSEL en MANAGEMENTRAPPORTAGE UITTREKSEL en MANAGEMENTRAPPORTAGE Zelfevaluatie Paspoorten en NIK Gemeente Achtkarspelen 2015 Uittreksel gemeente Achtkarspelen van de resultaten van de controle als bedoeld in artikel 94 van de Paspoortuitvoeringsregeling

Nadere informatie

15 Mate van dekkingsgraad, een eerste aanzet tot baten

15 Mate van dekkingsgraad, een eerste aanzet tot baten 15 Mate van dekkingsgraad, een eerste aanzet tot baten Sanneke van der Linden Sinds 2007 organiseert M&I/Partners de ICT Benchmark Ziekenhuizen. Op hoofdlijnen zijn de doelstellingen en aanpak van de ICT

Nadere informatie

Werksessie DLWO. 25 juni 2013. Nico Juist, Danny Greefhorst en Lianne van Elk

Werksessie DLWO. 25 juni 2013. Nico Juist, Danny Greefhorst en Lianne van Elk Werksessie DLWO 25 juni 2013 Nico Juist, Danny Greefhorst en Lianne van Elk Aanleidingen programma Mogelijkheden van SURFconext Ontwikkelingen rondom cloud Kansen voor samenwerking kennisinstellingen Behoeften

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Veiligheidscultuur en de inbedding daarvan in chemie bedrijven

Veiligheidscultuur en de inbedding daarvan in chemie bedrijven 0 Prof. Dr Gerard I.J.M. Zwetsloot Veiligheidscultuur en de inbedding daarvan in chemie bedrijven Professor dr. Gerard I.J.M. Zwetsloot 1 Opbouw Wat is veiligheidscultuur? Wat merk je ervan? Werkwijze

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Instellingenonderzoek 2010 Rapport

Instellingenonderzoek 2010 Rapport Instellingenonderzoek 2010 Rapport Onderzoek uitgevoerd door Feelfinders in opdracht van SURFnet Augustus 2010 Meer informatie: www.surfnet.nl / www.feelfinders.nl 1 Inhoud Managementsamenvatting 3 Responsanalyse

Nadere informatie

Nulmeting van de e-depotvoorziening van het Noord-Hollands Archief aan de hand van het toetsingskader ED3

Nulmeting van de e-depotvoorziening van het Noord-Hollands Archief aan de hand van het toetsingskader ED3 Nulmeting van de e-depotvoorziening van het Noord-Hollands Archief aan de hand van het toetsingskader ED3 Pilot Uitplaatsing digitaal archief gemeente Haarlem Auteur: Noord-Hollands Archief: Stinie Francke

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Workshop: Duurzame Inzetbaarheid op elke Leeftijd. Werken aan duurzame inzetbaarheid van oudere werknemers. Den Haag, 1 juli 2014

Workshop: Duurzame Inzetbaarheid op elke Leeftijd. Werken aan duurzame inzetbaarheid van oudere werknemers. Den Haag, 1 juli 2014 Workshop: Duurzame Inzetbaarheid op elke Leeftijd Werken aan duurzame inzetbaarheid van oudere werknemers Den Haag, 1 juli 2014 Rob Gründemann, TNO Hoofddorp HU University of Applied Sciences Utrecht Opzet

Nadere informatie

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015 Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark

Nadere informatie

Project Portfolio Management. Doing enough of the right things

Project Portfolio Management. Doing enough of the right things Project Portfolio Management Doing enough of the right things BPUG, Hilversum, 24 juni, 2015 Inhoud 1 2 3 4 Introductie Het belang van portfolio management Project portfolio management volgens MoP 3a 3b

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Kwaliteitszorg is: zorgen voor kwaliteit. Scholen die dat systematisch doen, stellen zichzelf permanent de volgende vragen:

Kwaliteitszorg is: zorgen voor kwaliteit. Scholen die dat systematisch doen, stellen zichzelf permanent de volgende vragen: 1 Inleiding In dit rapport worden de resultaten beschreven van de oudervragenlijst die in juni en juli 2013 bij de ouders van OBS Nicolaas Beets is afgenomen. De gebruikte vragenlijst is afkomstig van

Nadere informatie

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Implementatiekosten en baten van SURFconext Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Dit document geeft een antwoord op de vraag hoeveel een aansluiting op SURFconext kost. Introductie... 1

Nadere informatie

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt ISO9001:2015, in vogelvlucht Door Tjarko Vrugt 18-11-2015 - Qemc - Tjarko Vrugt Bron: NEN - Delft 2 DE NIEUWE NEN EN ISO 9001 : 2015 Deze presentatie beperkt zich tot de essentie Sktb besteed in 2016

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie