Norm SM.06 Patchmanagement

Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.

Waarom is dit nodig?

Installeer je patches of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de it-infrastructuur van je school te verkrijgen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
 • Er is geen beleid voor patchmanagement.
 • Individuele risicoanalyse voor kwetsbaarheden en patches.
 • Installatie van patches en beveiligingsfixes is ad hoc.
2 Herhaalbaar
 • Er is een informeel beleid voor patchmanagement.
 • Risico’s op kwetsbaarheden en installatie van patches en fixes worden gemanaged maar niet gedocumenteerd.
 • Patches worden vaak ingevoerd met onvoldoende oog voor informatiebeveiliging.
3 Bepaald (streefniveau)
 • Er is een formeel vastgelegd beleid voor patchmanagement.
 • Patchmanagement is op organisatieniveau ingevoerd en gedocumenteerd, in lijn met changemanagement.
 • Patches worden in de basis overgenomen in samenwerking met CSIRT.
 • It-medewerkers checken handmatig de patchlevels van besturingssystemen, databases en applicaties.
4 Beheerst

Aanvullend op niveau 3:

 • De effectiviteit van patchmanagement wordt regelmatig geëvalueerd. Deze evaluaties worden gedocumenteerd en verbeteringen worden bepaald.
 • Patchmanagement wordt meer benaderd op basis van risico’s dan vanuit compliance.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

 • Er zijn automatische controles op patchlevels en alerts voor it-medewerkers (maar geen automatische installatie van patches).
 • Rapportages worden automatisch gegenereerd voor het schoolbestuur of de schoolleiding.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

 • Stel een procedure voor patchmanagement op.
 • Stel de patchmanagementprocedure vast.
 • Controleer regelmatig op patchlevels en leg dit vast.
 • Zorg dat software van derden – zoals SaaS of operating system of libraries – actief onderhouden zijn en niet End-of-Support.

Gerelateerde wetten en normen

Norm SM.06 Patchmanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

 • A8.8
 • A8.19

Certificeringsschema IBP ROSA

 • Beschikbaarheid/Onderhoud
 • Integriteit van de toepassing/Controle integriteit
 • Vertrouwelijkheid/Omgaan met kwetsbaarheden
Afdrukken

Op deze pagina