Beleidsnota Informatiebeveiliging. Hoger Onderwijs



Vergelijkbare documenten
Taskforce Informatiebeveiligingsbeleid.

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

Compliance and Control

Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer. of toch liever niet.

Leidraad Functieprofiel Informatiebeveiliger in het Hoger Onderwijs

Bijlage C. Communicatieplan. Passenderwijs

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Leidraad Integriteitcode

Regeling Lokale Netwerken

Kortom: Een schaatsvereniging is er dóór leden en vóór leden. De vereniging is intern gericht, waarbij de leden bepalen wat er gebeurt.

DHM Security Management

Bestuurs- en organisatiestructuur KNSB. Voorstel inrichting Ledenraad en stuurgroepen. Versie 17 november 2009

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Handreiking functieprofiel Chief Information Security Officer (CISO)

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

VERSLAG van de 149e vergadering van de GMR

Bijlage C. Communicatieplan. Passenderwijs

Verordening op de bestuurscommissie Bureau Onderwijs en Arbeidsmarkt

Handreiking Strategisch Informatie Overleg Decentrale Overheden

V&VN Geriatrie. Jaarplan Inleiding. Missie

Werkplan Cliëntenraad Stichting Pergamijn. Redactie: De secretaris H.A.Janssens

Samenwerkingsovereenkomst Toptechniek in Bedrijf Noordoost-Brabant

Beleidsdocument SeniorenRaadBest

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

Nota inzake Economic Development Board

Huishoudelijk reglement Cliëntenraad Universitair Centrum Psychiatrie (UCP)

Inleiding 3 Achtergrond POR 5 Visie POR-sessies POR-programma Reglement Platform Ontwikkeling Rotterdam (POR) 14

Startbijeenkomst Special Interest Group (SIG) Groene ICT. 4 februari 2011 Gerard van Westrienen, SURFfoundation Platform ICT & Bedrijfsvoering

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Eindrapport Stimulering beveiliging

Regeling Adviesraad Wmo gemeente Hardenberg

Reglement van de Commissie identiteit van een stichting/vereniging voor onderwijs op rk/pc grondslag

Inhoudelijke vragen kun je stellen aan het huidige bestuurslid: Jerre Lubberts via

Model Richtlijn voor een Cliënten Overleg van Rivas Zorggroep

Raamconvenant landelijk overleg aansluiting sector kunstonderwijs werkveld

Verordening Adviesraad Sociaal Domein 2016

Huishoudelijk Reglement OUDERRAAD BO. De Boomgaard Gent.

Reglement Auditcommissie Raad van Commissarissen MN

De Regieraad Techniek Flevoland verbindt Flevolandse personen, partijen en projecten en stimuleert initiatieven om te zorgen dat

SIG Groene ICT & Duurzaamheid jaarverslag 2013 / jaarplan 2014

SIG Research Information & SURF programma Open Access OPTIMAAL BENUTTEN DOOR AFSTEMMING

Jaarverslag Medezeggenschapsraad Schooljaar

Jaarplan 2015 CRO Rotterdam The Hague Airport

Pastorale zorg bij rampen

Federatie NVVS FOSS SH-Jong, Huishoudelijk reglement (definitief) d.d

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Het college van burgemeester en wethouders van de gemeente Rotterdam,

Professionele AdviesRaad (PAR) Reglement

Quick scan Informatiebeveiliging gemeente Zoetermeer

CO2 reductie initiatief

Informatiebeveiliging voor gemeenten: een helder stappenplan

Huishoudelijk Reglement Raad van Toezicht NLPO

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Communicatieplan Community Weblectures Onderdeel van de SURF SIG WEBstroom

Nederlandse Basketball Bond. Instellingsbesluit Afdelingscommissies

Terms of Reference (ToR) Overlegplatform General Aviation

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

WERKPLAN Van de Medezeggenschapsraad van. De Lindenlommer

Jaarplan Palliatieve Zorg Laurens

Governance-document. NIVEL Zorgregistraties eerste lijn. Documentnaam: Governance document NIVEL Zorgregistraties v

Het college van burgemeester en wethouders van de gemeente Tubbergen,

Beschrijving DCTF Werkgroep Workflow

Pastorale zorg bij rampen

Reglement Cliëntenraad. Zorgcentrum Vincent Depaul

Verordening cliëntenparticipatie Participatiewet Baanbrekers 2015

Voorlopig governance-document. NIVEL Zorgregistraties eerste lijn

GASTVRIJ EN ALERT

Jaarplan Secretariaat VDP Postbus 2000, 1500 GA Zaandam Telefoonnummer Het Akkoord van Emmen waarmaken

Verslag van de vergadering van de Wmo adviesraad Medemblik d.d. 28 september 2015

Functieprofiel Programmamedewerker voor: Programma Implementatie Medische Kindzorgsysteem voor het zieke kind in de eigen omgeving

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Medezeggenschapsstatuut

gelezen het voorstel van het college van burgemeester en wethouders;

Stichting VHAN. Reglement Wetenschapscommissie

samenwerkingsverband primair onderwijs Communicatieplan Stichting Passenderwijs Datum: november 2014 Versie: 4.0 Stichting Passenderwijs

VERORDENING WERKGEVERSCOMMISSIE GRIFFIE. De raad van de gemeente Montfoort;

Reglement Audit & Risk Committee van de Raad van Commissarissen (het Reglement )

Jaarverslag Medezeggenschapsraad. Openbare Basisschool De Octopus

Verordening Cliëntenparticipatie Samenwerkingsverband werk en inkomen (Swi)

Examenprofiel mbo Zakelijke dienstverlening Orde & Veiligheid ICT

Functieprofiel Programmaleider voor: Programma Implementatie Medische Kindzorgsysteem voor het zieke kind in de eigen omgeving

Huishoudelijk Reglement VKIG 3 november 2015

Bureau NVTK Röntgenlaan DX Zoetermeer Telefoon: WERKPLAN NVTK 2017

Verpleegkundige Adviesraad BNMVV

gezien het voorstel van het college van burgemeester en wethouders van 12 december 2017

Beleidskader VERKOOP, MARKETING- EN COMMUNICATIESTRATEGIE (VMC)

Selectiecommissie. Regelement 2015

Richtlijn Commissie Search juli 2013

HUISHOUDELIJK REGLEMENT STICHTING SENIORENRAAD MEIERIJSTAD

Tweede Kamer der Staten-Generaal

Autisme Netwerk Zaanstreek-Waterland 25 september 2018 [1]

Evaluatie bestuursmodel, eindrapportage.

CENTRALE COMMISSIE VOOR DE RIJNVAART RV (14) 11 RV/G (14) 26 JWG (14) februari 2014 Or. en fr/de/nl/en. Uniforme technische standaarden

Verbinden en beïnvloeden op terrein van publieke dienstverlening

Jaarplan De stichting WWvK kent 4 pijlers:

Bestuursreglement. Geldend van 8 juni 2018

Governance-document. NIVEL Zorgregistraties eerste lijn. Documentnaam: Governance document NIVEL Zorgregistraties v

Samenwerkingsovereenkomst Netwerk Palliatieve Zorg Haaglanden De organisaties die deelnemen aan het Netwerk Palliatieve Zorg regio Haaglanden:

Transcriptie:

Beleidsnota Informatiebeveiliging Hoger Onderwijs

Beleidsnota Informatiebeveiliging Hoger Onderwijs 1 1. Inleiding Binnen SURF ICT en Organisatie is informatiebeveiliging al vele jaren een belangrijk onderwerp. Indertijd is door SURF een procesmodel voor informatiebeveiliging opgesteld, er is een maatregelendatabase ontwikkeld, er zijn regelmatig informatiebijeenkomsten georganiseerd en er is een gremium voor Security Officers opgericht: SURF-IBO (SURF Informatie Beveiligers Overleg). In de eerste helft van 2003 is een inventariserend onderzoek naar de informatiebeveiligingsfunctie (IBF) binnen het HO uitgevoerd. Dat resulteerde in het rapport "Vinger in de dijk en toch natte voeten'. Conclusie was dat informatiebeveiliging weliswaar steeds meer aandacht krijgt binnen Instellingen, maar dat we er nog lang niet zijn. Onderlinge samenwerking en bundeling van krachten wordt als belangrijke succesfactor gezien. Het SURF- IBO overleg is daarmee in 2003 en 2004 verder aan de slag gegaan en acht de tijd nu rijp om te komen tot een meer professionele opzet. Met als doel informatiebeveiliging binnen het HO een nieuwe impuls te geven en blijvend op een hoger plan te brengen. 2. Probleemstelling Binnen het Hoger Onderwijs zijn veel mensen die informatiebeveiliging een warm hart toedragen. In de praktijk wordt er binnen Instellingen veel goed werk verzet op het gebied van informatiebeveiliging. Dit vindt echter niet altijd voldoende gecoördineerd plaats. Ook ontbreekt nog te vaak een heldere organisatie van de informatiebeveiliging, waarbij taken, verantwoordelijkheden en bevoegdheden van alle bij informatiebeveiliging betrokken functionarissen eenduidig zijn vastgesteld en binnen de Instelling voor iedereen duidelijk zijn. Commitment van het College van Bestuur, c.q. de Raad van Bestuur, 2 is niet altijd vanzelfsprekend. Informatiebeveiliging wordt over het algemeen nog gezien als iets dat de automatiseringsafdeling regelt. Dat dat niet voldoende is, blijkt uit diverse praktijkvoorbeelden (affaire Tonino, gebruikersaspecten van de brand bij de UT). Nu de toepassing van ICT binnen Onderwijs en Onderzoek steeds belangrijker wordt, is het van belang dat alle ICT-gebruikers binnen een Instelling (management, medewerkers, studenten) weten hoe zij veilig met Informatie moeten omgaan. 3. Doelstelling 3 Doel van een professionele SURF-IBO-groep is het actief 'promoten' van en richting geven aan informatiebeveiliging binnen het Hoger Onderwijs. Voor Instellingen kan dat een belangrijke steun in de rug vormen bij het verder professionaliseren van informatiebeveiliging binnen hun eigen omgeving. Diverse Instellingen hebben inmiddels een Security Officer benoemd, andere 1 Onder Hoger Onderwijs wordt verstaan: Universiteiten, Hogescholen, UMC s en deels Onderwijsinstituten. Of, meer in het algemeen, de SURF-doelgroep. 2 College van Bestuur, Raad van Bestuur. Of, meer in het algemeen, Instellingsmanagement. 3 De Beleidsnota Informatiebeveiliging Hoger Onderwijs geeft het beleid weer van SURF-IBO. Elke Instelling heeft daarnaast een eigen Informatiebeveiligingsbeleid, afgeleid van de Code voor Informatiebeveiliging, de NEN-norm 7510, Informatiebeveiliging in de zorg en/of het IABB procesmodel informatiebeveiliging voor het Hoger Onderwijs. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 1/7

overwegen dit. Uiteindelijk moet dit leiden tot het blijvend op hoger plan brengen van informatiebeveiliging binnen het HO. En dan zowel HO-breed als per individuele Instelling. Afgeleide doelstellingen (resultaten) zijn: a. Security Officers wisselen ervaringen uit, delen kennis en ontwikkelen gezamenlijk nieuwe initiatieven; b. binnen elke Instelling is een aanspreekpunt (bij voorkeur een Security Officer) aangewezen, die zijn/haar Instelling vertegenwoordigt binnen SURF-IBO; c. het CvB/de RvB van een Instelling krijgt een (bijgesteld) beeld van informatiebeveiliging als Instellingsverantwoordelijkheid ; d. Instellingen en CvB/RvB accepteren SURF-IBO als HET professionele platform (groep van deskundigen) voor informatiebeveiliging binnen het HO. Uitgangspunt zijn de Code voor Informatiebeveiliging of de NEN-norm 7510, Informatiebeveiliging in de zorg en het IABB procesmodel informatiebeveiliging voor het Hoger Onderwijs. Doelgroepen zijn: a. CIO s en CvB/RvB van Instellingen; b. Diverse gremia binnen HO (zie hoofdstuk 7 Samenwerking binnen HO ); c. Medewerkers en studenten van Instellingen (altijd via de betreffende Security Officer). 4. Profiel SURF-IBO Het SURF-IBO is een gremium waarin de Security Officers van Instellingen voor Hoger Onderwijs, onder de vlag van SURF ICT en Organisatie, overleg voeren over uiteenlopende onderwerpen op het gebied van informatiebeveiliging. Dit overleg onderscheidt zich van andere beveiligingsoverleggen (GvIB, PI, e.d.) doordat een en ander altijd geplaatst en bekeken wordt vanuit de omgeving en cultuur van het HO. Het SURF-IBO houdt een aantal keren per jaar informatiebijeenkomsten. Tijdens deze bijeenkomsten worden voor het HO actuele onderwerpen op het gebied van informatiebeveiliging behandeld. Daarnaast is het uitdrukkelijk de bedoeling dat Security Officers elkaar leren kennen en elkaar daardoor ook makkelijk even bellen of mailen als zij behoefte hebben aan collegiale ondersteuning. Het SURF-IBO is toegankelijk voor alle benoemde en beoogde Security Officers (of vergelijkbaar maar met andere functienaam) binnen het HO. Onder HO worden alle universiteiten, hogescholen en universitair medische centra verstaan. Deelname van onderzoeksinstellingen (buiten hiervoorgenoemde Instellingen) wordt van geval tot geval bekeken. Het streven is om van iedere Instelling een vertegenwoordiger binnen het SURF-IBO te krijgen. SURF-IBO wil enerzijds ambitieus zijn in haar doelstelling, maar anderzijds praktisch in het maken van realistische en haalbare keuzes. Dus wel duidelijk en ambitieus de grote lijn uitzetten, maar niet teveel hooi tegelijk op de vork nemen. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 2/7

5. Profiel en taken stuurgroep De stuurgroep SURF-IBO is onderdeel van het SURF-IBO. De leden van de stuurgroep zijn gekozen uit de grote groep op basis van vooruitlopen. De stuurgroep is ondersteunend, initiërend, motiverend, stimulerend en voorbereidend (bijeenkomsten) ten opzichte van SURF- IBO als geheel. Binnen de groep zijn een voorzitter en een secretaris gekozen. De groep wordt bijgestaan door een ondersteunend secretaris. De deelnemende Security Officers worden zodanig gekozen dat de volgende aandachtsgebieden binnen de stuurgroep altijd zijn vertegenwoordigd: HBO; Universiteiten; UMC s; Privacy (bijvoorbeeld door een Security Officer die tevens Privacy Officer is). In de groep zit tevens een vertegenwoordiger van SURF ICT en Organisatie. De stuurgroep bestaat uit minimaal 4 personen (exclusief de ondersteuner). De reguliere omvang is uit praktische overwegingen op 9 personen gesteld. De zittingsperiode is in principe twee jaar met mogelijkheid van verlenging. De continuïteit van de groep moet daarbij gewaarborgd zijn. Van leden van de stuurgroep wordt verwacht dat zij een actieve bijdrage leveren aan het realiseren van de doelstelling van SURF-IBO. Leden worden, op voorstel van de stuurgroep of van SURF, door SURF gevraagd om zitting te nemen in de stuurgroep. Leden van de stuurgroep worden geacht bij de Instelling die zij vertegenwoordigen in functie te zijn als Security Officer. Het CvB/RvB wordt door SURF op de hoogte gebracht van de benoeming. De stuurgroep heeft de volgende taken: 1) (laten) uitvoeren jaarplan, 2) samenwerking met verwante gremia, zowel intern als extern HO, 3) voorbereiden SURF-IBO bijeenkomsten, 4) vraagbaakfunctie, 5) klankbordfunctie, 6) faciliteren collegiaal overleg, 7) discussieforum initiëren en begeleiden, 8) waar gewenst inschakelen van SURF-IBO. 6. Positionering SURF-IBO richt zich op informatiebeveiliging in de brede zin des woords. Het accent ligt niet zozeer op technische zaken, maar meer op de beleidsmatige kant van informatiebeveiliging. Het gaat dan met name om informatiebeveiligingsbeleid, het inrichten van een beveiligingsorganisatie en het bevorderen en scherp houden van beveiligingsbewustzijn. SURF-IBO opereert onder de vlag en de verantwoordelijkheid van SURF ICT en Organisatie. Vanuit SURF wordt gezorgd voor ondersteuning en faciliteiten. SURF-IBO moet op termijn HET platform worden als het gaat om informatiebeveiliging binnen het HO. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 3/7

7. Samenwerking binnen HO Binnen het HO zijn diverse gremia actief waar informatiebeveiliging de agenda bepaalt of een regelmatig terugkerend onderwerp vormt. KAAIWO Kontactpersonen administratie automatisering Instellingen wetenschappelijk onderwijs. De SURF-vertegenwoordiger binnen SURF-IBO vormt de linking pin. COMIT Collegiaal overleg managers informatietechnologie (in het HBO). De SURF-vertegenwoordiger binnen SURF-IBO vormt de linking pin. CvDUR College directeuren universitaire rekencentra. Comit heeft voor het HBO de taken die universitair verspreid liggen over de Cvdur en de Kaaiwo. De SURF-vertegenwoordiger binnen SURF-IBO vormt de linking pin. SURFnet-CERT Het CERT is binnen het HO zeer actief op het gebied van informatiebeveiliging. Stond hierbij vroeger 'incident response' voorop. Nu kiest het CERT voor een pro-actievere aanpak waarbij het streven is om beveiliging niet alleen technisch te regelen maar vooral ook 'goed tussen de oren' te krijgen. Een vertegenwoordiger van CERT neemt deel aan SURF-IBO. Hiermee is impliciet ook de link naar SURFnet geregeld. Werkgroep informatiebeveiliging UMC's Binnen de Zorg is in mei 2003 door de ICT-directeuren van de verschillende UMC's een werkgroep voor informatiebeveiliging opgericht. Doel van dit samenwerkingsverband is de implementatie van de NEN 7510 bij de deelnemende organisaties (alle acht de UMC's in Nederland en het Centraal Militair Hospitaal) te bevorderen. Een vertegenwoordiger van de werkgroep (tevens Security Officer binnen UMC) neemt deel aan SURF-IBO. Binnen de stuurgroep heeft één Security Officer met UMC-achtergrond zitting. Dienst Digitale Expertise Politie/ CRI / AIVD In uitvoerende zin heeft het CERT deze contacten. Beleidsmatige zaken kunnen via de contactpersoon van het CERT binnen de stuurgroep SURF-IBO worden afgekaart. Privacy Er is binnen OC&W een privacy-overleg ingericht, namelijk het NOFG (netwerk onderwijs functionarissen gegevensbescherming). Een vertegenwoordiger van de werkgroep (tevens Security Officer binnen HO) neemt deel aan SURF-IBO. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 4/7

Binnen de stuurgroep heeft één Security Officer die tevens Privacy Officer is, zitting. Bve / kennisnet Bve staat voor beroepsonderwijs en volwasseneneducatie. Stichting Kennisnet is de internetorganisatie van en voor het Nederlandse primair- en voortgezet onderwijs en de BVEsector. Een vertegenwoordiger van de Bve-sector (kennisnet) neemt als toehoorder deel aan SURF-IBO. 8. Samenwerking buiten HO Er is geen bedrijf of overheidsinstelling meer denkbaar waar informatiebeveiliging geen belangrijke rol speelt. Het is danook niet verwonderlijk dat vakgenoten zich op diverse manieren hebben georganiseerd. Met als doel kennisoverdracht, delen van ervaringen, doen van onderzoek en 'netwerken'. Organisaties die voor SURF-IBO buiten het HO interessant zijn, zijn het GvIB (het Genootschap van Informatiebeveiligers), PI (Platform Informatiebeveiliging), NGI / afdeling beveiliging (Nederlands Genootschap Informatica), ISACA (Information Systems Audit and Control Association) en NOREA (beroepsorganisatie van IT-auditors). Het HO, als aparte branche kan zo ook van andere branches die op sommige punten wellicht al wat verder zijn, leren. Daarnaast draagt lidmaatschap bij aan de gewenste professionele uitstraling. 9. Werkwijze SURF-IBO De werkzaamheden van SURF-IBO zijn uiteenlopend van aard: van korte acties tot complete onderzoeken. Al deze acties en onderzoeken komen op een actielijst. Per item wordt een (beknopt) plan van aanpak opgesteld en is iemand van de stuurgroep verantwoordelijk. Waar nodig worden werkgroepen ingesteld, waarin leden van SURF-IBO zitting kunnen nemen. Terugkoppeling en discussie vinden in eerste instantie plaats binnen de stuurgroep. Resultaten worden altijd gepresenteerd aan de stuurgroep en aan SURF-IBO. Waar van toepassing wordt een en ander ook gepubliceerd op de website van SURF en/of op papier (folder, rapport, o.i.d.). Waar het onderwerp zich daartoe leent, wordt een zogenaamde Leidraad opgesteld, d.w.z. een kort boekwerkje (hooguit 10 pagina's) waarin beschreven wordt hoe een bepaald onderwerp aangepakt kan worden. Elk jaar wordt een HO-breed thema gekozen. Rondom dit thema worden bijeenkomsten (met sprekers), publicaties en een jaarlijks congres georganiseerd. De stuurgroep vergadert in principe zes keer per jaar en bereidt daarnaast de bijeenkomsten van het SURF-IBO voor. Het SURF-IBO komt minimaal drie keer per jaar bijeen. De stuurgroep organiseert, in overleg met het SURF-IBO, een jaarlijks congres (één- of tweedaags). Hierbij kunnen ook buitenstaanders worden uitgenodigd. Binnen SURF-IBO werken we met jaarplannen. Jaarlijks vindt een evaluatie en, zo nodig, bijstelling plaats. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 5/7

10. Communicatie Zowel binnen het SURF-IBO als binnen de stuurgroep is het belangrijk dat op een functionele en veilige manier met elkaar kan worden gecommuniceerd. Ook naar buiten toe (bijvoorbeeld via de website) is goede communicatie essentieel voor het bereiken van onze doelstelling. Uitingen/publicaties moeten bij voorkeur direct herkenbaar zijn als komende van SURF-IBO. Dit geeft een professionele uitstraling. Beleidsnota Informatiebeveiliging Hoger Onderwijs, maart 2005 pagina 6/7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback