Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl
Home » Informatiebeveiliging » Domein 11: Securitymanagement » Norm SM.08

Norm SM.08 Beschikbaarheid en bescherming infrastructuur

Interne beheers-, beveiligings- en auditmaatregelen worden ingevoerd tijdens configuratie, integratie en onderhoud van hardware en infrastructuursoftware met het doel om middelen te beschermen en beschikbaarheid en integriteit te waarborgen. Verantwoordelijkheden voor het gebruik van gevoelige infrastructuurcomponenten zijn duidelijk gedefinieerd en bekend bij degenen die infrastructuurcomponenten ontwikkelen en integreren. Het gebruik ervan wordt gecontroleerd en geëvalueerd.

Waarom is dit nodig?

Door de it-infrastructuur te beveiligen wordt de beschikbaarheid en integriteit gewaarborgd. Hierdoor ontstaat een digitaal veilige omgeving voor leerlingen en medewerkers.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen proces gedefinieerd voor de bescherming en beschikbaarheid van infrastructuurcomponenten.
  • Het belang van it-infrastructuur wordt onderkend, maar er is geen consistente totaalaanpak.
  • Er is geen aparte testomgeving voor it-infrastructuur.
2 Herhaalbaar
  • Infrastructuurbescherming en -beschikbaarheid wordt ondersteund door enkele (formele) procedures en het belang van it-infrastructuur is duidelijk.
  • Voor enkele omgevingen is een aparte testomgeving voor it-infrastructuur.
3 Bepaald (streefniveau)
  • Er is een helder gedefinieerd en door iedereen begrepen proces voor de bescherming en beschikbaarheid van de it-infrastructuur.
  • De procesbeschrijving is in lijn met de vereisten van de school en goedgekeurd door het bestuur.
  • De verantwoordelijkheden voor het gebruik van gevoelige componenten van de infrastructuur zijn gedefinieerd en begrepen door de ontwikkelaars van infrastructuurcomponenten en degenen die ze implementeren.
  • Het testen betreft onder meer de functionaliteit, beveiliging, beschikbaarheid en integriteit, en eventueel andere aanbevelingen van de leverancier.
  • Test- en productieomgevingen van de it-infrastructuur zijn van elkaar gescheiden.
  • Alle applicatiesoftware wordt voor installatie getest in een gescheiden maar vergelijkbare omgeving van productie. De installatie van software met een licentie wordt gedaan volgens richtlijnen van de leverancier.
4 Beheerst

Aanvullend op niveau 3:

  • Onderhoud van gevoelige it-infrastructuurcomponenten wordt gelogd en regelmatig geëvalueerd door verantwoordelijk management.
  • Van alle infrastructuurdata en -software wordt een back-up gemaakt vóór het uitvoeren van installatie- of onderhoudstaken.
  • De implementatie en uitvoering van relevante procedures worden periodiek geëvalueerd en gedocumenteerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De bescherming en beschikbaarheid van de infrastructuur is proactief afgeleid van de eisen binnen de organisatie voor beveiliging en beschikbaarheid.
  • De infrastructuurcomponenten worden voortdurend bewaakt door geautomatiseerde detectie- en responsetechnologie, bijvoorbeeld SIEM, als integraal onderdeel van de infrastructuur.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

  • Beschrijf op welke wijze bescherming en beschikbaarheid van de it-infrastructuur plaatsvindt. Laat dit vaststellen door het schoolbestuur.
  • Leg voor elk onderdeel van de it-infrastructuur vast wie wijzigingen in de componenten mag en kan aanbrengen. Deze persoon zorgt ervoor dat kennis over de componenten up-to-date is. Bijvoorbeeld door het volgen van trainingen of het lezen van alle door de leverancier gepubliceerde informatie.
  • Scheid altijd test- en productieomgevingen van elkaar. Test software altijd eerst in de testomgeving voordat deze geïnstalleerd wordt op productie.
  • Pas bij installatie van software met een licentie de richtlijnen van de leverancier toe.

Gerelateerde wetten en normen

Norm SM.08 Beschikbaarheid en bescherming infrastructuur is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.

ISO 27001/2:2022
  • A5.8
  • A8.14
  • A8.31

Certificeringsschema IBP ROSA
  • Beschikbaarheid/Ontwerp
  • Beschikbaarheid/Capaciteit Beheer
  • Beschikbaarheid/Testen
  • Beschikbaarheid/Scheiden omgevingen

Alle normen van dit domein

Afdrukken

Op deze pagina