Leidraad'Informatiebeveiligingsbeleid'XX' ' Toelichting+bij+het+gebruik+van+ Informatiebeveiligingsbeleid+XX + Auteur(s): SCIPR(SURFibo) Versie: 2.0 Datum: 1mei2015 Moreelsepark48 3511EPUtrecht Postbus19035 3501DAUtrecht 088<7873000 admin@surfnet.nl www.surfnet.nl INGBankNL54INGB0005936709 KvKUtrecht30090777 BTWNL0089.60.173.B01
LeidraadInformatiebeveiligingsbeleidXX Inhoudsopgave' 1 Inleiding'...'3 1.1 Aanleiding...3 1.2 Doelstelling...3 1.3 Doelgroep...3 1.4 Afbakening...4 1.5 Verantwoording...4 2 Werkwijze:'hoe'gebruikt'u'de'Leidraad'Informatiebeveiligingsbeleid'XX'...'5 3 Gebruikte'documenten'...'7 4 Interviews'...'8 5 Begeleidingsgroep'...'9 SURFCommunityvoorInformatiebeveiligingenPRivacy,voorheenSURFibo)is eencommunityofpracticemetalsdoelenhetactiefstimulerenvanenrichting gevenaaninformatiebeveiligingenprivacybinnenhethogeronderwijs (universiteiten,hogescholen,onderzoeksinstellingenenuniversitairmedische centra).ditdoetscipronderanderedoorhetleverenvanpraktischbruikbare adviezen,beleidenleidraden. MeerinformatieoverSURFibostaatopwww.surf.nlonderhetthema Beveiliging enprivacy. DezepublicatieisgelicenseerdondereenCreativeCommonsNaamsvermelding3.0Unportedlicentie Meerinformatieoverdezelicentievindtuophttp://creativecommons.org/licenses/by/3.0/deed.nl
LeidraadInformatiebeveiligingsbeleidXX 1' 'Inleiding' 1.1' Aanleiding' ' DeLeidraadInformatiebeveiligingsbeleidXX,bestaandeuithetInformatiebeveiligingsbeleidXXende onderhavigetoelichting,diein2010zijnopgenomeninhet FrameworkInformatiebeveiligingHoger Onderwijs,zijntoeaaneenreview.Debelangrijksteredenenhiervoorzijn: 1. Gewijzigdewet<enregelgevingf 2. Deopkomstvannieuwetechnologieën,zoalsdecloud,BringYourOwnDevice,e.d.,en 3. Deprofessionaliseringvanhetvakgebied. 1.2' 'Doelstelling' SURibowilmetdezeleidraadenhetmodelbeveiligingsbeleideenhandvatbiedenaandegenendie, binneneeninstellingvoorhogeronderwijs,eeninformatiebeveiligingsbeleidwillenontwikkelenof verbeteren.doelishetbeschrijvenvaneengoodpracticevoorinformatie<beveiligingsbeleidinhet HogerOnderwijs.Daarmeeishetmodelendezeleidraadgeendwingendvoorschrift. Lokaleorganisatieen/ofafwijkendewerkwijzenkunnenertoeleidendathetmodelbeleiddeels herschrevenmoetwordenomaandelokaalgeldendenormentevoldoen. 1.3' 'Doelgroep' Deleidraadenhetmodelbeveiligingsbeleidzijnineersteinstantiebestemdvoordegenenbinneneen instellingdiegemandateerdzijnomhetinformatiebeveiligingsbeleidteformulerenenteonderhouden. Uiteindelijkishetbestuurverantwoordelijkvoordevaststellingvanhetbeleid.DeInformationSecurity Officerzaldaarbijeenbelangrijkeadviserendeenvoorbereidenderolhebben. Intweedeinstantievormtdeleidraadeenhulpmiddelomtekomentotconcreteinvullingvanhet informatiebeveiligingsbeleid.deinformatiebeveiligingsorganisatievindteenkantenklaarsjabloon voordeformuleringvanhetinstellingsbeleid,dateenvoudigovergenomenkanworden. 3/9
LeidraadInformatiebeveiligingsbeleidXX 1.4' 'Afbakening' Hetinformatiebeveiligingsbeleid,metdaarinookdebeschrijvingvande informatiebeveiligingsorganisatie,vormtinfeitedebasisvoorinformatiebeveiliging.daarnaastwordt doorgaansaandachtbesteedaanrisicoanalyseendeselectievanbasismaatregelen,classificatievan informatieendiversegedragscodes.dezevormeneenverbijzonderingvanenaanvullingophet beleidsdocument.waarmogelijkwordtverwezennaarditsoortdocumenten. 1.5' 'Verantwoording' SURFiboheeftdeinstellingeninhethogeronderwijsaangeschrevenmethetverzoekhun beleidsdocumententerbeschikkingtestellenalsinputvoordereviewvandeleidraad.tevensis gebruikgemaaktvaneenaantaldocumentenophetgebiedvaninformatiebeveiliging,zoalsdecode voorinformatiebeveiliging(iso/iec27001en2)enhetnormenkaderinformatiebeveiliginghoger Onderwijs. Opbasisvandeanalysevandezedocumentenheefteenaantalinterviewsplaatsgevonden,waarin geïnventariseerdiswelkewijzigingendeinstellingenhaddenaangebrachttenopzichtevande leidraaduit2010,alsmedewelkewensenerleefdenvoorverdereverbeteringvandeleidraad. DeresultatenvandezeinterviewszijngepresenteerdineenworkshopInformatiebeveiligingsbeleidin hetsurfibo<beraadvanbegindecember2013.denuvoorliggendeversieishetresultaatvandie workshop.dezeisgereviewddooreenkleinebegeleidingsgroepenisaansurfiboaangebodenter vaststelling. ' ' 4/9
LeidraadInformatiebeveiligingsbeleidXX 2' Werkwijze:'hoe'gebruikt'u'de'Leidraad' Informatiebeveiligingsbeleid'XX' HetInformatiebeveiligingsbeleidXXisheteenvoudigsttoetepassendoor XX overaltevervangen doordenaamvandeeigeninstellingendoordegeneriekerollendieinhetbeleidzijnbenoemdin appendixatevertalennaardevooruwinstellinggeldenderollen/namen:daarkunnendesgewenst ookmeerdererollenaanéénfunctionarisgegundworden. (NatuurlijkishetookmogelijkomdezevertaalslagdirectinhetbeleidzelftedoenenAnnexAleegte laten,maarhetnadeeldaarvanisdatversiemanagementlastigiswanneerhet informatiebeveiligingsbeleidxxindenabijetoekomstweerverbeterdwordt:metdelokalevertaalslag inannexaisdateenvoudiger.) Erwordengenerieketermengebruikt,zoalsbijvoorbeeld bestuur.demappingvandezegenerieke termenopdeeigentermenzalperinstellingverschillen. Overalwaar hij, hem of zijn staatgeschrevenmagditwordenopgevatals zij/hij, haar/hem of haar/zijn. EngelsetermendienoggeengemeengoedzijninhetNederlandsworden netalsindezetoelichting cursiefweergegeven. SURFiborealiseertzichdaterbijindividueleinstellingenmeeraanpassingennodigkunnenzijn, bijvoorbeeldomdatheteigenbeleidminderstriktgeformuleerdisofandereaccentenkent. HetinvullenvaneenCSIRTisookzo nbestpractice.eeninstellinghoeftgeeneigencsirtte hebben,maardientweldeafhandelingvansecurityincidentengeregeldtehebben,eneenduidelijk aanspreekpuntvoorsecurityincidenten,zowelinternalsextern.hetafhandelenvansecurity incidentenzouookinsamenwerkingmetanderepartijenopgezetofingekochtkunnenworden. DeLeidraadInformatiebeveiligingsbeleidXXenhetmodelbeveiligingsbeleidstaannietopzichzelf.In het FrameworkInformatiebeveiligingHogerOnderwijs zijnopditmomenteenaantaldocumenten beschikbaarwaaronder: 4. StarterkitInformatiebeveiliging 5. StarterkitBusinessContinuityManagement 6. StarterkitIdentityManagement 7. StarterkitRBAC 8. StarterkitCERT<vorming(CSIRT) 9. LeidraadClassificatie 10. LeidraadvoorhetopstellenvaneenAcceptableUsePolicy 5/9
LeidraadInformatiebeveiligingsbeleidXX 11. Leidraadintegriteitscode 12. LeidraadFunctieprofiel 13. LeidraadInformatiebeveiligingsarchitectuur 14. LeidraadVeiligtoetsen 15. BaselineInformatiebeveiliging 16. CloudNormenkader 17. NormenkaderInformatiebeveiligingHO/SURFaudit ZievoorhetactueleoverzichtvanhetFrameworkenalledocumenten https://www.edugroepen.nl/sites/surfibo 6/9
LeidraadInformatiebeveiligingsbeleidXX 3' Gebruikte'documenten' BijdereviewvandeLeidraaduit2010isgebruikgemaaktvandevolgendedocumenten. Nr.' Instelling' Titel' Versie,'datum' 1 FontysHogescholen InformatiebeveiligingsbeleidFontys Hogescholen 2 HogeschoolInholland InformatiebeveiligingsnormHogeschool Inholland 3 UniversiteitTwente InformatiebeveiligingsbeleidUniversiteit Twente Versie1.0,mei2013 Versie1.3, 1oktober2013 21september2011 4 UniversiteitLeiden Beleidinformatiebeveiligingvooronderwijs, Versie0.6, onderzoekenbedrijfsvoeringbijdeuniversiteit Leiden 4november2013 5 UniversiteitMaastricht InformatiebeveiligingsbeleidUM Versie2.1,17<06<2013 6 Hanzehogeschool InformatiebeveiligingsbeleidHanzehogeschool Versie3.0,maart2010 2010<2014 7 NEN NEN<ISO/IEC27001 2005en2013 8 NEN NEN<ISO/IEC27002 2005en2013 9 SURF NormenkaderSURF<audit 2011 7/9
LeidraadInformatiebeveiligingsbeleidXX 4' Interviews' Devolgendepersonenzijngeïnterviewdt.b.v.dereviewvanhetmodelbeleid. Nr.' Instelling'' Geïnterviewde' Datum' 1 FontysHogescholen JeroendeSchipper 25<11<2013 2 UniversiteitMaastricht BartvandenHeuvel 25<11<2013 3 Hanzehogeschool ElmaMiddel 02<12<2013 4 UniversiteitTwente WimKoolhoven,PeterPetersen 02<12<2013 MarcBerenschot 5 UniversiteitUtrecht RenéRitzen Eindredactie 1mei2015 8/9
LeidraadInformatiebeveiligingsbeleidXX 5' Begeleidingsgroep' Devolgendepersonenzullenhetconceptvanhetherzienemodelbeleidenleidraadbeoordelen: Nr.' Instelling' Persoon' 1 HogeschoolWindesheim AnitaPolderdijk 2 UniversiteitUtrecht RenéRitzen 3 ErasmusUniversiteit PeterOost 4 UniversiteitvanAmsterdam BartVisser 5 HogeschoolArnhemNijmegen StefanArts 6 RadboudUniversiteit JeanPopma 9/9