Norm SM.05 Testen, inspectie en toezicht beveiliging
Implementatie van IT-beveiliging wordt proactief getest en bewaakt. IT-beveiliging wordt regelmatig getoetst om ervoor te zorgen dat de door de organisatie goedgekeurde baseline voor informatiebeveiliging wordt gehandhaafd. Een log- en bewakingsfunctie maakt vroegtijdige preventie en detectie mogelijk en daardoor tijdige rapportage van ongebruikelijke en/of abnormale activiteiten.
Waarom is dit nodig?
Testen, inspectie en monitoring helpen je om tijdig ongebruikelijke en abnormale activiteiten te detecteren en aan te pakken.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- De implementatie van IT-beveiliging wordt ad hoc getest.
- Er zijn geen procedures of beleid.
2 Herhaalbaar
- Er is een procedure met richtlijnen voor het testen van beveiligingsmaatregelen, maar deze focust vooral op het testen van units of componenten.
- Penetratietesten of social engineeringoefeningen worden adhoc uitgevoerd.
- Toezicht op ongebruikelijke of abnormale activiteiten vindt plaats door de logs achteraf te checken.
3 Bepaald (streefniveau)
- Er zijn procedures en beleid voor het scannen, testen en beheren van IT-beveiliging gedefinieerd en ingevoerd. Deze zijn goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
- Er is een beveiligingsbaseline ingevoerd voor alle IT-componenten die essentieel zijn voor bedrijfsvoering.
- Penetratietesten en social engineeringtesten worden gepland en periodiek uitgevoerd.
- Er is een log- en controlefunctie ingericht voor vroegtijdige preventie en/of detectie en tijdige melding van ongewone en/of abnormale activiteiten. Er wordt extra aandacht besteed aan cybersecuritydreigingen.
4 Beheerst
- Alle IT-componenten, netwerkapparatuur, diensten en applicaties zijn geïnventariseerd.
- Elke component heeft een beveiligingsrisicorating gekregen en wordt volgens die rating gescand of getest.
- Alle IT-componenten die essentieel zijn voor bedrijfsvoering worden (automatisch) opgenomen in de CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de IT-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines. en realtime gecontroleerd op beveiligingsincidenten volgens de behoeften van de school.
- Red-teamingoefeningen worden gepland en periodiek uitgevoerd.
- Het proces van securitytesten, -surveillance en -monitoring wordt periodiek geëvalueerd.
5 Continu verbeteren
- Het testen van IT-beveiliging is opgenomen in de projectmanagement- en software-ontwikkelingsmethodieken, zodat beveiliging gegarandeerd meegenomen wordt in ontwerp-, ontwikkelings- en testeisen. Zo wordt het risico dat nieuwe of veranderende systemen kwetsbaarheden introduceren zoveel mogelijk beperkt.
- Dreigingen op het gebied van cybersecurity worden voortdurend in de gaten gehouden door geautomatiseerde detectie- en responsetechnologie (bijvoorbeeld SIEMSIEM (Security Information and Event Management) is een technologie die gegevens uit verschillende bronnen verzamelt, analyseert en logboeken beheert om potentiële beveiligingsdreigingen te detecteren.).
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm SM.05 Testen, inspectie en toezicht beveiliging is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A5.25
- A5.35
- A5.36
- A8.8
- A8.15
- A8.16
- A8.19
- A8.29
- A8.34
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Omgaan met kwetsbaarheden