Benchmark informatiebeveiliging

Vergelijkbare documenten
Verklaring van Toepasselijkheid

Hoe operationaliseer ik de BIC?

ISO 27001:2013 INFORMATIE VOOR KLANTEN

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Benchmark informatiebeveiliging. mbo sector 2016 IBPDOC20

Benchmark mbo sector IBPDOC11

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Positionering informatiebeveiliging en privacy (enquête)

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

Normenkader Informatiebeveiliging MBO

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Normenkader Informatiebeveiliging HO 2015

De maatregelen in de komende NEN Beer Franken

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Security Awareness Sessie FITZME, tbv de coaches

Normenkader Informatiebeveiliging MBO

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)

ISO27001:2013 Verklaring van toepasselijkheid

Verklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2

Informatiebeveiliging: Hoe voorkomen we issues?

20A. Verklaring van Toepasselijkheid ISO bosworx

Impl. Wet Contract Risico Onderbouwing uitsluiting

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Johan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.

Handleiding Risicomanagement

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Certificaat Het managementsysteem van:

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Informatiebeveiliging

Benchmark informatiebeveiliging

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Verantwoordingsdocument Informatiebeveiliging (IB) en Privacy in het MBO

Toetsingskader Privacy (Pluscluster 7)

Resultaten SURFaudit benchmark 2015

Thema-audit Informatiebeveiliging bij lokale besturen

Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo

Informatiebeveiligingsbeleid

CYBERDREIGINGSBEELD 2015

Toetsingskader Examinering (Pluscluster 8)

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen

Toetsingskader Examinering (Pluscluster 8)

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

BIJLAGE 2: BEVEILIGINGSBIJLAGE

MBO roadmap informatiebeveiligingsbeleid. privacy beleid

Technische QuickScan (APK voor het MBO)

Verklaring van toepasselijkheid ISO 27001

Mbo roadmap informatiebeveiligings- beleid IBPDOC5

Privacy compliance kader mbo

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC (CvI / BIG)

Mijn resultaat medewerkerstevredenheid ten opzichte van sectorgemiddelden

Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018

Informatieveiligheid in de steiger

Nederlandse norm. NEN-ISO/IEC C1+C2 (nl)

ROC Albeda College ten opzichte van sectorgemiddelden

Informatiebeveiliging integreren in projecten

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Nederlandse norm. NEN-ISO/IEC (nl)

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Informatiebeveiligings- en privacy beleid

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Zorgspecifieke beheersmaatregel

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Taskforce Informatiebeveiligingsbeleid.

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

ROC Albeda College ten opzichte van de sector

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Actieplan Informatiebeveiligingsbeleid mbo

Privacy compliance kader MBO

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Handleiding Risico management

Aandachtspunten AVG. Voldoen aan de AVG wat moet ik nu regelen?

Beveiligingsbeleid Stichting Kennisnet

Handboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Privacy compliance kader MBO

Een Information Security Management System: iedereen moet het, niemand doet het.

Beleidsplan Informatiebeveiliging en privacy

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

MBO roadmap informatiebeveiligingsbeleid. privacy beleid

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Informatiebeveiligings- en privacy beleid (IBP)

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Transcriptie:

Benchmark informatiebeveiliging in de mbo sector 05 IBPDOCb

Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het Hoger Onderwijs (SURF SCIPR) maakt ook gebruik van deze tool. Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (sambo-ict, ROC Leeuwenborgh) December 05 Met dank aan Aeres Groep Albeda Arcus College Citaverde Deltion Graafschap College Grafisch Lyceum Rotterdam Hoornbeeck MBO Utrecht Nimeto Noorderpoort Nordwin College Nova College Onderwijsgroep Tilburg ROC TOP ROC Twente ROC van Amsterdam Summa College Zadkine Martin Deiman Rienk de Vries Joep Lemmens Martijn van Hoorn Rene Dol Donny Toebos Don van der Linden Willem Flink Marjolein Rombouts Esther van der Hei Martijn Broekhuizen Rob Smit Rob Smit Brom Bogers Theo Kuilboer Kim Kuipers Co Klerkx Martien van Beekveld Wim Arendse Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding.0 Nederland (CC BY.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOCb, versie.0 Pagina van

Inhoudsopgave Verantwoording.... Conclusies benchmark.... Terugblik.... Representativiteit.... Bevindingen... 5. Aanbevelingen... 5.5 Hoe nu verder?... 5. Resultaten ibp benchmark... 6. Toelichting op de tabellen... 6. Wat gaat goed en wat gaat minder goed?... 7. Beleid en organisatie... 8. Personeel, studenten en gasten... 9.5 Ruimtes en apparatuur... 9.6 Continuïteit... 0.7 Vertrouwelijkheid en integriteit....8 Controle en Logging.... Informatieveiligheid in perspectief... Fout! Bladwijzer niet gedefinieerd.. Bestuurlijke verantwoordelijkheid en verantwoording... Fout! Bladwijzer niet gedefinieerd.. Kwaliteitszorg... Fout! Bladwijzer niet gedefinieerd.. Organisatorische inbedding... Fout! Bladwijzer niet gedefinieerd. Bijlage : Framework informatiebeveiliging en privacy in het mbo... IBPDOCb, versie.0 Pagina van

. Conclusies benchmark. Terugblik Medio 0 is de Taskforce Informatiebeveiliging en privacy van start gegaan met een duidelijke opdracht die verwoord is in het Verantwoordingsdocument. De eerste paragraaf spreekt boekdelen: Het zal duidelijk zijn dat het thema Informatiebeveiliging en zeker ook privacy de laatste tijd met een sneltreinvaart in het onderwijs in de belangstelling is komen te staan. Dat heeft zo zijn redenen. Afgelopen jaren zijn in alle sectoren van het onderwijs incidenten rondom examinering in de publiciteit gekomen. In sommige gevallen ging dit ook om ernstige incidenten die breed in de media zijn uitgemeten. Dat levert voor het onderwijs veel schade op, waarbij imagoschade voorop staat. Het onderwijs wordt geacht op betrouwbare wijze diploma s uit te reiken en het kan niet zo zijn dat daar twijfels over bestaan omdat examens op straat liggen dan wel op het internet te koop zijn. Een ander voorbeeld is de vraag of het onderwijs met de toenemende registratie van gegevens van leerlingen de bescherming van de privacy nog kan waarborgen. Steeds vaker zijn hier ook externe partijen en leveranciers bij betrokken en zonder goede afspraken hierover kan de privacybescherming zomaar in het geding zijn. Zeker bij jonge kinderen wordt dit door de maatschappij onacceptabel gevonden. Daar komt bij dat een vraag naar hoe het in de onderwijs sector gesteld is met de informatiebeveiliging en de bescherming van de privacy nauwelijks kan worden beantwoord. Dat beeld is op zijn minst zeer gebrekkig en onhelder te noemen. En om aan te geven of je iets op orde hebt moet je daarover ook eerste afspraken gemaakt hebben over wat dan op orde is. Die afspraken ontbreken vooralsnog. Daarom is het in het belang van zowel het onderwijs zelf als van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) dat er gemeenschappelijke afsprakenkaders komen, dat die met alle onderwijsinstellingen en ook met de relevante externe partijen worden gedeeld en geïmplementeerd. Pas dan kan er een beeld ontstaan van hoe scholen het doen op deze terreinen en kunnen er verbeteringstrajecten worden ingezet en doelen gesteld worden om een bepaalde graad van beveiliging en bescherming te creëren. In het hoger onderwijs is dit traject al eerder ingezet. Dit alles heeft er toe geleid dat OCW de vraag bij de mbo sector heeft neergelegd om een beeld van de stand van zaken in het mbo met betrekking tot informatiebeveiliging en privacy te schetsen en er voor te zorgen dat er naar een gewenste situatie kan worden toegewerkt. De sector heeft deze uitdaging opgepakt en wil met dit programma de stappen zetten om in het mbo op een volwassen wijze met deze problematiek om te gaan en een acceptabel van beveiliging en bescherming te bieden aan al haar studenten en medewerkers. Als sector hebben we het afgelopen jaar hard gewerkt om Informatiebeveiliging en privacy in onze sector op de strategische agenda te zetten. Op tactisch hebben we een groot aantal documenten opgeleverd (zie bijlage ) en is er volop geschoold in de masterclasses informatiebeveiliging en privacy (ibp) waar een vijftigtal mbo instellingen aan hebben deelgenomen. Op operationeel is deze kennis binnen de mbo instellingen vertaald in een actief IBP beleid. Weliswaar staan we als sector aan het begin van een lange weg maar toch hebben we het gevoel dat we een vliegende start hebben gemaakt. We willen nu graag weten waar de mbo sector staat. Daarvoor hebben we een benchmark uitgevoerd om de bepalen op welk volwassenheids, de nulmeting, we ons nu bevinden.. Representativiteit Aan de eerste IBP benchmark hebben 9 mbo instellingen deel genomen waaronder AOC s, ROC s en vakscholen. De regionale spreiding was afdoende. Zowel grote (ROC Amsterdam) als kleine (Nimeto) mbo instellingen hebben deelgenomen. Het is dan ook statistisch verdedigbaar dat deze deelwaarneming een getrouw beeld schetst van de 5 mbo instellingen die actief betrokken zijn bij het informatie en privacy beleid in onze sector. Van instellingen is niet duidelijk of zij stappen genomen hebben op dit gebied. Zie IBPDOC: Verantwoordingsdocument Informatiebeveiliging en privacy (ibp) in het mbo. IBPDOCb, versie.0 Pagina van

. Bevindingen De benchmark is uitgevoerd op basis van het vastgestelde toetsingskader ibp. De toets is dan ook uitgevoerd op de 6 clusters die afgeleid zijn van het ISO 700/ normenkader. De opzet van de benchmark is gelijk aan die van het Hoger Onderwijs. Een samenvatting van de resultaten, de gemiddelde scores van alle mbo instellingen van alle statements (onderzochte onderwerpen) per cluster: Cluster : Beleid en organisatie.7 Cluster : Personeel, studenten en gasten.7 Cluster : Ruimtes en apparatuur. Cluster : Continuïteit.0 Cluster 5: Vertrouwelijkheid en integriteit.0 Cluster 6: Controle en Logging.6 De gemiddelde score van de mbo sector is:,9 Ter vergelijking de score van het Hoger Onderwijs in 0 was,. In hoofdstuk worden de resultaten verder toegelicht.. Aanbevelingen Volwassenheids (ad hoc) betekent dat de mbo instelling het ibp probleem onderkent maar nog geen actie heeft ondernomen. Niveau houdt in dat er goedgekeurd beleid is dat echter nog niet bij de hele mbo instelling bekend is, laat staan gedragen wordt. Alleen een kleine groep (managers, functioneel en technisch beheerders, etc.) weet van de hoed en de rand. Stel dat we als baseline (gewenst in 06/07) hanteren dan leiden de resultaten tot de volgende aanbevelingen binnen onze sector: Aanbeveling : Aanbeveling : Aanbeveling : Onderzoek waarom mbo instellingen niet deelnemen aan de initiatieven (conferenties, masterclasses, benchmark, etc.) van de Taskforce ibp in het mbo. Wellicht dat de MBO-Raad hier een inspirerende rol in kan spelen. Cluster (Personeel, studenten en gasten) scoort onder de maat. Awareness sessies en trainingen van personeel kunnen leiden tot een betere acceptatie van het ibp beleid binnen de mbo sector. Het is zinvol om best practices en tools vanuit Kennisnet aan te bieden. Cluster 6 is onder de maat. Ondersteuning vanuit Kennisnet en SURF is gewenst. De 5 mbo instellingen moeten in staat zijn om de overige clusters op te brengen. Cluster scoort onder de maat maar kan snel op een hoger komen als de instellingen de ibp beleidsstukken binnen de instellingen geïmplementeerd hebben..5 Hoe nu verder? De mbo sector is voornemens om in 06 een peer review uit te voeren. Wellicht dat in 07 peer audits mogelijk worden uitgevoerd. Een en ander moet er toe leiden dat we in de toekomst binnen onze sector middels zelf regulatie kunnen aantonen dat ibp in control is. In hoofdstuk wordt een en ander uitvoerig beschreven. IBPDOC: Toetsingskader informatiebeveiliging cluster t/m 6 IBPDOCb, versie.0 Pagina 5 van

. Resultaten ibp benchmark. Toelichting op de tabellen Alle tabellen zijn op dezelfde manier opgebouwd. Een korte toelichting: ISO700 Statement. 5... Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Kolom, Geeft het nummer van het statement weer. Deze nummering is gelijk aan de nummering van het Hoger Onderwijs / MBO normenkader. Het eerste cijfer staat voor het cluster, het tweede cijfer voor het statement nummer. Kolom. ISO700 Geeft het nummer van de norm uit ISO700. Een zestal normen zijn gesplitst in in statements. Dus 79 normen uit het ISO normenkader zijn gekoppeld aan 85 statements uit het HO/MBO normenkader. Clusterindeling Hoger Onderwijs Hoofdstukken ISO-700 ISO-700 : Beleid : personeel : Ruimten : Continuïteit 5: Toegang 6: Controle Niet gebruikt 5. Informatiebeveiligingsbeleid 6. Organiseren van informatiebeveiliging 7 0 7. Veilig personeel 6 8. Beheer van bedrijfsmiddelen 0 7 9. Toegangsbeveiliging 9 0. Cryptografie. Fysieke beveiliging en beveiliging van de omgeving 5. Beveiliging bedrijfsvoering 7. Communicatiebeveiliging 7. Acquisitie, ontwikkeling en onderhoud van informatiesystemen 7 5. Leveranciersrelaties 5 6. Beheer van informatiebeveiligingsincidenten 7 7. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer 8. Naleving 8 9 7 6 0 5 Clustertotaal inclusief splitsing (85) 7 5 5 7 0 IBPDOCb, versie.0 Pagina 6 van

ISO700 Statement. 5... Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Niveau,,, en 5 verwijzen naar de volwassenheidss (maturity levels). Het Normenkader informatiebeveiliging mbo wordt gebruikt om de volwassenheid van informatiebeveiliging te meten bij de mbo instellingen. Hiervoor wordt een 5-punts schaal gehanteerd gebaseerd op het Capability Maturity Model (CMM). Het CMM model is gebaseerd op procesvolwassenheid, de 5 s zijn in de onderstaande tabel weergegeven. CMM 5 Omschrijving Initieel, ad hoc: De processen zijn ad hoc georganiseerd, erg afhankelijk van individuele personen Ad hoc Herhaalbaar, maar intuïtief: Er wordt op een vaste manier gewerkt Beleid is gemaakt en goedgekeurd en bij een kleine groep bekend. Gedefinieerd proces: De processen zijn gedocumenteerd en bekend bij betrokkenen Beleid is bij alle medewerkers, studenten en externen bekend (awareness campagnes, trainingen, etc.). Beheerd en meetbaar: De processen worden beheerd, zitten in een verbetercyclus en zijn meetbaar. (PDCA) IBP is onderdeel geworden van de PDCA cyclus. Geoptimaliseerd: Er wordt als vanzelfsprekend verbeterd en volgens best practices gewerkt. IBP is toekomstbestendig, effectief en efficiënt. Bij ieder volwassenheids is de score weergegeven van de deelnemende mbo instellingen aan de benchmark. Niveau is rood omkaderd als een mogelijke baseline voor de sector. De modale klasse (klasse met de hoogste frequentie dichtheid) is weergegeven in geel. Indien klassen dezelfde dichtheid hebben is de hoogste klasse geel gearceerd. Het gemiddelde cijfer is het rekenkundige gemiddelde van de individuele waarnemingen.. Wat gaat goed en wat gaat minder goed? Best scorende statements. ISO700 Statement.5... Back-up van informatie 7 9,6.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9,5.7.5. Software installeren op operationele systemen 7 9,5.9.6. Beperkingen voor het installeren van software. 9 8,5 5... Beheersmaatregelen voor netwerken 7 9,5.... Beheersmaatregelen tegen malware (beheersmaatregelen) 8, 5. 9.. Registratie en afmelden van gebruikers 6, IBPDOCb, versie.0 Pagina 7 van

Opvallend is dat de top 8 van de goed scorende statements allemaal in de cluster, en 5 zitten. Technisch lijkt het dus in orde te zijn. Slechts scorende statements. ISO700 Statement IBPDOCb, versie.0 Pagina 8 van.7 8.. Classificatie van informatie 6,.8 8.. Informatie labelen 6,.0 0... Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 6, 5.0 0... Sleutelbeheer 6, 5. 0... Sleutelbeheer 5, 6.5..8 Testen van systeembeveiliging 6,. 7...5...6 6.. Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 5, 7, 8,. 7.. Informatiebeveiligingscontinuïteit implementeren 7, 6.8 6..7 Verzamelen van bewijsmateriaal, Cluster kent geen statement dat zeer slecht scoort. Cluster en, beleid en personeel, zijn oververtegenwoordigd.. Beleid en organisatie ISO700 Statement. 5.... 5... Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) Beleidsregels voor informatiebeveiliging (gecommuniceerd met medewerkers en externen) 7 8,9 0 8,5. 5.. Beoordeling van het Informatiebeveiligingsbeleid 0 6,7. 6.. Taken en verantwoordelijkheden informatiebeveiliging,.5 6..5 Informatiebeveiliging in projectbeheer,5.6 6... Beleid voor mobiele apparatuur (beleid vastgesteld) 6,8.7 8.. Classificatie van informatie 6,.8 8.. Informatie labelen 6,.9 0....0 0... Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid vastgesteld) Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 5,5 6,...5 Verwijdering van bedrijfsmiddelen 9 7,7

... Beleid en procedures voor informatietransport 7,6... Overeenkomsten over informatietransport,9....5 5...6 5.. Analyse en specificatie van informatiebeveiligingseisen Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie,9 6,5 7,7.7 6.. Verantwoordelijkheden en procedures 6,8.8 6.. Rapportage van informatiebeveiligingsgebeurtenissen 6 0,9.9 8.. Beschermen van registraties 9 8,6.0 8.. Privacy en bescherming van persoonsgegevens,9. 6.. Scheiding van taken 5,9 In dit cluster valt veel winst te behalen. Een goedgekeurd ibp beleidsplan heeft invloed op de statements:.,.,.,.,.7,.8 en.0. Dit cluster is voor een gemiddelde instelling te behalen in een aantal maanden.. Personeel, studenten en gasten ISO700 Statement IBPDOCb, versie.0 Pagina 9 van. 7.. Arbeidsvoorwaarden 6 9,9. 7.. Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging 5,. 9..6 Toegangsrechten intrekken of aanpassen 5,...9 Clear desk - en clear screen -beleid 5,5.5...6 6.. Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 7, 8,.7 7.. Screening 0, Dit is een moeilijk te realiseren cluster voor veel mbo instellingen. Met name de statements.. en. vragen veel tijd en energie van alle medewerkers en studenten..5 Ruimtes en apparatuur ISO700 Statement. 6... Beleid voor mobiele apparatuur 8 7,. 8.. Verwijderen van media,0... Fysieke beveiligingszone. 0 6,... Fysieke toegangsbeveiliging,9

.5.. Kantoren, ruimten en faciliteiten beveiligen,.6.. Beschermen tegen bedreigingen van buitenaf 7,.7..5 Werken in beveiligde gebieden. 8 9,7.8..6 Laad- en loslocatie. 7 9,9.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9,5... Beveiliging van bekabeling 8 6,... Onderhoud van apparatuur.,...6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein 5,8...7 Veilig verwijderen of hergebruiken van apparatuur.,.5.. Kloksynchronisatie. 0 5, Het best scorende statement van de mbo sector geeft weinig aanleiding voor kritische beschouwingen. Feit blijft dat een aantal instellingen niet realiseren. Nader onderzoek is dan ook gewenst om de oorzaak te kunnen achterhalen..6 Continuïteit ISO700 Statement IBPDOCb, versie.0 Pagina 0 van... Wijzigingsbeheer 9 5,....... Scheiding van ontwikkel-, test- en productieomgevingen Beheersmaatregelen tegen malware (beheersmaatregelen) 5,9 8,.... Beheersmaatregelen tegen malware (bewustzijn) 7 8,8.5... Back-up van informatie 7 9,6.6... Back-up van informatie 5 0,0.7.5. Software installeren op operationele systemen 7 9,5.8.6. Beheer van technische kwetsbaarheden 6,8.9.6. Beperkingen voor het installeren van software. 9 8,5.0..6 Beveiligde ontwikkelomgeving 7 0,7. 5... 6.. Beheer van veranderingen in dienstverlening van leveranciers Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen. 6,7 9 9,6. 6..5 Respons op informatiebeveiligingsincidenten 8 9,7. 7.. Informatiebeveiligingscontinuïteit implementeren 7,.5 7.. Beschikbaarheid van informatie verwerkende faciliteiten 7 9,8

Cluster scoort goed. Opvallend is statement, dat uit de toon valt. Nota bene een belangrijk statement in het ibp veld (informatiebeveiligingscontinuïteit implementeren)..7 Vertrouwelijkheid en integriteit ISO700 Statement IBPDOCb, versie.0 Pagina van 5. 9.. Beleid voor toegangsbeveiliging, 5. 9.. Toegang tot netwerken en netwerkdiensten. 0 7, 5. 9.. Registratie en afmelden van gebruikers 6, 5. 9.. Gebruikers toegang verlenen,9 5.5 9.. Beheren van speciale toegangsrechten 7,0 5.6 9.. Beheer van geheime authenticatie-informatie van gebruikers 6 7, 5.7 9.. Geheime authenticatie-informatie gebruiken 6 8,0 5.8 9.. Beperking toegang tot informatie 0 6, 5.9 9.. Beveiligde inlogprocedures 7, 5.0 0... Sleutelbeheer 6, 5. 0... Sleutelbeheer 5, 5... Beschermen van informatie in logbestanden,6 5... Beheersmaatregelen voor netwerken 7 9,5 5... Beveiliging van netwerkdiensten 7 9,8 5.5.. Scheiding in netwerken. 8 7, 5.6.. Elektronische berichten 6 0,8 5.7.. Transacties van toepassingen beschermen 0 7,6 Dit cluster scoort gemiddeld. Opvallend is dat de (digitaal) sleutelbeheer onder de maat scoort..8 Controle en Logging ISO700 Statement 6. 9..5 Beoordeling van toegangsrechten van gebruikers. 7 0,7 6... Gebeurtenissen registreren 8 0,6 6... Logbestanden van beheerders en operators 9 9,6 6...7 Uitbestede softwareontwikkeling 7,6 6.5..8 Testen van systeembeveiliging 6, 6.6..9 Systeemacceptatietests 6 9,0

6.7 5.. Monitoring en beoordeling van dienstverlening van leveranciers 5,5 6.8 6..7 Verzamelen van bewijsmateriaal, 6.9 8.. Naleving van beveiligingsbeleid en normen 0 9,5 6.0 8.. Beoordeling van technische naleving 7,5 Dit cluster scoort ver onder de maat. Registratie van informatie zal sector breed aangepakt moeten worden. IBPDOCb, versie.0 Pagina van

Bijlage : Framework informatiebeveiliging en privacy in het mbo IBPDOCb, versie.0 Pagina van

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback