2Staff


 

Neem contact met ons op

Informatiebeveiliging en privacy (ibp) in het MBO-ROC.

Normenkader ibp

Het onderwijs heeft in overleg met alle stakeholders besloten om een normenkader (Waar wil of moet ik aan vol-doen?) te gaan hanteren voor de informatiebeveiliging.  Belangrijk is dat de norm aansluit bij andere gekozen stan-daarden en vooral ook voldoet aan internationale normen. In navolging van het hoger onderwijs is daarom besloten om het normenkader ISO 27001 en 27002 te gaan hanteren. Internationaal is dit een zeer breed gehanteerd nor-menkader (ook nog eens specifiek voor het mbo bevestigd door de Gartner Group). ISO 207001 is normatief van opzet en beschrijft het normenkader sec, hierin staan de harde eisen, waaraan je als organisatie moet voldoen om gecertificeerd te kunnen worden. De eisen worden beschreven op het niveau van maatregelen welke de organisatie moet treffen in relatie tot de beveiligingsrisico’s die je loopt. Wat die maatregelen inhouden, wordt in ISO 27002 uitgewerkt, dat is niet-normatief van opzet en bevat best practices voor de implementatie van informatiebeveiliging. Voorgeschreven is alleen het proces via welk de norm tot stand komt: een risicoanalyse, het afspreken van de norm met alle betrokkenen en de instemming van het management. Tezamen wordt dit ook de Code voor Informatiebe-veiliging genoemd.  Voor privacy is een dergelijk normenkader niet voorhanden. Daartoe is uit de bestaande wet- en regelgeving een aparte set van normen gedestilleerd die voor het onderwijs van belang en toepasbaar zijn. Dit is overzichtelijk bijeen gebracht in een set van regels waar scholen zich aan moeten houden, het zogenaamde ‘Compliance kader Privacy’. Ook voor examinering is een dergelijk kader opgesteld.

Toetsingskader

Op basis van het ISO kader is een selectie gemaakt van voor het onderwijs relevante normen. Het betreft een se-lectie van 79 normen, door vertaald naar 85 statements, uit de gehele set van 114 normen van de versie 2013 van het ISO 27002 normenkader. De normen zijn in een aantal voor het onderwijs relevante clusters verdeeld:
1. beleid en organisatie;
2. personeel en studenten;
3. ruimten en apparatuur;
4. continuïteit;
5. toegangsbeveiliging en integriteit
6. controle en logging.
Vervolgens zijn bij de normen ook de maatregelen beschreven om deze norm te bereiken en om dat ook aan te kunnen tonen (bewijslast). Dit gebeurt in de vorm van een 5 puntenschaal, de zogenaamde ‘maturity levels. Met die maatregelen kan die norm dus op een steeds hoger niveau worden gerealiseerd. Het normenkader wordt hiermee toetsbaar. Met andere woorden het normenkader wordt een toetsingskader
Daarbij is niveau 1 het basis niveau, dit biedt dus maar weinig garantie dat het betreffende risico dat in de norm beschreven staat ook afgedekt wordt. Niveau 5 is het hoogst haalbare maar is vaak niet realistisch. En voor een startende instelling is streefniveau 2 al een hele opgave en 3 een forse uitdaging. In de afspraken wordt meestal aangegeven wat het minimum niveau moet zijn en wat het streefniveau is. Het toetsingskader ibp in het mbo
Op deze manier ontstaat een geheel dat we het ibp toetsingskader noemen en omdat dit voor het mbo specifiek gemaakt is vanuit het ho model noemen we dit ook het ‘ ibp toetsingskader mbo’. Daarmee vormt dit toetsingskader het hart van het ibp programma. Zetten we de belangrijkste elementen op een rij dan begint het met de normen of normenkaders, aangevuld met eventuele wet- en regelgeving. Van daaruit wordt dus het toetsingskader ontwikkeld, waarin aangegeven welke maatregelen tot welk niveau genomen kunnen worden om de informatiebeveiliging en de bescherming van de privacy op orde te brengen. Daarna ga je ook daadwerkelijk toetsen of meten of je aan de normen voldoet en de benodigde maatregelen ook daadwerkelijk genomen hebt (de assessments).

Hoe te toetsen?

Om bovenstaande normenkaders te toetsen bieden we de volgende mogelijkheden:

- Volledige (Interim) CISO Rol voor MBO's met 15.000 leerlingen of meer
- Parttime (Interim) CISO Rol voor MBO's met 5.000 leerlingen verdeeld over 3 onderwijsinstellingen
- Parttime (Interim) verplichte functionaris gegevensbeheer voor MBO's met 15.000 leerlingen of meer
- Parttime (Interim) verplichte functionaris gegevensbeheer voor MBO's met 5.000 leerlingen verdeeld over 3 onderwijsinstellingen
- Combinatie van alle bovenstaande rollen in overleg en zelfs op afroep.

Wilt u meer weten over bovenstaand invulling?

Bel met de specialist 06 57157185
Mail algemeen op info@2staff.nl
Of vul uw gegevens uin op ons contactformulier en stel uw vraag.

ga terug naar de 2Staff Masters homepage

Contact

2Staff B.V. 
Europalaan 2
5232 BV 's-Hertogenbosch 

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl