Home » Informatiebeveiliging » Domein 15: Ketenbeheer » Norm SC.01

Norm SC.01 Service Level Agreement

It-services die aan de organisatie worden geleverd, worden gedefinieerd in het contract en in de bijhorende Service Level Agreement (SLA). Er zijn maatregelen genomen om ervoor te zorgen dat diensten voldoen aan de huidige en toekomstige behoeften van de organisatie.

Waarom is dit nodig?

Een SLAService Level Agreement ook wel dienstverleningsovereenkomst (DVO). Bijlage bij een contract waarin de kwaliteit van de dienstverlening beschreven staat. Zo weet de afnemer bijvoorbeeld welke ondersteuning hij kan verwachten, is bepaald wat de beschikbaarheidseisen van de dienst zijn en hoe snel incidenten opgelost worden., ook wel dienstverleningsovereenkomst genoemd, zorgt voor duidelijke afspraken tussen de school en de leverancier van het product over onder andere het onderhoud en de ondersteuning van een it-component. Met de SLA kun je de leverancier aanspreken als zijn dienstverlening niet voldoet aan de afspraken.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen contract met bijbehorend Service Level Agreement (SLA).

2 Herhaalbaar

Er zijn enkele afspraken gemaakt over servicelevels.
Er zijn geen afspraken gemaakt over periodieke rapportage over geleverde diensten.

3 Bepaald (streefniveau)

Servicelevels van it-diensten zijn gebaseerd op business requirements.
De SLA bevat afspraken over periodieke rapportage van geleverde diensten en performance.
De gedefinieerde serviceniveaus zijn gedocumenteerd in een SLA en formeel goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding en de it-serviceprovider.

4 Beheerst

Aanvullend op niveau 3:

In de SLA zijn specifieke afspraken opgenomen over informatiebeveiliging.
Afspraken over het beëindigen van diensten (bijvoorbeeld exitclausule, escrow, dataoverdracht/-vernietiging) zijn onderdeel van de SLA.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Criteria voor beveiligingsincidenten zijn gedefinieerd en beveiligingsincidenten worden separaat inzichtelijk gemaakt, naast incidenten veroorzaakt door gebreken of defecten.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.

Bepaal voorafgaand aan een offerteaanvraag of aanbesteding wat de eisen zijn die gesteld worden aan de dienst en de leverancier. Denk hierbij bijvoorbeeld aan waar data opgeslagen moet worden, back-upeisen, beschikbaarheidsniveaus en certificering voor kwaliteit en informatiebeveiliging.
Stel bij het contracteren van een dienstverlener een SLA op.
Zorg dat de SLA wordt goedgekeurd door het schoolbestuur.

Gerelateerde wetten en normen

Norm SC.01 Service Level Agreement is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

8.1
A5.19
A5.20
A5.21
A5.22
A8.30

Afdrukken