...

Het SURFaudit toetsingskader voor informatiebeveiliging

Categorie: Informatiebeveiliging en Privacy, IT Security | Leestijd: 4 min. | Deel dit artikel
Schrijver: Pim Strik, Adviseur Informatiebeveiliging: SURFaudit toetsingskader voor informatiebeveiliging

Wat is SURF?
“SURF is een coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen waarin de leden hun krachten bundelen. Binnen SURF werken universiteiten, hogescholen, mbo-instellingen, umc’s en onderzoeksinstellingen samen om de best mogelijke digitale diensten in te kopen of te ontwikkelen en om kennisdeling te stimuleren door steeds te blijven innoveren.” (Over SURF, 2023)

Het is een ICT-coöperatie voor onderwijs en onderzoek waar meer dan 100 onderwijs- en onderzoeksinstellingen bij aangesloten zijn. Naast het faciliteren van het SURFaudit Toetsingskader levert SURF verschillende diensten voor onderwerpen zoals:

  • (Identity & Access Management) IAM
  • Inkoop en contractmanagement
  • Beveiliging
  • Netwerkconnectiviteit
  • Onderwijslogistiek

De organisaties die zijn aangesloten bij SURF (ofwel de leden) zijn vertegenwoordigd in de ledenraad. De ledernaad is onder andere verantwoordelijk voor het benoemen van de raad van bestuur. Naast de ledenraad en de raad van bestuur maken de raad van commissarissen en de Wetenschappelijk Technische Raad (WTR) nog onderdeel uit van de organisatiestructuur (zie onderstaande afbeelding).

Afbeelding 1 – Organogram SURF  (Organogram SURF, z.d.)

Het SURFaudit toetsingskader
Het SURFaudit Toetsingskader (vanaf hier aangeduid als het toetsingskader) is het toetsingskader voor informatiebeveiliging wat gebruikt wordt door alle onderwijsinstellingen in Nederland. Met ingang van 2023 is het toetsingskader de opvolger van het SURF normenkader NIHO2015.

Het toetsingskader is gebaseerd op het NBA volwassenheidsmodel en refereert aan verschillende normen zoals:

  • COBIT
  • NIST (US)
  • DNB Toetsingskader Informatiebeveiliging
  • Baseline Informatiebeveiliging Overheid (BIO, NL)
  • ISO 27001 Information Security Management Systems

Het NBA volwassenheidsmodel
Het NBA volwassenheidsmodel is opgebouwd uit niveau 1 tot en met niveau 5, waarbij niveau 1 de slechtste en niveau 5 de beste score is. In het NBA volwassenheidsmodel staat continue verbetering centraal en wordt groeifasemodel gehanteerd. De opdracht vanuit de overheid is dat alle universiteiten in 2023 en alle hoge scholen in 2024 niveau 3 gehaald moeten hebben.

Opbouw van het SURFaudit Toetsingskader
Het toetsingskader omvat 15 domeinen (zie onderstaande afbeeldingen) die in het kader van informatiebeveiliging relevant zijn. Ieder domein heeft betrekking op verschillende onderwerpen die terug te vinden zijn in de vorm van zogenaamde controls.

 

In totaal bestaat het toetsingskader uit 69 controls. Iedere control bevat de volgende onderdelen :

  • De naam van het domein
  • De naam of het onderwerp van de control
  • Het NBA ID van de betreffende control
  • Een beschrijving van het risico wanneer geen passende maatregelen getroffen worden
  • De beheerdoelstelling van de control
  • Een overzicht van de 5 volwassenheidsniveaus met daarbij de eisen om te voldoen aan ieder volwassenheidsniveau

Het SURFaudit toetsingskader in de praktijk
In de praktijk is het toetsingskader opgebouwd uit drie onderdelen. Het gaat hier over de opzet, het bestaan en de werking.

Met de opzet wordt in principe de documentatie kant bedoeld die wordt vereist vanuit het toetsingskader. Denk hierbij aan het opstellen van beleid, processen of werkinstructies, die formeel goedgekeurd moeten zijn door de betreffende verantwoordelijke zoals het management of het CvB. De opzet wordt gecontroleerd door het doornemen van alle relevante documentatie.

Op basis van de opzet wordt gekeken naar het bestaan. Bij het bestaan wordt gekeken of men ook echt doet wat er op papier staat. Zijn de beschreven processen bijvoorbeeld wel geïmplementeerd en worden deze wel uitgevoerd zoals beschreven staat.
Het bestaan wordt getoetst doormiddel van steekproeven en de vergelijking tussen de documentatie en de waargenomen praktijk.

Tot slot speelt de werking een rol. Bij de werking wordt gekeken naar de effectiviteit van de werkzaamheden die worden uitgevoerd. Het is hierbij de bedoeling dat zaken als processen of beleid periodiek opnieuw beoordeeld worden om te kijken of deze het gestelde doel nog halen op een zo effectief mogelijke manier. Daar waar dit niet het geval is dienen aanpassingen gemaakt te worden. De werking wordt getoetst doordat er gekeken wordt naar bijvoorbeeld versiebeheer op documentatie, of naar rapportages van bepaalde processen.

Hulp nodig bij het SURFaudit toetsingskader
Neem voor meer informatie en hulp contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.

Lees meer over Informatiebeveiliging

Deel dit artikel

Gerelateerde berichten

Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.