Toetsingskader voor veilige toepassingen in het onderwijs weer actueel en makkelijker in gebruik

Cyberdreigingen veranderen en nemen alleen maar toe: ook in het onderwijs. Het is van groot belang dat onderwijstoepassingen de juiste beveiligingsmaatregelen bevatten. Maak voor veilige toepassingen in het onderwijs daarom gebruik van het Toetsingskader informatiebeveiliging en privacy (IBP) ROSA.

Het Toetsingskader is onderdeel van het Certificeringsschema informatiebeveiliging en privacy ROSA. Een nieuwe versie (3.0) hiervan is in de Standaardisatieraad van 16 juni in beheer genomen.

Het Toetsingskader is een baseline voor informatiebeveiliging van toepassingen in het onderwijs. Waar andere normenkaders zich richten op de informatiebeveiliging van de gehele organisatie, richt dit Toetsingskader zich op de ict-toepassing zelf. Het Toetsingskader schrijft voor deze ict-toepassing voor welke maatregelen nodig zijn op basis van het benodigde veiligheidsniveau. Daarmee is het een aanvulling op andere normkaders en geeft het nadere invulling aan de beveiliging van een toepassing zelf.

Eén hulpmiddel voor classificatie en toetsing van maatregelen

In deze versie van het Toetsingskader is de vorm voor het gebruiksgemak herzien en aangepast. In tegenstelling tot de voorgaande versie zijn de vragen voor classificatie nu samenbracht met de toetsing van maatregelen in het Toetsingskader (spreadsheet).

Hierdoor zijn alle benodigde stappen samengevoegd en wordt er gebruik gemaakt van reeds ingevulde gegevens. Daardoor worden alleen de benodigde maatregelen gepresenteerd en is er ruimte om de status bij te houden. Op basis hiervan wordt automatisch de rapportage opgemaakt, die onder andere gebruikt kan worden in de beveiligingsbijlage van een verwerkersovereenkomst. In het Privacyconvenant Onderwijs wordt hier al gebruik van gemaakt.

Maatregelen soms aangescherpt

Naast de vorm is ook de inhoud van het Toetsingskader verduidelijkt en aangescherpt. De vragen voor classificatie en de bijbehorende maatregelen per beveiligingsniveau zijn herzien. In sommige gevallen zijn de maatregelen aanscherpt. Dit is gebeurd om aan te sluiten bij de huidige stand van de techniek en het huidige dreigingsbeeld. Maatregelen zijn bijvoorbeeld aangescherpt voor de back-upinrichting (scheiding ervan) en beheertoegang (minimaal tweefactor authenticatie).

Het nieuwe Toetsingskader geeft daarnaast preciezer de verantwoordelijkheid weer van de leverancier (de verwerker) en de schoolinstelling (de verantwoordelijke). Dit betekent dat de maatregelen in sommige gevallen aanscherpt moeten worden, maar niet drastisch hoeven te veranderen.

Meer informatie

Op de pagina van het Certificeringsschema informatiebeveiliging en privacy ROSA vindt u meer informatie en kan u het Toetsingskader downloaden. Vragen en suggesties zijn welkom en kunt u mailen naar info(Replace this parenthesis with the @ sign)edustandaard.nl.