Norm SM.07 Threat- en vulnerabilitymanagement

Er is een proces voor threat- en vulnerabilitymanagement ingevoerd om bedreigingen te identificeren en kwetsbaarheden tijdig te detecteren en te verhelpen. Het gaat hierbij om kwetsbaarheden die kunnen leiden tot een verslechtering van de prestaties van of een aanval op bedrijfsmiddelen. Welke aanvalsvectoren cybercriminelen gebruiken, wordt ook beschouwd en er worden maatregelen genomen om blootstelling te verminderen.

Waarom is dit nodig?

Threat- en vulnerabilitymanagement helpt om bedreigingen en kwetsbaarheden in beeld te brengen. Zo krijg je inzicht in de manieren waarop de systemen van de school kunnen worden aangevallen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen proces voor threat- en vulnerabilitymanagement.
  • Er wordt niet geautomatiseerd op kwetsbaarheden gescand.
  • Vrijwel alles wordt handmatig gedaan, systeem voor systeem.
2 Herhaalbaar
  • Er is een eenvoudig en informeel threat- en vulnerabilitymanagementproces ingevoerd.
  • Er is een vulnerabilityscanner, idealiter voor zowel web- als netwerkvectoren, die tevens scant op incorrecte configuratie van apparatuur.
  • Scanning gebeurt ad hoc.
3 Bepaald (streefniveau)
  • Er is een formeel vastgelegd proces voor threat- en vulnerabilitymanagement ingevoerd inclusief samenwerking met CERT, gedreven vanuit compliance en bekende risico’s.
  • Er is een tool voor het beoordelen van kwetsbaarheden, waarschijnlijk gevoed met scans vanuit verschillende bronnen.
4 Beheerst

Aanvullend op niveau 3:

  • Threat- en vulnerabilitymanagement en patching zijn ingevoerd als onderdeel van een ecosysteem en niet als losse entiteit.
  • Er is een geavanceerd en grondig proces ingevoerd voor het valideren van kwetsbaarheden. Dit proces maakt gebruik van penetratietesten.
  • Het red-teamconcept is ingevoerd voor formele penetratietesten.
  • Er wordt periodiek gerapporteerd over threat- en vulnerabilitymanagement.
  • Het threat- en vulnerabilitymanagementproces wordt periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De afdelingen it-beveiliging en it-operations implementeren processen om gezamenlijk de lifecycle van kwetsbaarheden te managen.
  • Het ingevoerde proces is cruciaal voor closed-loop threat- en vulnerabilitymanagement, van bedreigingsidentificatie tot herstel en validatie.
  • Data voor threat- en vulnerabilitymanagement is geïntegreerd met alle andere aspecten van it-beveiliging en operations, om near realtime aanpassingen in securitymanagement en netwerk- en datacentermanagement mogelijk te maken.
  • Indicatoren richten zich op het verbeteren van beveiliging, in plaats van enkel het rapporteren van kwetsbaarheden.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Stel een procedure op voor threat- en vulnerabilitymanagement.
  • Stel een tool beschikbaar in de organisatie voor vulnerabilityscanning en zet deze regelmatig in. Leg de resultaten vast.

Gerelateerde wetten en normen

Norm SM.07 Threat- en vulnerabilitymanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022

  • A5.7
  • A8.7
  • A8.8

Certificeringsschema ROSA

  • Vertrouwelijkheid/Omgaan met kwetsbaarheden
Afdrukken

Op deze pagina