Norm DM.02 Dataclassificatie
Waarom is dit nodig?
Organisatiegegevens zijn waardevol en van cruciaal belang. Het is daarom uiterst belangrijk deze zorgvuldig te beschermen. Om dit goed te kunnen doen, is een dataclassificatieschema nodig. Een dataclassificatieschema helpt je om de beveiligingsmaatregelen in lijn te brengen met de eisen die je school stelt voor informatie van die betreffende classificatie. Op deze manier neem je de juiste maatregelen behorend bij het type gegevens dat je verwerkt. Hierdoor creëer je een veilige situatie toegespitst op de gevoeligheid en het beveiligingsniveau van de betreffende gegevens.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen dataclassificatieschema.
- De organisatie maakt geen verschil tussen de niveaus van gevoeligheid van data.
2 Herhaalbaar
- De classificatie van data is informeel en ad hoc.
- Individuele interpretaties van dataclassificatieschema’s worden toegepast.
- Data-eigenaren (indien toegewezen) bepalen zelf de gevoeligheid van de data en eventuele behoefte aan extra maatregelen.
3 Bepaald (streefniveau)
- Er zijn een dataclassificatieschema en richtlijnen voor het gebruik daarvan ingevoerd en toegepast binnen de hele organisatie.
- Eigendom van data, definities en eisen voor verschillende niveaus van dataclassificatieHet labelen van informatie op basis van kenmerken van de informatie naar een standaardindeling, zodat bepaald kan worden welk beschermingsniveau van toepassing is en welke beheersmaatregelen toegepast dienen te worden. worden allemaal nadrukkelijk beschreven in de richtlijnen.
- De richtlijnen worden gebruikt als een basis voor het toepassen van de benodigde beheersmaatregelen voor kritische processen en/of applicaties.
- Het classificatieschema is goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
4 Beheerst
Aanvullend op niveau 3:
- De richtlijnen worden gebruikt als basis voor het toepassen van de benodigde beheersmaatregelen voor alle businessprocessen en applicaties binnen de gehele organisatie.
- De implementatie en uitvoering van relevante procedures en de juistheid en volledigheid van de classificatieschema’s worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- (Wijzigingen in) dataclassificatie wordt volledig ondersteund door geautomatiseerde tools, workflowprocessing en geïntegreerde dashboards.
- Dataclassificatie is onderdeel van informatiemanagement en datalifecyclemanagement.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Pas het certificeringsschema IBP ROSAIn deze standaard worden afspraken gemaakt over het (basis) niveau van informatiebeveiliging en privacy voor toepassingen die worden gebruikt in het onderwijs (po, vo, mbo en ho). Het certificeringsschema IBP ROSA bepaalt het niveau voor betrouwbaarheid, integriteit en vertrouwelijkheid van een toepassing en schrijft op basis daarvan de benodigde maatregelen voor. toe voor het classificeren van applicaties binnen de organisatie.
- Geef door consequente toepassing van het certificeringsschema IBP ROSA invulling aan alle aspecten van de volwassenheidsniveaus.
Hulpmiddelen
Gerelateerde wetten en normen
Norm DM.02 Eigenaarschap, rollen, verantwoording en verantwoordelijkheid is gerelateerd aan ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- A5.12
- A5.13
- A5.33
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Levenscyclus gegevens