Norm SM.01 Beveiligingsbaselines
Beveiligingsbaselines en richtlijnen voor IT-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot IT-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding. De verantwoordelijke IT-medewerkers worden hiervan op de hoogte gesteld. Ingevoerde beveiligingsinstellingen voor IT-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.
Waarom is dit nodig?
Beveiligingsbaselines zorgen voor een consistente implementatie van de beveiligingsinstellingen. Dit resulteert in een consistent en hoog niveau van beveiliging en bevordert de continuïteit van de IT-services.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er zijn geen beveiligingsbaselines.
2 Herhaalbaar
- Er zijn beveiligingsbaselines gedefinieerd voor de belangrijkste IT-infrastructuurcomponenten.
- Beveiligingsbaselines worden ad hoc ingevoerd en afwijkingen van de baselines worden niet gedocumenteerd.
3 Bepaald (streefniveau)
- Beveiligingsbaselines zijn gedefinieerd, goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding en gecommuniceerd naar verantwoordelijk IT-medewerkers.
- De ingevoerde beveiligingsinstellingen voor IT-middelen worden periodiek gecontroleerd op overeenstemming met de beveiligingsbaselines.
- Resultaten worden gedocumenteerd, afwijkingen worden gedocumenteerd en goedgekeurd (of gecorrigeerd).
- Voor nieuwe IT-infrastructuurcomponenten en projectmanagementprocessen wordt implementatie van beveiligingsbaselines afgedwongen.
- Periodiek wordt aan het schoolbestuur of de schoolleiding gerapporteerd in hoeverre aan de baseline wordt voldaan.
4 Beheerst
Aanvullend op niveau 3:
- Beveiligingsbaselines worden periodiek geëvalueerd en indien nodig geactualiseerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Door middel van continue monitoring en/of audittools wordt bewaakt in welke mate aan de beveiligingsbaselines wordt voldaan.
- Afwijkingen van de baselines worden realtime gerapporteerd en indien nodig gecorrigeerd.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm SM.01 Beveiligingsbaselines is gerelateerd aan de ISO-standaard 27001/2:2022.
ISO 27001/2:2022
- A5.36
- A5.37
- A5.8