Norm SM.03 Mobiele apparaten en telewerken
Waarom is dit nodig?
Het gebruik van Mobile Device Management, versleutelingDe technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management. en bescherming tegen malware helpen bij de bescherming van gegevens van de organisatie.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Beleid voor het gebruik en beveiliging van mobiele apparaten en/of telewerkfaciliteiten ontbreekt.
- Procedures voor het aanvragen, goedkeuren, verstrekken en accepteren van mobiele apparaten en/of telewerkfaciliteiten ontbreken.
- Bedrijfsgegevens worden mogelijk niet versleuteld opgeslagen op mobiele apparaten.
2 Herhaalbaar
- Er is informeel beleid voor het beveiligen van mobiele apparaten en/of telewerkfaciliteiten.
- Er is een informele procedure voor het aanvragen, goedkeuren, verstrekken en accepteren van mobiele apparaten en/of telewerkfaciliteiten
- Toegang tot een mobiel apparaat wordt alleen verleend na gebruik van een (sterk) wachtwoord.
- Er worden geen (niet versleutelde) organisatiegegevens opgeslagen op mobiele apparaten (zero footprint).
3 Bepaald (streefniveau)
- Formeel beleid en procedures voor het beveiligen van mobiele apparaten en/of telewerkfaciliteiten worden gedocumenteerd en gecommuniceerd (Mobile Device Management).
- Anti-malwaresoftware op mobiele apparaten wordt up-to-date gehouden.
In geval van verlies of diefstal van een apparaat wordt de communicatie met gecentraliseerde applicaties afgesloten. - Er worden geen organisatiegegevens opgeslagen op telewerkfaciliteiten thuis of elders (zero footprint).
- De vertrouwde (logische) werkplek is beschermd tegen malware.
- Bedrijfsgegevens in niet vertrouwde omgevingen worden alleen afgedrukt na een risicobeoordeling.
4 Beheerst
Aanvullend op niveau 3:
- De implementatie en uitvoering van Mobile Device Management wordt periodiek geëvalueerd en gedocumenteerd. Op basis van evaluaties worden verbeteringen vastgesteld.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Prestaties en verbeteringen van beveiligde mobiele apparaten en/of telewerkfaciliteiten worden continu gemonitord.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Maak gebruik van Mobile Device Management (MDM) of Mobile Application Management (MAM) voor het beveiligen van mobiele apparaten of telewerkfaciliteiten. Neem dit op in het IBP-beleid. Zie voor meer informatie over het opstellen van IBP-beleid norm GO.02 Beleid informatiebeveiliging. Het MDM of MAM moet dusdanig zijn ingesteld dat invulling wordt gegeven aan de elementen van volwassenheidsniveau 3.
- Er is een gedragscode Veilig gebruik ict-middelen en persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. opgesteld voor zowel leerlingen als medewerkers. Je kunt hiervoor de voorbeeldgedragscodes Veilig gebruik ict-middelen en persoonsgegevens gebruiken.
Gerelateerde wetten en normen
Norm SM.03 Mobiele apparaten en telewerken is gerelateerd aan de ISO-standaard 27001/2:2022.
ISO 27001/2:2022
- A.6.7
- A.8.1