Fase 3
Fase 3 is net als fases 2 en 4 samengesteld op basis van een aantal kenmerken. Om te beginnen speelt volgordelijkheid een rol. Soms moet je de ene norm hebben uitgevoerd voor je een andere kunt doen. Daarnaast is risicoafweging meegenomen. Dat betekent dat normen die de grootste risico’s afdekken eerder aan de beurt komen. Fase 3 bestaat uit 8 deelprojecten.
Onderhoud infrastructuur
Hardware zoals servers en routers moeten onderhouden worden. Daar hou je je in dit deelproject mee bezig. Bij norm SM.08 uit dit deelproject werk je alleen aan het derde en vierde punt van volwassenheidsniveau 3. Daarnaast is dit deelproject alleen van toepassing op infrastructuur die je zelf beheert. Beheer je een systeem niet zelf? Dan maak je afspraken over het onderhoud van je infrastructuur binnen het deelproject Risicomanagement leveranciers.
Identiteit en toegangsbeheer
Identiteit en toegangsbeheer gaat over alle processen die betrekking hebben op wie er bij welke informatie kunnen. Het gaat hier ook om het regelen van toegang tot fysieke ruimtes en het intrekken van toegang van medewerkers die niet langer werkzaam zijn bij je organisatie. Het is een omvangrijk deelproject.
- Norm ID.01 Toegangsrechten toewijzen
- Norm ID.02 Administratie van toegangsrechten
- Norm ID.03 Monitoring en toegang superusers
- Norm ID.04 Noodprocedure superuserrechten
- Norm ID.05 Periodieke beoordeling van toegangsrechten
- Norm SM.02 Authenticatiemechanismes
- Norm HR.04 Verandering of beëindiging van functie
- Norm PH.02 Beheer van fysieke toegangsrechten
BIV-beveiligingseisen
Aan de hand van een BIV-classificatie weeg je af hoe zwaar het belang weegt van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) voor gegevens, systemen en processen. In dit deelproject leg je vast wat de beveiligingseisen zijn die horen bij verschillende soorten BIV-classificaties. Ook beveiligingseisen uit andere deelprojecten horen hierbij. Denk bijvoorbeeld aan eisen voor back-ups, patchmanagementHet verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen. More en toegangsbeheer. Let op: je werkt hier aan de punten een en twee van volwassenheidsniveau 3 uit norm SM.08. Deze twee punten komen in twee andere deelprojecten terug.
Bewaartermijnen
Data wil je niet langer bewaren dan noodzakelijk, omdat dat onnodige risico’s oplevert. Voor persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More geldt bovendien dat het niet is toegestaan om deze langer te bewaren dan nodig is. In dit deelproject leg je vast hoelang je welke type data bewaart en waar de verantwoordelijkheid voor het opschonen van data ligt. Dit deelproject bevat normen voor informatiebeveiliging en privacy.
Vulnerability en pentesting
Om zeker te weten of je systemen nog veilig zijn, moet je periodiek testen of het toch lukt binnen te dringen. Dit deelproject is alleen van toepassing op systemen die je zelf beheert. Beheer je een systeem niet zelf? Dan maak je afspraken over vulnerability en pentesting binnen het deelproject Risicomanagement leveranciers.
Fysieke beveiliging
Informatie en systemen moeten niet alleen digitaal worden beschermd, maar ook fysiek. Bijvoorbeeld door de toegang naar fysieke ruimtes te beperken. Dat regel je binnen dit deelproject. Let op: je werkt hier aan de punten een en twee van volwassenheidsniveau 3 uit norm SM.08. Deze twee punten komen in twee andere deelprojecten terug.
Werkplekken en mobiele apparaten
Welke beveiligingseisen stel je aan digitale werkplekken en aan mobiele apparaten? Je moet hierbij ook denken aan apparaten die leerlingen en medewerkers zelf meebrengen.
Businesscontinuïteitsplan
In dit deelproject stel je een businesscontinuïteitsplan op met daarin de maatregelen die je neemt als er it-verstoringen optreden. Hiermee garandeer je de continuïteit van belangrijke processen in je school.
Alle fases van het Groeipad
Je bent nu in fase 3