Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl
Home » Informatiebeveiliging » Domein 11: Securitymanagement » Norm SM.01

Norm SM.01 Beveiligingsbaselines

Beveiligingsbaselines en richtlijnen voor it-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot it-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding. De verantwoordelijke it-medewerkers worden hiervan op de hoogte gesteld. Ingevoerde beveiligingsinstellingen voor it-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.

Waarom is dit nodig?

Beveiligingsbaselines zorgen voor een consistente implementatie van de beveiligingsinstellingen. Dit resulteert in een consistent en hoog niveau van beveiliging en bevordert de continuïteit van de it-services.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er zijn geen beveiligingsbaselines.
2 Herhaalbaar
  • Er zijn beveiligingsbaselines gedefinieerd voor de belangrijkste it-infrastructuurcomponenten.
  • Beveiligingsbaselines worden ad hoc ingevoerd en afwijkingen van de baselines worden niet gedocumenteerd.
3 Bepaald (streefniveau)
  • Beveiligingsbaselines zijn gedefinieerd, goedgekeurd door het schoolbestuur of de schoolleiding en gecommuniceerd naar verantwoordelijk it-medewerkers.
  • De ingevoerde beveiligingsinstellingen voor it-middelen worden periodiek gecontroleerd op overeenstemming met de beveiligingsbaselines.
  • Resultaten worden gedocumenteerd, afwijkingen worden gedocumenteerd en goedgekeurd (of gecorrigeerd).
  • Voor nieuwe it-infrastructuurcomponenten en projectmanagementprocessen wordt implementatie van beveiligingsbaselines afgedwongen.
  • Periodiek wordt aan het schoolbestuur of de schoolleiding gerapporteerd in hoeverre aan de baseline wordt voldaan.
4 Beheerst

Aanvullend op niveau 3:

  • Beveiligingsbaselines worden periodiek geëvalueerd en indien nodig geactualiseerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Door middel van continue monitoring en/of audittools wordt bewaakt in welke mate aan de beveiligingsbaselines wordt voldaan.
  • Afwijkingen van de baselines worden realtime gerapporteerd en indien nodig gecorrigeerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Bepaal welke minimale beveiligingsinstellingen nodig zijn voor veilig gebruik van bedrijfskritische applicaties. Leg dit vast in een beveiligingsbaseline. Het schoolbestuur moet deze beveiligingsbaseline vaststellen.
  • Controleer de instellingen van applicaties minimaal jaarlijks op de beveiligingsbaseline. Doe dit standaard na elke wijziging.
  • Documenteer en corrigeer afwijkingen in het incidentenregister. Wordt de afwijking niet gecorrigeerd? Documenteer dan de acceptatie ervan.
  • Neem bij de ontwikkeling van it-middelen de implementatie van de beveiligingsbaselines mee.
  • Rapporteer over afwijkingen op de baseline in de periodieke incidentenrapportage aan het bestuur.

Gerelateerde wetten en normen

Norm SM.01 Beveiligingsbaselines is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022
  • A5.36
  • A5.37
  • A5.8

Alle normen van dit domein

Afdrukken

Op deze pagina