Norm SM.06 Patchmanagement

Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.

Waarom is dit nodig?

Installeer je patches of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de IT-infrastructuur van je school te verkrijgen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid voor patchmanagement.
  • Individuele risicoanalyse voor kwetsbaarheden en patches.
  • Installatie van patches en beveiligingsfixes is ad hoc.
2 Herhaalbaar
  • Er is een informeel beleid voor patchmanagement.
  • Risico’s op kwetsbaarheden en installatie van patches en fixes worden gemanaged maar niet gedocumenteerd.
  • Patches worden vaak ingevoerd met onvoldoende oog voor informatiebeveiliging.
3 Bepaald (streefniveau)
  • Er is een formeel vastgelegd beleid voor patchmanagement.
  • Patchmanagement is op organisatieniveau ingevoerd en gedocumenteerd, in lijn met changemanagement.
  • Patches worden in de basis overgenomen in samenwerking met CSIRT.
  • IT-medewerkers checken handmatig de patchlevels van besturingssystemen, databases en applicaties.
4 Beheerst

Aanvullend op niveau 3:

  • De effectiviteit van patchmanagement wordt regelmatig geëvalueerd. Deze evaluaties worden gedocumenteerd en verbeteringen worden bepaald.
  • Patchmanagement wordt meer benaderd op basis van risico’s dan vanuit compliance.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Er zijn automatische controles op patchlevels en alerts voor IT-medewerkers (maar geen automatische installatie van patches).
  • Rapportages worden automatisch gegenereerd voor het schoolbestuur of de schoolleiding.

Voorbeelddocumenten

Gerelateerde wetten en normen

Norm SM.06 Patchmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

  • A8.8
  • A8.19

Certificeringsschema IBP ROSA

  • Beschikbaarheid/Onderhoud
  • Integriteit van de toepassing/Controle integriteit
  • Vertrouwelijkheid/Omgaan met kwetsbaarheden
Afdrukken

Op deze pagina