Home » Informatiebeveiliging » Domein 11: Securitymanagement » Norm SM.06

Norm SM.06 Patchmanagement

Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.

Waarom is dit nodig?

Installeer je patchesPatches zijn kleine stukjes code die worden toegevoegd aan bestaande programma's om fouten (bugs) te corrigeren, beveiligingslekken te dichten of functionaliteit te verbeteren. of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de it-infrastructuur van je school te verkrijgen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid voor patchmanagementHet verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen..
Individuele risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. voor kwetsbaarheden en patches.
Installatie van patches en beveiligingsfixes is ad hoc.

2 Herhaalbaar

Er is een informeel beleid voor patchmanagement.
Risico’s op kwetsbaarheden en installatie van patches en fixes worden gemanaged maar niet gedocumenteerd.
Patches worden vaak ingevoerd met onvoldoende oog voor informatiebeveiliging.

3 Bepaald (streefniveau)

Er is een formeel vastgelegd beleid voor patchmanagement.
Patchmanagement is op organisatieniveau ingevoerd en gedocumenteerd, in lijn met changemanagementHet beheerst doorvoeren van wijzigingen in it..
Patches worden in de basis overgenomen in samenwerking met CSIRTEen Computer Security Incident Response Team, ook wel CERT genaamd, is een gespecialiseerd team voor het reageren op beveiligingsincidenten, met als doel schade te beperken en herstel van dienstverlening te bevorderen. In Nederland is het NCSC de nationale CSIRT en zijn er diverse sectorale CERTs. SURFcert is de bekendste binnen de onderwijssector..
It-medewerkers checken handmatig de patchlevels van besturingssystemen, databases en applicaties.

4 Beheerst

Aanvullend op niveau 3:

De effectiviteit van patchmanagement wordt regelmatig geëvalueerd. Deze evaluaties worden gedocumenteerd en verbeteringen worden bepaald.
Patchmanagement wordt meer benaderd op basis van risico’s dan vanuit compliance.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Er zijn automatische controles op patchlevels en alerts voor it-medewerkers (maar geen automatische installatie van patches).
Rapportages worden automatisch gegenereerd voor het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Stel een procedure voor patchmanagement op.
Stel de patchmanagementprocedure vast.
Controleer regelmatig op patchlevels en leg dit vast.
Zorg dat software van derden – zoals SaaS of operating system of libraries – actief onderhouden zijn en niet End-of-Support.

Gerelateerde wetten en normen

Norm SM.06 Patchmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

A8.8
A8.19

Certificeringsschema IBP ROSA

Beschikbaarheid/Onderhoud
Integriteit van de toepassing/Controle integriteit
Vertrouwelijkheid/Omgaan met kwetsbaarheden

Afdrukken