Toetsingskader Examinering (Pluscluster 8)

Transcriptie

1 Toetsingskader Examinering (Pluscluster 8) IBPDOC8

2 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Handreiking Onregelmatigheden, fraude en beveiliging examens Servicepunt examinering November 2014 Handreiking examineren studenten met extra ondersteuning Servicepunt examinering mbo Januari 2015 Risico analyse VO Kennisnet Kennisnet 2014 Met dank aan: Marleen van de Wiel (Servicepunt examinering mbo ) Tonny Plas (Kennisnet) Opdracht verstrekking door: Kennisnet / sambo-ict Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Kennisnet en ROC Leeuwenborgh) Rene Dol (Deltion College) Halvard Jan Hettema (Servicepunt examinering mbo) Frank Ruyten (ROC Leeuwenborgh) Versie 2.0, juli 2016 Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative Commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC8, versie 2.0 Pagina 2 van 53

3 Inhoudsopgave Verantwoording Inleiding Examinering in het framework ibp voor het mbo Samenhang examinering en informatiebeveiliging Doelstelling Toelichting op de hoofdstukken Procesarchitectuur examinering Toelichting op de architectuur Verantwoording van risico s binnen de processen Construeren en vaststellen Examineren Diplomeren Kwaliteitsborging Compliance examinering Algemeen Clustering van statements Toepassing toetsingskader Informatiebeveiliging (cluster 1 t/m 6) Toelichting toetsingskader Generieke statements voorafgaande aan examinering Generieke statements tijdens het proces van examinering Statements digitaal examineren Toelichting op de aanvullende statements Aanvullende statements gerelateerd aan beleid Aanvullende statements gerelateerd aan personeel Aanvullende statements gerelateerd aan uitvoering Bijlage 1: Uitwerking aanvullende statements examinering E.1 Beleidsregels examinering E.2 Richtlijnen bij constateren fraude bij digitale examens E.3 Procesaanpassing bij examenfraude bij digitale examens E.4 Procedure ontwikkelen examinering in beveiligde omgeving E.5 Procedure voorbereiden en afnemen examens E.6 Eindevaluatie examenproces, inclusief integriteit E.7 Gedragscodes, inclusief richtlijnen E.8 Extra ondersteuning bij examens E.9 Trainingen en vaardigheden m.b.t. fraude E.10 Beveiligde examenruimtes E.11 Het beheren en documenteren van ict faciliteiten voor examinering E.12 Hanteren van digitaal examenmateriaal E.13 Continuïteitsplan E.14 Toekennen examens aan deelnemers E.15 Hergebruik examenvragen E.16 Vernietigen examenmateriaal Bijlage 2: Beleidsplan examinering Bijlage 3: Procedure voorbereiden en afnemen examens Bijlage 4: Beheer en documentatie van ict faciliteiten Bijlage 5: Procesarchitectuur Examinering Bijlage 6: Framework informatiebeveiliging en privacy in het mbo IBPDOC8, versie 2.0 Pagina 3 van 53

4 1. Inleiding 1.1 Examinering in het framework ibp voor het mbo De Taskforce ibp in het mbo, een initiatief van sambo-ict / Kennisnet / SURF, heeft medio 2014 het framework ibp voor het mbo goedgekeurd. Onderdeel van dit framework is het document Toetsingskader examinering, pluscluster 8 (IBPDOC8). Dit document beschrijft de risico s en de beheersmaatregelen die samengaan met digitaal examineren. Weliswaar worden ook enkele risico s en beheersmaatregelen beschreven die gekoppeld kunnen worden aan een niet-digitaal examen, maar de focus ligt op de digitale examinering. 1.2 Samenhang examinering en informatiebeveiliging In dit document hanteren we de volgende opbouw: 1. Basis is de vastgestelde Procesarchitectuur examinering. 2. Compliance (wet- en regelgeving) examinering voor de mbo sector. 3. Toetsingskader IBP cluster 1 t/m 6 zoals die vastgesteld zijn door de Taskforce IBP in het document Toetsingskader IB: clusters 1 t/m 6 (IBPDOC3) en Toetsingskader Privacy: cluster 7 (IBPDOC7). 4. Een aantal statements uit het Toetsingskader IBP cluster 1 t/m 6 wordt uitgelicht omdat die in het kader van examinering extra van belang zijn. Wellicht is het ook zinvol om hiervoor een hoger volwassenheidsniveau te gaan hanteren. 5. Het Toetsingskader ibp benoemt niet alle risico s die gepaard gaan met digitaal examineren, vandaar dat een aantal statements (risico s met beheersmaatregelen) is toegevoegd, de zogenaamde aanvullende statements. Vandaar de naam pluscluster. Schematisch als volgt weergegeven: Aanvullend statements toets constructie en digitaal examinering Aanscherping toetsingskader ibp Toepassing toetsingskader ibp (cluster 1 t/m 7) Compliance examinering Procesarchitectuur examinering 1.3 Doelstelling Met dit toetsingskader beogen we een richtlijn aan te reiken met praktische uitwerkingen om de informatiebeveiliging binnen het proces van examinering (volgens de Procesarchitectuur examinering) binnen de kaders van het normenkader ibp mbo en de geldende wet & regelgeving omtrent examinering in te regelen. De gebruikers die we daarbij voor ogen hebben zijn kwartiermakers, security officers, coördinatoren informatiebeveiliging en andere functionarissen binnen onderwijsorganisaties die betrokken zijn bij of verantwoordelijk voor de inrichting van de informatiebeveiliging op instellingen. Het document laat zich lastig lezen door examencoördinatoren dan IBPDOC8, versie 2.0 Pagina 4 van 53

5 wel leden van examencommissies. Hiervoor wordt in overleg met het Servicepunt Examinering mbo een aanvullend servicedocument opgesteld dat eind 2016 beschikbaar moet zijn. 1.4 Toelichting op de hoofdstukken Hoofdstuk 2 beschrijft de Procesarchitectuur examinering die gehanteerd wordt in de mbo sector. Hoofdstuk 3 gaat dieper in op de wet- en regelgeving aangaande examinering binnen de mbo sector. Hoofdstuk 4 beschrijft het gewenste niveau informatiebeveiliging en privacy in de mbo sector. Hoofdstuk 5 beschrijft de aanvullende statements die noodzakelijk zijn om te komen tot een veilige omgeving voor digitaal examineren. In een aantal bijlagen worden de statements verder uitgewerkt. De laatste bijlage bevat het Framework ibp voor de mbo sector. IBPDOC8, versie 2.0 Pagina 5 van 53

6 2. Procesarchitectuur examinering 2.1 Toelichting op de architectuur 1 De Procesarchitectuur Examinering (PE) is een schematische weergave van het gehele examenproces in het mbo. Alle stappen die een mbo-school moet nemen om te zorgen voor goede examinering, komen aan de orde. Denk bijvoorbeeld aan het opstellen van het examenplan, inkopen en/of zelf samenstellen van examens, diplomeren en borgen van de examenkwaliteit. De PE helpt u om kritisch naar uw eigen examenproces te kijken en systematisch alle noodzakelijke stappen voor een goede examinering te doorlopen. De PE bestaat uit zes procesgebieden met ieder een eigen, herkenbare kleur. Ieder procesgebied bevat onderliggende processtappen. Naast het schema bestaat van de PE een digitale variant waarin per procesgebied relevante handreikingen en voorbeelden zijn opgenomen.. Bij het realiseren van een goede examenkwaliteit is het uitvoeren (do) wellicht de kern, maar er is pas sprake van borging als er ook een goede planfase (plan), een degelijke evaluatie (check) en adequate bijstelling (act) zijn. Dit is de zogeheten pdca-cyclus. In het schema van de PE zijn de plan-, check- en actfase herkenbaar aan de grijze blokken.. Kaders stellen: In dit procesgebied worden de kaders voor het inrichten van het examineringsproces gesteld. De Wet educatie en beroepsonderwijs (WEB), het kwalificatiedossier en het sectorale examenprofiel zijn uitgangspunt voor het opstellen van een aantal documenten binnen een mbo-school. Hierbij gaat het om schoolkaders (of kaders per sector of opleiding) zoals een examenvisie, een examenreglement en een handboek examinering. De vastgestelde versies van deze documenten zijn bepalend voor het opstellen van een examenplan per kwalificatie. De school gebruikt het examenplan in de overige processen als leidraad waarbinnen de examinering moet plaatsvinden. 1 Bron: IBPDOC8, versie 2.0 Pagina 6 van 53

7 Construeren en vaststellen: Binnen het mbo maakt men een onderscheid tussen instellingsexamens en centrale examens Nederlands (luistervaardigheid en lezen) en rekenen. Het centrale examen Engels mbo-4 wordt als regulier examen afgenomen vanaf en als pilot-examen in Voor instellingsexamens stellen scholen zelf regels op, zowel voor de generieke vakken (Nederlands, rekenen, moderne vreemde talen) als voor de beroepsgerichte vakken. Als duidelijk is dat een bepaalde opleiding binnen een mbo-school start, wordt een beslissing genomen over het inkopen en/of in eigen beheer ontwikkelen van examenproducten bij die opleiding. De constructie en/of inkoop hebben betrekking op het complete examen, inclusief de matrijs, correctie- of beoordelingsvoorschriften, handleidingen en het beoordelingsprotocol. Voor centrale examens geldt dat er landelijke afspraken zijn die zorg dragen voor uniforme afnamecondities en omgang en afhandeling van onregelmatigheden, waarvoor de examencommissie verantwoordelijk is. Op 18 maart 2015 is hiervoor de Regeling examenprotocol centrale examinering mbo 2015 van het CvTE (College voor Toetsen en Examens) gepubliceerd. Dit examenprotocol is in werking getreden per 1 augustus De risico s die behoren bij Construeren van digitale examens worden in dit document benoemd en vervolgens d.m.v. beheersmaatregelen verminderd (gemitigeerd). Leren: Dit procesgebied beschrijft op welke manier de mbo-school de student in de gelegenheid stelt om op basis van een selectie van bewijzen te komen tot een examenaanvraag. Deze bewijzen heeft hij/zij gedurende zijn leerproces (binnen- of buitenschools) verzameld. Op basis van deze selectie krijgt de student een go of no go om een examenaanvraag te doen. Na een positieve reactie op de examenaanvraag treedt het procesgebied Examinering in werking. Resultaat van dit procesgebied is een goed voorbereide student, die met vertrouwen (in zichzelf en in zijn begeleiders vanuit de school en de praktijk) het procesgebied Examineren kan ingaan. Input van dit procesgebied zijn de kaders uit het procesgebied Kaders stellen. In de digitale procesarchitectuur is het procesgebied Leren niet gedetailleerd uitgewerkt of voorzien van servicedocumenten, omdat de focus van de procesarchitectuur op examinering ligt. IBPDOC8, versie 2.0 Pagina 7 van 53

8 Examinering: In dit procesgebied vindt de daadwerkelijke uitvoering/afname van het examen plaats. Er is een examen, een student heeft zich hiervoor aangemeld en vervolgens maakt de student het examen om vast te stellen of hij aan de eisen voldoet. Dit examen kan zowel plaatsvinden op school of in de beroepspraktijk en wordt afgenomen door (vaak twee) beoordelaars/assessoren. De uitvoering van dit procesgebied doet de mbo-school meestal zélf, maar de school kan het ook uitbesteden (rode lijn in het schema). Nadat de student het examen heeft uitgevoerd en de beoordelaar zijn oordeel heeft gegeven, wordt het resultaat vastgesteld. De risico s die behoren bij Uitvoeren worden in dit document benoemd en vervolgens d.m.v. beheersmaatregelen gemitigeerd. Diplomering: Wanneer een student aan de eisen voor diplomering voldoet, ontvangt hij/zij het diploma. De diplomabeslissing en waarde van het diploma moeten boven iedere twijfel verheven zijn. 2.2 Verantwoording van risico s binnen de processen Kwaliteitsborging per procesgebied vindt voornamelijk plaats door de pdca-cyclus goed te doorlopen. Dit betekent dat er na de uitvoering van de processtappen niet alleen een check moet plaatsvinden, maar de check vervolgens zo nodig moet leiden tot een concrete aanpassing die goed wordt gedocumenteerd. Aan het uitvoeren van de kwaliteitsborging is geen risico m.b.t. de informatiebeveiliging verbonden. Juist dit Toetsingskader kan dienst doen als onderdeel van de kwaliteitsborgingscyclus In de processtappen Kaders stellen, Leren en Diplomeren zijn zeker risico s te onderkennen, de bijbehorende beheersmaatregelen zijn doorgaans niet gekoppeld aan nieuwe ICT risico s, tenzij er redenen zijn voor individuele medewerkers om eindresultaten te manipuleren. In die gevallen zullen mbo-scholen ook maatregelen moeten treffen om de kans hierop te minimaliseren. Ook voor het beveiligen van de eindgegevens die leiden tot het verstrekken van de (juiste) diploma's kent een aantal beperkte risico's. IBPDOC8, versie 2.0 Pagina 8 van 53

9 2.2.1 Construeren en vaststellen Construeren en vaststellen bevat vier deelprocessen. Het deelproces Construeren examens kent een verhoogd risico indien de informatiebeveiliging niet op orde is. De risico s en beheersmaatregelen worden in dit document verder uitgewerkt Examineren Examineren bevat vijf deelprocessen. Het deelproces Uitvoeren kent een verhoogd risico indien de informatiebeveiliging niet op orde is. Hierbij dient een onderscheid te worden gemaakt tussen examineren van de beroepspraktijk (bijvoorbeeld theoretische examens, uniforme projectopdrachten) en examineren in de beroepspraktijk (zoals proeve van bekwaamheid of simulaties). De risico s en beheersmaatregelen worden in dit document verder uitgewerkt Diplomeren Diplomeren bevat twee deelprocessen. De deelprocessen kennen, na een goede uitvoering van de eerdere procesgebieden, een verhoogd risico indien informatiebeveiliging niet op orde is. Een goede beveiliging van resultaten en onderliggende bewijslast leiden uiteindelijk tot een terecht verstrekt diploma. De risico s en beheersmaatregelen zijn voor een belangrijk deel afhankelijk van de stappen die in eerdere processen zijn genomen Kwaliteitsborging Bij kwaliteitsborging van de pdca-cyclus, herkenbaar als grijze schil onder en rondom alle examenprocessen, verzamelt de examencommissie gegevens over de kwaliteit van de eigen examenstandaarden en kaders, examenprocessen, exameninstrumenten, examenfunctionarissen en de examenorganisatie. De examencommissie heeft tot taak zicht en grip te hebben op het gehele proces van examinering en de kwaliteit hiervan te borgen. De borging, die feitelijk een evaluerend karakter heeft, kent twee kanten: na afloop van één van de examineringsfasen (procesgebieden) of aan het einde van de gehele examencyclus. Als alle input van de evaluatie van procesgebieden zijn verzameld, kan een evaluatie plaatsvinden van het gehele proces. Alleen dán kan er sprake zijn van borging en structurele verbetering van de examenkwaliteit. Om in control te blijven is een goede kwaliteitsborging per procesgebied een voorwaarde voor goede borging van het gehele examineringsproces... IBPDOC8, versie 2.0 Pagina 9 van 53

10 3. Compliance examinering 3.1 Algemeen Vanuit de overheid is er regelgeving op het gebied van examinering binnen het mbo. In deze wet- en regelgeving zijn informatiebeveiligingsaspecten opgenomen. In samenwerking met de MBO Raad is van deze informatiebeveiligingsaspecten een set van informatiebeveiligingsnormen gemaakt. Vanuit de navolgende wet- en regelgeving zijn de normen geformuleerd: WEB = wet educatie en beroepsonderwijs TK12 = toetsingskader '12 TKA15 = addendum '15 RECE'15 = regeling examenprotocol centrale examinering RMD = regeling modeldiploma HRSE = handreiking onregelmatigheden servicepunt Naast de betreffende informatiebeveiligingsaspecten zijn er in de wet- en regelgeving omtrent examinering ook kwaliteitsaspecten die geregeld moeten zijn. Deze vallen echter geheel buiten het kader van informatiebeveiliging. Meer informatie over de kwaliteitsaspecten kan verkregen worden via het servicepunt examinering van de MBO Raad. Wat opvalt is dat veel van de vereiste informatiebeveiligingsaspecten terugkomen in de statements die in het algemene informatiebeveiligingskader dat is opgesteld vanuit de ISO norm 27001/2. In zijn algemeenheid kan dan ook gezegd worden dat allereerst de generieke informatiebeveiliging op orde moet zijn. Dit is geheel uitgewerkt in het betreffende toetsingskader informatiebeveiliging IBP- DOC3. Voor examinering zijn er een aantal van deze basisaspecten die meer aandacht behoeft of een hoger niveau van het vervullen van de betreffende norm. Dat is het gemeenschappelijk deel, zie bijgaand figuur. Daar waar bij het algemene toetsingskader informatiebeveiliging wellicht een niveau 2 voldoende geacht wordt, is het in het kader van examinering van belang om hier een hoger ambitieniveau aan de dag te leggen, bijvoorbeeld een niveau 3 of zelfs 4. Deze subset van 18 statements is uit het algemene normenkader ib gelicht en in dit document in hoofdstuk 4 weergegeven. Bij de statements is een korte toelichting op de relatie met examinering aangegeven. Informatiebeveiliging ISO (114 normen) IB mbo (79 normen) Normenkader: 85 statements Gemeenschappelijk Normenkader: 17 statements Toetsingskader examinering Normenkader: 17 statements Compliance examinering Normenkader: 30 statements Naast deze statements op basis van het generieke informatiebeveiligingskader is ook een aanvullende set van statements opgesteld die uit de eerder genoemde wet- en regelgeving gedestilleerd is. Dit is een set normen geworden, die deels ook van toepassing is op al bestaande processen uit het pre-digitale tijdperk. Die zijn wel IBPDOC8, versie 2.0 Pagina 10 van 53

11 opgenomen in de bijlage maar spelen in het voorliggende toetsingskader geen rol. In het kader van het programma Informatiebeveiliging en Privacy van de huidige taskforce mbo gaat het vooral om examinering waarbij de inzet van ict een rol speelt: digitale versies van examens en het digitaal afnemen van examinering, De daarbij behorende informatiebeveiligingsaspecten zijn in een subset van aanvullende statements opgenomen en deze subset van 16 statements worden in dit toetsingskader examinering verder uitgewerkt. De complete set van aanvullende examineringstatements is in een aparte bijlage opgenomen en kan als zodanig het compliance kader examinering genoemd worden. Wie daar gebruik van wil maken is vrij dat te doen om zodoende ook de klassieke wijze van omgaan met examens mogelijk te verbeteren. 3.2 Clustering van statements In het generieke toetsingskader Informatiebeveiliging wordt gebruik gemaakt van een specifieke clustering. Het gaat daarbij om 6 standaard clusters: 1. Beleid en organisatie 2. Personeel, studenten en gasten 3. Ruimte en apparatuur 4. Continuïteit 5. Toegangsbeveiliging en integriteit 6. Controle en logging Zoals aangegeven is uit de generieke set van informatiebeveiligingsstatements een 18-tal statements gehaald waarop in het kader van examinering sprake is van een verhoogd risico en er dus extra aandacht voor deze statements en de bijpassende maatregelen moet zijn. Voor de indeling van deze 18 statements is de bestaande clustering gehandhaafd. In hoofdstuk 4 zijn deze statements weergegeven. Omdat voor privacy een speciaal pluscluster 7 is opgesteld, geldt dat voor examinering dit het pluscluster 8 is geworden. De aanvullende set van 16 statements rond examinering blijken vooral te behoren bij de processen van constructie en vaststelling van examens en het afnemen van examens. Daarbij zijn de statements voor deze processen ook nog eens overlappend zodat het weinig zin heeft om een dergelijke indeling te hanteren. Wel laten deze statements zich goed op een andere manier rangschikken. Enkele statements gaan over beleidsontwikkeling, een aantal andere zijn gerelateerd aan personele inzet en de bulk van de statements is toch gerelateerd aan de uitvoering van het examineringsproces. De aanvullende statements staan in deze volgorde in hoofdstuk 5 weergegeven. Het zo ontstane toetsingskader examinering mbo is bedoeld om onderwijsinstellingen een kader en handvatten te bieden om de informatiebeveiliging rondom digitale examens en examinering te regelen. Door het hanteren van de verschillende niveaus kan er een beeld van de reële situatie gemaakt worden (het bereikte niveau), als mede een streef- of ambitie niveau waaraan de instelling in de (nabije) toekomst zou willen gaan voldoen. Dit kan ook onderdeel zijn van sector brede afspraken hierover. Het toetsingskader examinering mbo geeft aan dat er veel maatregelen genomen moeten worden en er ook bewijslast in de zin van gedragen procedures en protocollen ontwikkeld moet worden. Gezien het aantal statements zou het beeld kunnen ontstaan dat er veel extra documenten en procedures opgeleverd moeten worden. In de praktijk zal dat mee vallen omdat het examineringsproces al loopt. Het gaat bij dit toetsingskader vooral om de toevoegingen aan bestaande maatregelen die nodig zijn om de beveiliging van digitale examens en examinering goed te regelen. Het is vaak vooral een kwestie dat aan bestaande procedures en protocollen een component met betrekking tot de digitalisering wordt toegevoegd. Ook is het mogelijk om diverse maatregelen, protocollen of procedures in één document te bundelen waardoor het geheel overzichtelijk blijft. Denk daarbij bijvoorbeeld aan een document over fraude waarin opgenomen is alle informatie over fraude en fraude incidenten zoals definiëring, richtlijnen, maatregelen, toepassingsgebieden, rollen, taken, bevoegdheden en verantwoordelijkheden, handelen bij onregelmatigheden, meldingen enz. enz. IBPDOC8, versie 2.0 Pagina 11 van 53

12 4. Toepassing toetsingskader Informatiebeveiliging (cluster 1 t/m 6) 4.1 Toelichting toetsingskader De statements in het normen- en toetsingskader examinering bestaan uit statements vanuit het toetsingskader IBP MBO en aanvullende statements vanuit de wet- en regelgeving rondom examinering. Het toetsingskader IBP MBO bevat 85 statements, verdeeld over 6 clusters. De clustering is gebaseerd op een logische indeling die goed bruikbaar is voor het mbo-onderwijs Hieruit zijn 18 statements geselecteerd die heel direct gerelateerd zijn aan examinering en extra aandacht behoeven als het om examinering gaat. Vaak kun je dan zeggen dat die op een hoger volwassenheidsniveau moeten worden ingevuld, bijvoorbeeld niveau 3 in plaats van 2. In dit hoofdstuk zijn die statements weergegeven. Schematische samenvatting clustering: Cluster Onderwerpen (o.a.) Kwaliteitsaspec- 1.Beleid en Organisatie 5 examen gerelateerde statements 2.Personeel, studenten en gasten 3 examen gerelateerde statements 3.Ruimte en Apparatuur 1 examen gerelateerd statement 4.Continuïteit 2 examen gerelateerde statements 5.Toegangsbeveiliging en Integriteit 4 examen gerelateerde statements 6.Controle en logging 3 examen gerelateerde statements Informatiebeveiligingsbeleid Classificatie Inrichten beheer ten Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid Informatiebeveiligingsbeleid Aanvullingen arbeidsovereenkomst Scholing en bewustwording Beveiligen van hardware, devices en bekabeling Anti-virussen, back up, bedrijfscontinuïteitsplanning Gebruikersbeheer, wachtwoorden, online transacties, cryptografisch sleutelbeheer, validatie Systeemacceptatie, loggen van gegevens, registreren storingen, toetsen beleid Beschikbaarheid Integriteit Beschikbaarheid Integriteit Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid Betrokkenen College van bestuur Directeuren College van bestuur Dienst HRM Ondernemingsraad College van bestuur Dienst ict of afdeling College van bestuur Dienst ICT of afdeling functioneel beheer College van bestuur Dienst ICT of afdeling functioneel beheer College van bestuur Stafmedewerker informatiebeveiliging Kwaliteitszorg Voor een afdoende risicobeheersing t.a.v. informatiebeveiliging en privacy binnen een onderwijsinstelling moeten alle 85 statements op orde zijn. Daarbij zou dan uitgegaan moeten worden van een volwassenheidsniveau 2 voor de maatregelen om aan het statement te voldoen. Dat wil zeggen opzet, bestaan en gedeeltelijke werking (een aantal collega s werkt volgens de afspraak maar nog niet de gehele organisatie). Veel van deze generieke statements zijn zeker ook voor examinering van belang. In de tabel hieronder zijn de 18 geselecteerde statements in twee groepen weergegeven: 1. Generieke statements vooraf. Deze moeten voorafgaande aan het proces op orde zijn. 2. Generieke statements tijdens het proces. Deze moeten voortdurend worden getoetst tijdens het proces. IBPDOC8, versie 2.0 Pagina 12 van 53

13 Bij de statement is een toelichting m.b.t. de relatie met examinering opgenomen. De volgende sub paragrafen geven een opsomming, van de subset van statements. In de bijlagen worden voor de volledigheid van dit documenten ook de bijbehorende toetsingskaders aangegeven, zoals die ook in het generieke toetsingskader informatiebeveiliging weergegeven zijn.. Generieke statements voorafgaande aan examinering Nr. ISO27002 Statement Opnemen van beveiligingsaspecten in leveranciersovereenkomsten: Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. Toelichting examineren: Beveiligingsaspecten opnemen in de leveranciersovereenkomsten voor digitale examens, bijvoorbeeld in SLA vorm met zaken als beschikbaarheid, performance, logging van handelingen van gebruikers en veilige koppeling van gegevens. Voor privacy aspecten geldt de noodzaak van een bewerkersovereenkomst Verantwoordelijkheden en procedures: Er zijn leidinggevende en -procedures vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen. Toelichting examineren: Informatiebeveiligingsincidenten in het kader van digitaal examineren worden geregistreerd en er is een afhandelingsproces gedefinieerd waarin taken, verantwoordelijkheden en bevoegdheden zijn belegd. Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. Toelichting examineren: Informatiebeveiligingsincidenten in het kader van digitaal examineren worden gerapporteerd. Beschermen van registraties: Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. Toelichting examineren: Registraties van digitale examens en de bewaartermijnen voldoen aan wet- en regelgeving. Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Toelichting examineren: Er moet een passende toegangsbeveiliging zijn voor systemen waarin examenmateriaal is opgeslagen. Dit omvat gebruikersbeheer, passende autorisaties, inlogprocedures, het loggen van inlog(pogingen). Inlogprocedures voor digitale examens voldoen aan de wet- en regelgeving van een mbo instelling Generieke statements tijdens het proces van examinering Nr. ISO27002 Statement Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld. Toelichting examineren: Er is beleid nodig voor het adequaat afschermen van examineringsgegevens d.m.v. het toepassen van cryptografische beheersmaatregelen (versleutelen bij transport en opslag van data). Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd. Toelichting examineren: Alle medewerkers betrokken bij examineren maken gebruik van versleutelingstechnieken conform het beleid. IBPDOC8, versie 2.0 Pagina 13 van 53

14 Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, bij wijzigingen behoren ze te worden aangepast. Toelichting examineren: Toegangsrechten tot systemen met examineringsgegevens worden uitgegeven/ingetrokken volgens vastgestelde procedures/beleid. Clear desk - en clear screen -beleid: Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatie verwerkende faciliteiten te worden ingesteld. Toelichting examineren: Alle medewerkers met toegang tot examineringsgegevens hanteren een clear desk en clear screen - beleid. Kantoren, ruimten en faciliteiten beveiligen: Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast. Toelichting examineren: Er is een fysieke beveiliging van ruimten waar examens worden geconstrueerd en afgenomen. Respons op informatiebeveiligingsincidenten: Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures. Toelichting examineren: Beveiligingsincidenten die geregistreerd zijn bij de afname van digitale examens worden adequaat opgelost. Beschikbaarheid van informatie verwerkende faciliteiten: Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. Toelichting examineren: Er zijn voorzieningen getroffen (zoals reserve apparatuur) zodat examens bij bijv. korte netwerkstoringen of een defecte PC kunnen doorgaan. Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Toelichting examineren: Er is een beleid geformuleerd voor de toegang van digitale examens. Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Toelichting examineren: Deelnemers die hun examen hebben afgerond worden geregistreerd en afgemeld. Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. Toelichting examineren: Logbestanden van de afname digitale examens, van toegang tot examenmateriaal en tot examenresultaten zijn beschermd tegen inbreuk en onbevoegde toegang. Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. Toelichting examineren: De toegangsrechten tot examens en examenconstructie worden regelmatig beoordeeld. Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Toelichting examineren: Activiteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen van medewerkers die examineringsgegevens inzien of bewerken moeten worden geregistreerd (gelogd) en beoordeeld. Logbestanden van beheerders en operators: Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld. Toelichting examineren: Activiteiten van gebruikers die bij examengegevens kunnen, moeten worden gelogd. IBPDOC8, versie 2.0 Pagina 14 van 53

15 5. Statements digitaal examineren 5.1 Toelichting op de aanvullende statements ISO en 27002, de Code voor Informatiebeveiliging, beschrijft weliswaar alle voorkomende risico s op het gebied van informatiebeveiliging en privacy, maar alleen op een generieke manier. De Code is niet opgesteld om bijvoorbeeld de risico s van toets constructie of toets afname te verminderen. Een flink deel van de risico s worden afgedekt maar niet alle. In dit hoofdstuk benoemen we de 16 aanvullende statements die vanuit het complete compliance kader examinering zijn geselecteerd in relatie tot de digitale aspecten van de processen rond examinering. Zoals aangegeven zijn deze gerangschikt naar beleid, personeel en uitvoering examinering. 5.2 Aanvullende statements gerelateerd aan beleid E.1 WEB Art Art TK12; , , RECE '15; (1, 2, 6-17, 18, 19) RMD HRSE; p. 5-7, p Beleidsregels examinering Voor de informatiebeveiliging van examinering moeten beleidsregels worden gedefinieerd, goedgekeurd door het CvB, gepubliceerd en gecommuniceerd aan medewerkers en andere betrokkenen. E.2 E.3 E.4 E.5 E.6 WEB Art , Art TK12; , RECE '15; (6-17) RMD HRSE; p.5-7 WEB Art , Art , Art TK12; , RECE '15; (1) (6-17) RMD Art. 5 HRSE; p. 5-6 WEB Art Art Art Art TK12; ,2.2.2, RECE '15; (1-5, 11-12) RMD HRSE; p. 4-6, p. 8, p. 11, p 14 WEB Art a Art Art , Art Art TK12; 2.1.5, 2.2.1, 2.2.2, RECE '15; (1, 2, 5, 6-17, 19) RMD HRSE; p. 4-5, p. 11, p. 12 WEB Art TK12; 2.1.5, , RECE '15; (1, 11, 18) RMD HRSE; p. 14 Richtlijnen bij constatering fraude bij digitale examens Het handelen bij de constatering van onregelmatigheden en fraude moet volgens een vastgestelde standaardrichtlijn te geschieden. Procesaanpassing bij digitale examens m.b.t. examenfraude Om examenfraude in de toekomst te voorkomen moeten passende procedures worden ontwikkeld en geïmplementeerd die in overeenstemming zijn met het vastgestelde examenreglement van de organisatie. Procedure ontwikkelen examinering in beveiligde omgeving Inkoop, ontwikkeling of hergebruik van examens dienen volgens vastgestelde standaardprocedures uitgevoerd te worden, uitsluitend door daartoe bevoegde en bekwame personen met een hiertoe vastgestelde taak. Procedure voorbereiden en afnemen examens Bij de voorbereiding en bij het afnemen van examens worden ict faciliteiten op gestructureerde wijze gereserveerd en ingezet Eindevaluatie examenproces en de integriteit van resultaten Er moet een eindevaluatie ingeregeld zijn om te beoordelen of eindresultaten conform verwachtingen zijn of dat er wellicht fraude of onregelmatigheden zijn geconstateerd. IBPDOC8, versie 2.0 Pagina 15 van 53

16 5.3 Aanvullende statements gerelateerd aan personeel E.7 WEB Art , Art a.1-2. TK12; 2.1.5, RECE '15; nvt RMD HRSE; p. 4-5, 11, 14 Gedragscodes, inclusief richtlijnen Er dienen gedragscodes of -richtlijnen te zijn omtrent examenafname en de omgang met examengegevens. Deze richtlijnen dienen ingevoerd te zijn voor interne en externe betrokkenen. E.8 E.9 WEB Art Art Art TK12; 2.1.5, , RECE '15; (12) RMD HRSE; p. 4-5, 8-10, 14 WEB Art TK12; 2.1.5, , RECE '15; (2-17) RMD HRSE; p. 9 Extra ondersteuning bij examens. Extra ondersteuning bij examens voortvloeiend uit een zorgdossier vindt alleen plaats aan de hand van vastgelegde afspraken op individueel niveau. Trainingen en vaardigheden m.b.t fraude bij digitale examens Bij het afnemen van examens dient personeel ingezet te worden met voldoende vaardigheden met betrekking het correct laten verlopen van de examens en tot het herkennen van mogelijke fraude en het adequaat afhandelen daarvan. 5.4 Aanvullende statements gerelateerd aan uitvoering E.10 E.11 E.12 E.13 E.14 E.15 E.16 WEB Art , Art TK12; 2.1.5, , RECE '15; (1) (4) RMD HRSE; p WEB Art , Art TK12; 2.1.5, , RECE '15; (1) (2-5) RMD HRSE; p WEB Art , Art TK12; 2.1.5, , RECE '15; (1) (2) RMD HRSE; p WEB Art , Art TK12; 2.1.5, , RECE '15; (1) (5, 7) RMD HRSE; p. 12, 14 WEB Art , Art TK12; 2.1.5, , RECE '15; (1) (5, 18, 19) RMD HRSE; p WEB Art TK12; 2.1.5, , RECE '15; (1) nvt RMD HRSE; p. 4-5, 7 WEB Art TK12; 2.1.5, RECE '15; (1) (2) (12) RMD HRSE; p. 4-5, 8-9 Beveiligde examenruimte De examenomgeving (fysiek en digitaal) dient beveiligd te zijn tegen fraude en/of onregelmatigheden. Faciliteiten voor examen Het beschikbaar stellen van de faciliteiten voor examens en het hanteren van deze faciliteiten dient volgens een vastgestelde standaardprocedure te verlopen. Hanteren van digitaal examenmateriaal Het veilig omgaan met en het beschikbaar stellen van examenmateriaal dient volgens een vastgestelde standaardprocedure te verlopen. Continuïteitsplan Voor resources die op het moment van examinering beschikbaar moeten zijn, of waarnaar in aanloop naar de examinering een kritieke tijdsafhankelijke relatie bestaat, is een continuïteitsplan beschikbaar. Toekennen examens aan deelnemers De toekenning van examens aan deelnemers en de controle op naleving daarvan moet via een veilige procedure verlopen. Hergebruik examenvragen Bij hergebruik van examens dient er een verscherpte beveiliging te zijn om kopiëren tegen te gaan. Vernietigen examenmateriaal Het vernietigen van examenmateriaal (vragen, gemaakte examens, concepten en hulpmateriaal) dient op een effectieve en veilige manier te gebeuren met inachtneming van de eisen voor bewaartermijnen. IBPDOC8, versie 2.0 Pagina 16 van 53

17 Bijlage 1: Uitwerking aanvullende statements examinering E.1 Beleidsregels examinering Plus cluster: Examinering E.1 Beleidsregels examinering Voor de informatiebeveiliging van examinering moeten beleidsregels worden gedefinieerd, goedgekeurd door het CvB, gepubliceerd en gecommuniceerd aan medewerkers en andere betrokkenen. Toelichting: Zie bijlage 1 voor inhoud. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er wordt intuïtief vanuit eigen titel gehandeld om de informatiebeveiliging invulling te geven. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er is een beleid op informatiebeveiliging m.b.t. examinering. Het beleid is afgestemd en vastgesteld door het CvB. Evidence: 1. Kopie vastgesteld (ondertekend) IB beleid examinering door CvB 2. Kopie verslag CvB beraad waar IB beleid examinering is vastgesteld. Het door het CvB vastgestelde beleid is uitgedragen naar de organisatie en is bekend bij alle betrokkenen bij het examenproces. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence in aanvulling op 2: 1. Kopie van melding IB-beleid examinering aan betrokkenen 2. Kopie van verslag gesprekscyclus directeuren en managers waarin examineringsbeleid besproken is met de betrokkenen Het beleid op informatiebeveiliging m.b.t. examinering wordt jaarlijks geëvalueerd door het CvB en de examencommissie. De evaluatie leidt tot verbeteringen in het examenbeleid en de uitvoering daarvan. Wijzigingen worden vastgesteld en toegepast. Evidence in aanvulling op 3: 1. Kopie van evaluatierapport IB-beleid op examinering. 2. Kopie van lijst met vastgestelde verbeteringen en/of actieplan 3. Kopie van verslag gesprekscyclus CvB en managementteam Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerde interne audit- en compliance proces. Evidence in aanvulling op 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 17 van 53

18 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 18 van 53

19 E.2 Richtlijnen bij constateren fraude bij digitale examens Plus cluster: Examinering: E.2 Richtlijnen bij constatering fraude bij digitale examens Het handelen bij de constatering van onregelmatigheden en fraude moet volgens een vastgestelde standaardrichtlijn te geschieden. Toelichting: Om te zorgen dat door alle betrokkenen bij het examenproces op een eenduidige manier handelen bij onregelmatigheden en fraude, is er een vastgestelde en geïmplementeerde richtlijn nodig. Niveaus Beheersmaatregel (plus evidence) audit Volwassenheidsniveau 1 (Ad hoc / initieel) Het handelen bij de constatering van onregelmatigheden of fraude zijn intuïtief en ad hoc. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een richtlijn beschikbaar met daarin opgenomen de manier van handelen bij de constatering van onregelmatigheden of fraude. Deze richtlijn is goedgekeurd door het college van bestuur. Evidence: 1. Kopie van de richtlijn Hoe te handelen bij de constatering van onregelmatigheden en/of fraude. 2. Kopie van besluitenlijst van CvB waarin deze richtlijn is vastgesteld. 3. Overzicht van de registraties van deze constateringen Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) De vastgestelde richtlijn Hoe te handelen bij de constatering van onregelmatigheden en/of fraude is gepubliceerd en gecommuniceerd. Alle betrokkenen bij examinering handelen volgens deze richtlijn. Evidence in aanvulling op 2: 1. Kopie van communicatie Hoe te handelen bij onregelmatigheden en fraude naar relevante medewerkers. 2. Kopie van opname van de manier van handelen bij onregelmatigheden en fraude in de gesprekscyclus HR met de betrokken medewerkers. 3. Kopie van overzicht onregelmatigheden en fraudes wordt met de medewerkers besproken. De richtlijn voor handelen bij onregelmatigheden en fraude wordt jaarlijks geëvalueerd door de examencommissie en besproken in het CvB-overleg. Verbeteringen worden besproken, vastgesteld en doorgevoerd. Evidence in aanvulling op 3: 1. Kopie van evaluatieverslag van deze richtlijn 2. Kopie van verslag CvB overleg waarin de evaluatie en verbetervoorstellen zijn besproken en vastgesteld 3. Kopie van verbeterplan Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 19 van 53

21 E.3 Procesaanpassing bij examenfraude bij digitale examens Plus cluster: Examinering: E.3 Procesaanpassing bij examenfraude digitale examens Om geconstateerde examenfraude in de toekomst te voorkomen moeten passende procedures worden ontwikkeld en geïmplementeerd die in overeenstemming zijn met het vastgestelde examenreglement van de organisatie. Toelichting: Het is aan te bevelen om een risicoanalyse op de proces beschrijving examineren te maken. Van daaruit is op basis van een AO/IC (Administratieve Organisatie en Interne Controle) een document aanpak van examenfraude te vervaardigen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Reacties op examenfraudes gebeurt, ad hoc of intuïtief nadat de fraude is geconstateerd door individuele medewerkers naar overleg met leidinggevenden. Er is een document beschikbaar waarin de aanpak van examenfraude is beschreven, bovendien is dit document goedgekeurd door het College van bestuur. Volwassenheidsniveau 3 (gedefinieerd proces) Evidence: 1. Kopie van een document waarin de aanpak van de examenfraude is vastgelegd. 2. Kopie van de besluitenlijst van het college van bestuur, waarin het document examenfraude is vastgesteld. 3. Kopie van overzicht geregistreerde fraude gevallen. Het vastgestelde examenfraudebeleid wordt door alle medewerkers die betrokken zijn examinering uitgevoerd conform de vastgestelde richtlijnen. Evidence in aanvulling op 2: 1. Kopie van scholingsplan voorkomen examenfraude; 2. Kopie van richtlijn gesprekscyclus HR waarin de aanpak van examenfraude wordt besproken met medewerkers. 3. Kopie van overzicht examenfraude wordt besproken met medewerkers. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Het vastgestelde examenfraudebeleid wordt halfjaarlijks besproken in het directieberaad en het college van bestuur. Verbeteringen worden besproken en vastgesteld. Er dus duidelijk sprake van een PDCAcyclus. Evidence in aanvulling op 3: 1. Kopie van verslag directieberaad en CvB-overleg waarin het examenfraudebeleid wordt besproken en verbeteringen worden ingevoerd. Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en complianceproces. Evidence in aanvulling op 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 21 van 53

23 E.4 Procedure ontwikkelen examinering in beveiligde omgeving Plus cluster: Examinering: E.4 Procedure ontwikkelen examinering in beveiligde omgeving Inkoop, ontwikkeling of hergebruik van examens dienen volgens vastgestelde standaardprocedures uitgevoerd te worden, uitsluitend door daartoe bevoegde en bekwame personen met een hiertoe vastgestelde taak en op basis van een vastgestelde procedure. Toelichting: Er is een procedure digitale examens waarin beschreven is welke functionaris verantwoordelijk is voor de aankoop, zelf ontwikkelde of hergebruikte examens alsmede welke procedure gevolgd moet worden rond inkoop, ontwikkeling en hergebruik examinering. Zoals bijvoorbeeld welk PvE er gevolgd wordt, welke besluitvormingsprocedures er is, hoe het beheer verloopt. Daarmee is ook elk gebruikt examen binnen een mbo instelling gekoppeld aan een natuurlijk persoon die verantwoordelijk voor de geheimhouding van digitale examens. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er wordt intuïtief vanuit eigen titel gehandeld om de informatiebeveiliging invulling te geven. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een procedure ontwikkelen examens. De procedure is afgestemd en vastgesteld door het CvB. Evidence: 1. Kopie vastgestelde (ondertekend) procedure ontwikkelen examens door het CvB 2. Kopie verslag CvB beraad waar procedure ontwikkelen examens is vastgesteld. Volwassenheidsniveau 3 (gedefinieerd proces) Het door het CvB vastgestelde procedure ontwikkelen examens is uitgedragen naar de organisatie en is bekend bij alle betrokkenen bij het examenproces. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence in aanvulling op 2: 1. Kopie van melding procedure ontwikkelen examens aan betrokkenen 2. Kopie van verslag gesprekscyclus directeuren en managers waarin het procedure ontwikkelen examens besproken is met de betrokkenen Het procedure ontwikkelen examens wordt jaarlijks geëvalueerd door het CvB en de examencommissie. De evaluatie leidt tot verbeteringen in het examenbeleid en de uitvoering daarvan. Wijzigingen worden vastgesteld en toegepast. Evidence in aanvulling op 3: 1. Kopie van evaluatierapport procedure ontwikkelen examens. 2. Kopie van lijst met vastgestelde verbeteringen en/of actieplan 3. Kopie van verslag gesprekscyclus CvB en managementteam Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerde interne audit- en compliance proces. Evidence in aanvulling op 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 23 van 53

25 E.5 Procedure voorbereiden en afnemen examens Plus cluster: Examinering E.5 Procedure voorbereiden en afnemen examens Bij de voorbereiding en bij het afnemen van examens worden ict-faciliteiten op gestructureerde wijze gereserveerd en ingezet. Toelichting: Het afnemen van digitale examens is gevoelig voor fraude en dient veilig plaats te vinden. Hierbij speelt de inzet van ict een belangrijke rol. Zie bijlage 2 voor onderdelen die onder deze beheersmaatregel vallen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) De wijze waarom ICT faciliteiten worden ingezet bij het voorbereiden en afnemen van examens gebeurt ad hoc of intuïtief door de individuele medewerker. Er is een procedure voor het inzetten van ICT-faciliteiten bij de voorbreiding en het afnemen van examens binnen de instelling. Deze is vastgesteld door het CvB of de examencommissie. Volwassenheidsniveau 3 (gedefinieerd proces) Evidence: 1. Kopie van vastgestelde procedure 2. Kopie van besluitenlijst CvB of examencommissie waarin deze procedure wordt vastgesteld De vastgestelde procedure is gepubliceerd en gecommuniceerd met alle betrokkenen. De procedure wordt door alle betrokkenen uitgevoerd. Evidence aanvullend op niveau 2: 1. kopie van aangewezen examenruimten 2. Kopie van checklist dat de stukken in de bijlage zijn gebruikt tijdens een examensessie 3. Kopie van de stukken die in de bijlage zijn genoemd 3. Kopie van lijst studenten met aanvullende ondersteuning Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) De procedure wordt jaarlijks geëvalueerd door het CvB of de examencommissie. De bevindingen en aanbevelingen worden door het CvB besproken, vastgesteld en door de examencommissie doorgevoerd. Evidence aanvullend op niveau 3: 1. Kopie evaluatierapport van deze procedure 2. Kopie verslag CvB overleg waarin de evaluatie en verbetervoorstellen worden besproken en vastgesteld. 3. Kopie verbeterplan Het proces, de procedures en/of documentatie is volgens best-practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 25 van 53

27 E.6 Eindevaluatie examenproces, inclusief integriteit Plus cluster: Examinering: E.6 Eindevaluatie examenproces en de integriteit van de resultaten Er moet een eindevaluatie ingeregeld zijn om te beoordelen of eindresultaten conform verwachtingen zijn of dat er wellicht fraude of onregelmatigheden zijn geconstateerd. Toelichting: Er is een vastgestelde checklist om de kwaliteit (validiteit en integriteit) te beoordelen. De checklist bevat verbandcontroles met eerdere examens waardoor eventuele onrechtmatigheden gesignaleerd kunnen worden. Deze controles kunnen geautomatiseerd worden uitgevoerd. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er wordt intuïtief vanuit eigen titel gehandeld om de informatiebeveiliging invulling te geven. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een checklist eindevaluatie examenproces opgesteld. Het beleid is afgestemd en vastgesteld door het CvB. Evidence: 1. Kopie vastgesteld (ondertekend) checklist eindevaluatie examenproces door CvB Volwassenheidsniveau 3 (gedefinieerd proces) Het door het CvB vastgestelde beleid is uitgedragen naar de organisatie en is bekend bij alle betrokkenen bij het examenproces. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence in aanvulling op 2: 1. Kopie van melding checklist eindevaluatie examenproces aan betrokkenen 2. Kopie van verslag gesprekscyclus directeuren en managers waarin checklist eindevaluatie examenproces besproken is met de betrokkenen De checklist eindevaluatie examenproces m.b.t. examinering wordt jaarlijks geëvalueerd door het CvB en de examencommissie. De evaluatie leidt tot verbeteringen in het examenbeleid en de uitvoering daarvan. Wijzigingen worden vastgesteld en toegepast. Evidence in aanvulling op 3: 1. Kopie van evaluatierapport checklist eindevaluatie examenproces. 2. Kopie van lijst met vastgestelde verbeteringen en/of actieplan 3. Kopie van verslag gesprekscyclus CvB en managementteam Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerde interne audit- en compliance proces. Evidence in aanvulling op 4: 1. Voorbeeld van toegepaste best practice. Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 27 van 53

28 E.7 Gedragscodes, inclusief richtlijnen Plus cluster: Examinering E.8 Gedragscodes, inclusief richtlijnen Er dienen gedragscodes of -richtlijnen te zijn omtrent examenafname en de omgang met examengegevens. Deze richtlijnen dienen ingevoerd te zijn voor interne en externe betrokkenen. Toelichting: Voor, tijdens en na het examen moeten alle betrokkenen bij het examenproces zich houden aan de opgestelde gedragscodes of richtlijnen die betrekking hebben op o.a. oplettenheid, geheimhouding en zorgvuldigheid. De gedragscodes gelden zowel voor alle medewerkers van de mbo-instelling als voor alle betrokken externen die met het examen of examengegevens in aanraking komen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Het gedrag van de betrokkenen in het examenproces gebeurd intuïtief en/of ad hoc. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er zijn gedragscodes opgesteld door het de examencommissie voor alle personen die betrokken zijn bij examinering. De gedragscodes zijn vastgesteld door het CvB. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence: 1. Kopie van gedragscodes voor betrokkenen bij het examenproces 2. Kopie van besluitenlijst van CvB waarin de gedragscodes zijn vastgesteld. Alle betrokken bij het examenproces zijn op de hoogte van de gedragscodes en handelen hiernaar. Evidence aanvullend op niveau 2: 1. Kopie van publicatie van gedragscodes 2. Kopie van richtlijn HR-gesprekscyclus met daarin opgenomen de gedragscodes 3. Kopie van artikel, met hierin opgenomen de gedragscodes, welke wordt opgenomen in de contracten met externen De gedragscodes worden jaarlijks geëvalueerd door de examencommissie. Vanuit de evaluatie worden er verbeteringen aangebracht. De nieuwe gedragscodes worden vastgesteld door het CvB. Evidence aanvullend op niveau 3: 1. Kopie van evaluatie verslag gedragscodes 2. Kopie van nieuw vastgestelde gedragscodes. Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 28 van 53

30 E.8 Extra ondersteuning bij examens Plus cluster: Examinering E.8 Extra ondersteuning bij digitale examens Extra ondersteuning op examens voortvloeiend uit een zorgdossier vindt alleen plaats aan de hand van vastgelegde afspraken op individueel niveau. Daarbij wordt tevens beoordeeld of deze geen beveiligingsprobleem opleveren. Toelichting: Studenten met een zorgdossier of beperkingen hebben recht op een aangepast examen. Voor studenten die extra ondersteuning nodig hebben op examens of waar aangepaste examens nodig zijn worden individuele afspraken gemaakt en vastgelegd. Hierbij moet gezien de digitale setting van de examinering beoordeeld worden of dit geen beveiligingsprobleem oplevert en moeten zo nodig hiervoor adequate maatregelen worden getroffen. Alle individuele afspraken met studenten worden vastgelegd in de bijlage van de onderwijsovereenkomst. Aanpassing van de examinering als gevolg van bepaalde beperkingen worden in het studenten dossier opgenomen Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er wordt ad hoc en/of intuïtief door de individuele medewerker vastgelegd welke extra ondersteuning een student krijgt. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Alle individuele afspraken met studenten zijn goedgekeurd door de examencommissie. En de examencommissie heeft vastgelegd bij welke (fysieke) beperkingen welke aanpassingen in het examen horen. Het CvB heeft de afspraken en aanpassingenlijst vastgesteld. Alle afspraken zijn op individueel niveau vastgelegd in de daarvoor bestemde documenten. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Evidence: 1. Kopie van standaardbijlage voor onderwijs overeenkomst waarin individuele afspraken voor aanpassingen in het examen zijn opgenomen 2. Kopie van standaardstudenten dossier met mogelijkheid voor opnemen aanpassingen voor studenten met beperkingen. 3. Kopie van vastgestelde aanpassingenlijst 4. Kopie van besluitenlijst CvB waarin opgenomen de vaststelling van de extra ondersteuning en de aanpassingenlijst. Er is een zorgplan voor de individuele student die extra ondersteuning nodig heeft. Er wordt gewerkt volgens de (door het CvB vastgestelde) standaard procedure voor overdracht van informatie omtrent de benodigde extra ondersteuning bij examens aan examinerend personeel. En het examenbureau en de surveillanten zorgen voor de extra ondersteuning. Evidence aanvullend op niveau 2: 1. Kopie van standaard zorgplan 2. Kopie van vastgestelde procedure Overdracht van informatie omtrent extra ondersteuning bij examens 3. Kopie van verslag van toegepaste extra ondersteuning per afgenomen examen. De procedure en de standaard documenten worden jaarlijks geëvalueerd door de examencommissie. Vanuit de evaluatie worden er verbeteringen aangebracht. Vernieuwingen in procedure en documenten worden vastgesteld door het CvB. IBPDOC8, versie 2.0 Pagina 30 van 53

31 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Evidence aanvullend op niveau 3: 1. Kopie van evaluatie verslag gedragscodes 2. Kopie van nieuw vastgestelde procedures en documenten Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 31 van 53

32 E.9 Trainingen en vaardigheden m.b.t. fraude Plus cluster: Examinering E.9 Trainingen m.b.t. fraude en vaardigheden Bij het afnemen van examens dient personeel ingezet te worden met voldoende vaardigheden met betrekking het correct laten verlopen van de examens en tot het herkennen van mogelijke fraude en het adequaat afhandelen daarvan. Toelichting: Met name tijdens het afnemen van digitale examens kan er fraude voorkomen. Deelnemers, surveillanten, docenten, toetsleiders en andere betrokkenen bij het examen dienen voldoende vaardig te zijn om dit te herkennen en voorkomen. Door het geven van trainingen verklein je de kans op fraude. Ondersteunend personeel moet ook beperkt vaardig zijn in het ondersteunen van het gebruik van ICT middelen: - Starten/stoppen toegang tot pc en/of netwerk en/of applicatie; - Helpen met inloggen en het omgaan met toets accounts; - Helpen bij navigatie door toets applicatie; - Helpen bij het gebruik van ondersteunende software voor deelnemers met een beperking; - Online controle tijdens toets van wie-is-ingelogd. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Het constateren en handelen bij fraude gebeurd ad hoc en/of intuïtief bij de individuele medewerker. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is door de examencommissie een training ontwikkeld op het gebied van fraude bij het afnemen van examens. De fraude trainingen zijn er voor alle betrokkenen bij het afnemen van het examen. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence: 1. Kopie training(en) Fraude voor alle betrokkenen De training Fraude bij het afnemen van examens heeft plaats gevonden en alle betrokkenen handelen daarnaar. Evidence aanvullend op niveau 2: 1. Kopie van certificaat fraudetraining. Elk jaar wordt de training geëvalueerd en aangepast aan de hand van de bevindingen, nieuwe normen (o.a. ISO), wet- en regelgeving en andere standaarden. Evidence aanvullend op niveau 3: 1. Kopie van nieuwe training. 2. Kopie van overzicht wijzigingen in training Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 32 van 53

33 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 33 van 53

34 E.10 Beveiligde examenruimtes Plus cluster: Examinering E.10 Beveiligde examenruimtes De examenomgeving (fysiek en/of digitaal) dient beveiligd te zijn tegen fraude en/of onregelmatigheden. Toelichting: Het vervaardigen van het document inrichting examenruimten is afgestemd met de operationele medewerkers en is mede tot stand gekomen om basis van (externe) best practices en richtlijnen zoals deze zijn opgesteld door het CITO (centrale examens) en andere instellingen met examen expertise. Examens worden in een examenruimte gemaakt. Dit kan bijvoorbeeld in een fysieke ruimte op papier zijn of in de digitale omgeving. De fysieke en digitale examenomgevingen zijn beveiligd tegen fraude en/of onregelmatigheden. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Inrichting van examenruimten gebeurt ad hoc of intuïtief er wordt geen rekening gehouden met fraude en/of onregelmatigheden. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een document beschikbaar waarin de inrichtingseisen en controle van examenruimten staan beschreven, bovendien is dit document goedgekeurd door het CvB. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence: 1. Kopie van document inrichting examenruimten is vastgelegd. 2. Kopie van de besluitenlijst van het college van bestuur, waarin het document inrichting examenruimten is vastgesteld. 3. Kopie van het besluit waarin een ruimte wordt erkend als zijnde een examenruimte conform de vastgestelde eisen. Alle examenruimten zijn volgens het vastgestelde document inrichting examenruimten opgeleverd. Surveillanten zijn getraind om volgens de vastgestelde richtlijnen te handelen. Evidence aanvullend op niveau 2: 1. Kopie van scholingsplan surveilleren in examenruimten; 2. Kopie van overzicht waaruit blijkt dat alle examenruimten conform het document inrichting examenruimten zijn opgeleverd. Het overzicht incidenten examenruimten wordt halfjaarlijks besproken in het directieberaad en het College van bestuur. Verbeteringen aangedragen door surveillanten en ICT beheerders worden besproken en vastgesteld. Er dus duidelijk sprake van een PDCA-cyclus. Evidence aanvullend op niveau 3: 1. Kopie van verslag directieberaad en CvB-overleg waarin het document incidenten examenruimten en voorgestelde verbeteringen wordt besproken en verbeteringen worden goedgekeurd. 2. Kopie van verbeterplan inrichting examenruimten. Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 34 van 53

36 E.11 Het beheren en documenteren van ict faciliteiten voor examinering Plus cluster: Examinering E.11 Het beheren en documenteren van ict faciliteiten voor examinering Het beheren en documenteren van ict faciliteiten voor examinering Toelichting: Het beheer van ICT faciliteiten en de documentatie rondom inzet en gebruik van ervan is gestructureerd. Zie bijlage 3. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Het beschikbaar stellen en hanteren van de diverse faciliteiten voor examens wordt ad hoc en/of intuïtief door de individuele medewerker gedaan. Er is een vastgestelde procedure voor het beschikbaar stellen en hanteren van een deel van de ICT-faciliteiten voor examens en het beheer ervan. Deze procedure is opgesteld door de examencommissie en goedgekeurd door het CvB. Volwassenheidsniveau 3 (gedefinieerd proces) Evidence: 1. Kopie van handleidingen, procedures, beschrijvingen, gebruiksinstructies van ICT-faciliteiten 2. Kopie van besluitenlijst CvB met daarin opgenomen de vaststelling van het beleid 'Het beheren en documenteren van ict faciliteiten voor examinering Er is een vastgestelde procedure voor het beschikbaar stellen en hanteren van alle ict-faciliteiten voor examens en het beheer ervan. Alle betrokkenen zijn geïnformeerd en geïnstrueerd over deze procedure. Evidence aanvullend op niveau 2: 1. Bewijs dat handleidingen, procedures, beschrijvingen, gebruiksinstructies van ICT-faciliteiten worden beheerd. 2. Bewijs dat deze bekend zijn bij de betrokkenen Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Het beheren en documenteren van ict faciliteiten wordt jaarlijks geëvalueerd door de examencommissie. De bevindingen en aanbevelingen worden door het CvB besproken, vastgesteld en door de examencommissie doorgevoerd. Evidence aanvullend op niveau 3: 1. Kopie van evaluatierapport van deze procedure 2. Kopie van verslag CvB-overleg waarin de evaluatie en verbetervoorstellen worden besproken en vastgesteld. 3. Kopie van verbeterplan Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en complianceproces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 36 van 53

38 E.12 Hanteren van digitaal examenmateriaal Plus cluster: Examinering E.12 Het hanteren van examenmateriaal Het veilig omgaan met en het beschikbaar stellen van examenmateriaal dient volgens een vastgestelde standaardprocedure te verlopen. Toelichting: Er is een vaste procedure voor het veilig beschikbaar stellen van het benodigde examenmateriaal voor een examen en hoe met deze materialen dient te worden omgegaan. Inhoud: In deze procedure dient minimaal te zijn opgenomen: Omschrijving examenmateriaal (wat het betreft); Benoeming eigenaar van examenmateriaal; Wie mogen bij dit materiaal (rollen) en wat mogen ze er mee doen (raadplegen, muteren e.d.); Beschrijven waar het materiaal moeten worden opgeslagen (in ruimte en/of applicatie); Hoe komen ze bij dit materiaal (aanvragen toegang ruimte of autorisatie systeem); Wie beheert de toegang (beheer van ruimte of beheer van applicatie of examens binnen applicatie); Gedragscode voor het omgaan met examenmateriaal (gebruik op laptop, USB sticks, kopiëren, toepassen encryptie); Loggen van toegang en mutaties. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Het beschikbaar stellen en hanteren van examenmateriaal wordt ad hoc en/of intuïtief door de individuele medewerker gedaan. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) De procedure voor veilig omgaan met en het beschikbaar stellen van examenmateriaal is opgesteld door de examencommissie en vastgesteld door het CvB. Belangrijk onderdeel van deze procedure is de beveiligde opslag van examens. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Evidence: 1. Kopie van procedure Omgaan van examenmateriaal'. 2. Kopie van besluitenlijst van CvB met daarin opgenomen de vaststelling van deze procedure. De procedure voor het veilig beschikbaar stellen en omgang met examenmateriaal is gepubliceerd en gecommuniceerd maar alle medewerkers die zijn betrokken bij examinering. Alle medewerkers handelen conform deze procedure. Evidence aanvullend op niveau 2: 1. Kopie van publicatie ingebruikname procedure 2. Kopie van logbestanden van wie, wanneer toegang had tot welk examenmateriaal 3. Kopie van overzicht gebruikt examenmateriaal per examen De procedure voor het beschikbaar stellen en omgang met examenmateriaal wordt jaarlijks geëvalueerd door de examencommissie. De bevindingen en aanbevelingen worden door het CvB besproken, vastgesteld en door de examencommissie doorgevoerd. Evidence aanvullend op niveau 3: 1. Kopie van evaluatierapport van deze procedure 2. Kopie van verslag CvB overleg waarin de evaluatie en verbetervoorstellen worden besproken en vastgesteld. 3. Kopie van verbeterplan IBPDOC8, versie 2.0 Pagina 38 van 53

39 Volwassenheidsniveau 5 (Geoptimaliseerd) Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 39 van 53

40 E.13 Continuïteitsplan Plus cluster: Examinering E.13 Continuïteitsplan : Voor resources die voorafgaand aan of op het moment van examinering beschikbaar moeten zijn, is een continuïteitsplan beschikbaar: wat moet er gebeuren als er sprake is van een calamiteit. Toelichting: Het is belangrijk dat iedere betrokkene in het examenproces weet wat zijn taak/rol is als er zich bijv. een stroom- of netwerkstoring of een brandalarm voordoet. Hieronder een voorbeeld 1. Stel er is een verstoring. Bijv. stroomvoorziening, luchtbehandeling, netwerkstoring, computeruitval, performance verlies, geluidsoverlast enz.. 2. Dan zal de afnameleider direct contact opnemen met betrokken beheerder of veroorzaker. 3. Als de verstoring aanhoudt of langer dan 5 minuten gaat duren dan zoekt de afnameleider direct contact met een opleidingsmanager of lid van de examencommissie. 4. Die besluiten of: de examentijd moet worden opgerekt; de examenruimte moet worden gewisseld; het examen wordt geannuleerd. 5. Er wordt een proces verbaal opgemaakt. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Resources worden gereserveerd en beschikking gesteld per examen. Indien er zich problemen voor doen in de beschikbaarheid ervan dan worden deze ad hoc en/of intuïtief opgelost. Voor resources die voor examinering beschikbaar moeten zijn is een vast gesteld continuïteitsplan beschikbaar. Evidence: 1. Kopie van protocol beschikbaar stellen resources 2. Kopie van continuïteitsplan 3. Kopie van besluitenlijst van examencommissie met daarin opgenomen de vaststelling van het continuïteitsplan voor resources Het protocol voor het beschikbaar stellen van de resources en het continuïteitsplan zijn gecommuniceerd met de organisatie. Alle betrokkenen handelen volgens protocol en het continuïteitsplan. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence aanvullend op niveau 2: 1. Kopie van alle communicatie over het gebruik en toepassing van het protocol en het continuïteitsplan. 2. Kopie van alle incidentmeldingen omtrent continuïteit van resources Het protocol en het continuïteitsplan worden periodiek geëvalueerd. De bevindingen en aanbevelingen worden door de examencommissie besproken en worden verbeteracties in gang gezet. Evidence aanvullend op niveau 3: 1. Kopie van evaluatierapport 2. Kopie van verslag examencommissie overleg waarin de evaluatie en verbetervoorstellen worden besproken en vastgesteld. 3. Kopie van verbeterplan Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: IBPDOC8, versie 2.0 Pagina 40 van 53

41 1. Voorbeeld van toegepaste best practice. Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 41 van 53

42 E.14 Toekennen examens aan deelnemers Plus cluster: Examinering E.14 Toekennen examens aan deelnemers De toekenning van examens aan deelnemers en de controle op naleving daarvan moet via een veilige procedure verlopen. Toelichting: Examens worden toegewezen aan een examenkandidaat. Deze toewijzing kan zowel intern als extern plaats vinden. Het toewijzen van examens aan bepaalde examenkandidaten moet op een beveiligde manier plaatsvinden. Tijdens de examenafname moet erop worden toegezien dat de juiste examens bij de juiste personen terechtkomen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Examens worden door de individuele medewerkers toegewezen aan examenkandidaten en tijdens het examen ad hoc en/of intuïtief gecontroleerd. Voor het toekennen van examens aan examenkandidaten en te controle daarvan op het examen is een vastgestelde procedure: Toekennen examens aan deelnemers. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Evidence: 1. Kopie van vastgestelde procedure 2. Kopie van besluitenlijst van examencommissie waarin opgenomen de vaststelling van deze procedure. De vastgestelde procedure voor het toekennen van examens aan examenkandidaten en de controle hierop is aan alle betrokkenen gecommuniceerd en wordt bij elk examen conform procedure uitgevoerd. Evidence aanvullend op niveau 2: 1. Kopie van communicatie aan alle betrokkenen over gebruik procedure 2. Kopie van lijst met toekenning examens per examenkandidaat per examen 3. Kopie van incidenten en onregelmatigheden omtrent toekennen examens en maken verkeerde examens De gehele procedure voor het toekennen van examens en de controle op naleving hiervan wordt jaarlijks geëvalueerd door de examencommissie. De bevindingen en aanbevelingen worden besproken door de examencommissie en verbeteracties worden in gang gezet. Evidence aanvullend op niveau 3: 1. Kopie van evaluatierapport 2. Kopie van verslag examencommissie met daarin de bespreking van het evaluatierapport en de vaststelling van de verbeterpunten. 3. Kopie van verbeterplan Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 42 van 53

44 E.15 Hergebruik examenvragen Plus cluster: Examinering E.15 Hergebruik examenvragen Bij hergebruik van examens dient er een verscherpte beveiliging te zijn om kopiëren tegen te gaan. Toelichting: Er moet een breed gedragen document zijn waarin het hergebruik van examens beschreven is. Hierin kan bijvoorbeeld staan: Dat digitale examens alleen beschikbaar zijn binnen een afgeschermde omgeving, altijd versleuteld zijn en de toegang alleen op basis van tweeweg authenticatie (wachtwoord plus sms) wordt verleend. Traditionele (papier) examens worden op naam uitgereikt en op naam ingenomen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Hergebruik van examens gebeurt, ad hoc of intuïtief. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er is document beschikbaar waarin het hergebruik van examens is beschreven, bovendien is dit document goedgekeurd door het College van bestuur of de examencommissie. Evidence: 1. Kopie van document het hergebruik van examens is vastgelegd. 2. Kopie van de besluitenlijst van het College van bestuur, waarin het document het hergebruik van examens is vastgesteld. Alle examenconstructeurs passen bij het opstellen van examens en het toepassen van hergebruik van examenvragen de richtlijn toe. Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Het vastgestelde document hergebruik van examens wordt door alle medewerkers die betrokken zijn constructie en afname examens uitgevoerd conform de vastgestelde richtlijnen. Evidence aanvullend op niveua 2: 1. Kopie van voorlichtingsplan hergebruik van examens ; 2. Kopie van overzicht van examens die worden hergebruikt; 3. Kopie van overzicht van onrechtmatigheden die hebben plaatsgevonden in het kader van hergebruik examens. Het vastgestelde document hergebruik examens wordt halfjaarlijks besproken in het directieberaad en het College van bestuur. Verbeteringen worden besproken en vastgesteld. Er dus duidelijk sprake van een PDCA cyclus. Evidence aanvullend op niveau 3: 1. Kopie van verslag directieberaad en CvB-overleg waarin het onderdeel hergebruik examens wordt besproken en verbeteringen worden doorgevoerd. Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en complianceproces. Evidence aanvullend op niveau 4: 1. Voorbeeld van toegepaste best practice. IBPDOC8, versie 2.0 Pagina 44 van 53

46 E.16 Vernietigen examenmateriaal Plus cluster: Examinering E.16 Vernietigen examenmateriaal Het vernietigen van examenmateriaal (vragen, gemaakte examens, concepten en hulpmateriaal) dient op een veilige manier te gebeuren met inachtneming van de eisen voor bewaartermijnen. Toelichting: Diverse examenmaterialen moet worden vernietigd. Houdt rekening met de archiefwet in relatie tot en de specifieke richtlijnen die de Inspectie van het Onderwijs stelt aan het bewaren van informatie. De archiefwet bepaalt hoelang bepaalde informatie bewaard moet blijven. Na het verstrijken van de daarin genoemde bewaartermijnen moet het materiaal worden vernietigd. De wijze waarop dit vernietigen en bewaren plaatsvindt moet zijn beschreven. Denk aan: Waar wordt het materiaal bewaard (kluis, netwerk); Hoe wordt het materiaal gelabeld zodat de bewaar/vernietig termijnen kunnen worden bewaakt; Wie is verantwoordelijk voor het bewaren; Wie is verantwoordelijk voor het vernietigen; Wie hebben toegang tot dit materiaal; Op welke wijze wordt het materiaal vernietigd. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Examens (vragen, antwoorden en gemaakte versies) en ander examenmateriaal wordt bewaard, verwijderd en weggegooid naar inzicht van de individuele medewerker. Er is een vaste procedure voor het bewaren, afschrijven en vernietigen van examens en andere examenmateriaal. De procedure is vastgesteld door het CvB of de examencommissie. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Evidence: 1. Kopie van procedure voor bewaren, afschrijven en vernietigen van examens (let op! Archiefwet is hier ook van toepassing.) 2. Kopie van besluitenlijst CvB of de examencommissie met daarin opgenomen de vaststelling van deze procedure. Het bewaren afschrijven en vernietigen van examens en ander examenmateriaal wordt door de daartoe bevoegde medewerkers volgens de vastgestelde procedure uitgevoerd. Evidence aanvullend op niveau 2: 1. Overzicht van bewaard en vernietigd examenmateriaal 2. Overzicht van toegangsrechten op dit materiaal 3. Inzicht in logbestanden van toegang tot dit materiaal 4. Kopie van opgestelde invulling van de archiefwet 5. Kopie van meldingen incidenten en onregelmatigheden op het gebied van afschrijven en vernietigen examenmateriaal. De procedure voor het bewaren en vernietigen van examenmateriaal wordt periodiek geëvalueerd door de examencommissie. De bevindingen en aanbevelingen worden besproken door de examencommissie en verbeteracties worden in gang gezet. Evidence aanvullend op niveau 3: 1. Kopie van evaluatierapport 2. Kopie van verslag examencommissie met vaststelling verbeteracties 3. Kopie van verbeterplan IBPDOC8, versie 2.0 Pagina 46 van 53

47 Volwassenheidsniveau 5 (Geoptimaliseerd) Het proces, de procedures en/of documentatie is volgens best practices en maken onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit- en compliance proces. Evidence in aanvulling op niveau 4: 1. Voorbeeld van toegepaste best practice. Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC8, versie 2.0 Pagina 47 van 53

48 Bijlage 2: Beleidsplan examinering Inhoud: Dit beleid bevat de hieronder genoemde ibp-gerelateerde onderwerpen. Let op: dit zijn geen procedures, richtlijnen of handleidingen (het gaat over het WAT en niet het HOE): Beleidsregels over Dat de gebruikte ict-middelen (zoals hardware en software) veilig zijn en op een veilige en gestructureerde wijze worden ingezet o Opmerking: voor een uitwerking zie bijlage 2 en 3 Dat alle examenmaterialen en examengegevens op een veilige worden gebruikt en opgeslagen o Denk aan beleggen van verantwoordelijkheid en beheer, autoriseren van toegang, veilig zijn van opslagmedia (voor een uitwerking zie bijlage 2 en 3) Dat het betrokken personeel vaardig is in het veilig omgaan met examens, examengegevens en de inzet van ict-middelen IBPDOC8, versie 2.0 Pagina 48 van 53

49 Bijlage 3: Procedure voorbereiden en afnemen examens Wat beschikbaar moet zijn bij de voorbereiding van examens Handleiding en richtlijnen voor inzet ict voorzieningen zoals computers, applicaties - Hoe vraag ik ze aan (bijv. een dyslexie ondersteunende tool) - Hoe maak ik ze veilig (secure imaging, secure browser, spare hardware) - Wat is er nodig als ondersteuning bij incidenten Handleiding gereedmaken toets applicatie, zoals: - Klaarzetten van de toets - Controles validiteit hergebruik van een toets - Koppelen van leerlingen aan de toets (wie mag dit doen en controleert dit) Handleidingen voor inzet van een toets applicatie voor beheer - Werkzaamheden voor beheerder (accounts aanmaken, toetsen importeren, resultaten exporteren, examengegevens opschonen e.d.) Wat beschikbaar moet zijn bij de uitvoering van een examensessie Handleidingen voor inzet van een toets applicatie voor afnameleider en leerlingen - Werkzaamheden voor afnameleider/surveillanten (sessie starten, inloggen controleren, sessie eindigen, antwoorden bevriezen, EHBO ) - Instructie voor gebruik door leerlingen (inloggen, toets opvragen) Richtlijnen voor gebruik ict-voorzieningen door leerlingen (wat mag wel en wat niet) - Gebruik eigen apparatuur (BYOD) - Gebruik smartphones - Gebruik internet - Gebruik sociale media Richtlijnen voor controleren op fraude door surveillanten en afnameleider - Waar moeten ze op letten - Hoe moeten ze dit melden IBPDOC8, versie 2.0 Pagina 49 van 53

50 Bijlage 4: Beheer en documentatie van ict faciliteiten Het beheren en documenteren van ict faciliteiten voor examinering is gestructureerd. Bij elke type ICT-faciliteit moet overwogen worden of onderstaande noodzakelijk is: een beschrijving (wat het kan, waarvoor te gebruiken) en/of een handleiding (hoe het te gebruiken) en/of een procedure (hoe het aan te vragen of in te zetten e.d.) en/of een programma van eisen (waar het aan moet voldoen, wat het moet kunnen) het beleggen van beheer (wie is hiervoor verantwoordelijk) Hieronder in korte steekwoorden een toelichting van te beschrijven faciliteiten. Secure Browser Een PvE wat het moet kunnen Een beschrijving wat het kan Een handleiding hoe het te gebruiken Een handleiding/procedure over hoe te handelen bij uitval (zie ook E12) PC-besturingssysteem Een PvE waaraan het moet voldoen Een handleiding hoe het te gebruiken (re-imaging, inloggen) Een handleiding/procedure over hoe te handelen bij uitval (zie ook E12) PC-hardware Een PvE van de kwaliteit van de hardware Een handleiding/procedure over hoe te handelen bij uitval (spare e.d.) (zie ook E12) Servers Een PvE van de snelheid/performance eisen Een PvE van de beschikbaarheid eisen Een PvE of beschrijving van het beheer Een PvE of beschrijving van de beveiliging (Vlan, accountbeheer, encryptie e.d.) Een handleiding/procedure over hoe te handelen bij uitval (zie ook E12) Netwerk toegang Een beschrijving van de toegang tot de storage voor deelnemers (indien nodig) Een PvE of beschrijving van de snelheid/performance eisen Een PvE of beschrijving van de beschikbaarheid Een PvE of beschrijving van de beveiliging (VLAN, wireless, toegang in examenlokaal) Een handleiding/procedure over hoe te handelen bij uitval (zie ook E12) Accounts Een PvE of beschrijving van de toets accounts (looptijd, wachtwoord reset, beheer) Een beschrijving van de provisioning van accounts in het toets systeem Een beschrijving wie verantwoordelijk is voor het beheer van deze accounts Printen/kopiëren Een beschrijving van de print en kopieer faciliteiten tijdens het examen (welke mogen gebruikt worden, hoe krijgt een deelnemer toegang, waar staat de apparatuur, is er begeleiding/toezicht) Internet Een beschrijving van de toegang tot het openbare internet tijdens examens (wat is toegestaan, wie stelt de rechten in, hoe moet dit gedaan worden) Een handleiding/procedure over hoe te handelen bij uitval (zie ook E12) IBPDOC8, versie 2.0 Pagina 50 van 53

51 Toetsapplicatie Een beschrijving wie verantwoordelijk is voor het beheer van de applicatie Een handleiding voor het gebruik van de applicatie door content beheerders, afnameleiders Een handleiding/procedure over hoe te handelen bij uitval Een beschrijving van de: de beschikbaarheid de performance de autorisaties de beveiliging (zie onder) Hier een (niet uitputtende!) opsomming van relevante zaken v.w.b. de beveiliging Het draaien in kiosk-mode Het loggen van handelingen Het afschermen van logfiles Bewaartermijnen kunnen gemanaged worden Examengegevens kunnen bevroren worden Er is resistentie tegen tijdelijke uitval van netwerk Er kunnen geen examengegevens verloren gaan als gevolg van netwerkfouten Er kunnen geen examengegevens verloren gaan als gevolg van een crash van de applicatie Examens kunnen worden uitgesteld als er sprake is van een onderbreking Het gebruik kan worden gelimiteerd tot een tijdspanne (indien gevraagd) Er wordt gelogd wie wat doet Er is achteraf inzage mogelijk in de gemaakte toets en de details van de beoordeling IBPDOC8, versie 2.0 Pagina 51 van 53

52 Bijlage 5: Procesarchitectuur Examinering IBPDOC8, versie 2.0 Pagina 52 van 53