Organisatie

Hoe werkt de SURF security baseline voor onderwijs en onderzoek?

De SURF security baseline helpt je bij het samenstellen van informatiebeveiligingsmaatregelen voor je interne organisatie en voor leveranciers. Zo zorg je dat systemen en toepassingen voldoen aan een minimum beveiligingsniveau. Maar hoe pas je de baseline concreet toe?

Maak een bewuste keuze

De SURF security baseline bevat veel maatregelen. Elke maatregel heeft een BIV-classificatie, waarbij een hoger niveau meer bescherming biedt. De baseline geeft ook aan wie de maatregel moet implementeren. Zo zie je eenvoudig welke maatregelen voor jouw organisatie relevant zijn.

Daarnaast kan je instelling al keuzes hebben gemaakt op basis van eigen risico’s. Het beleid kan strenger zijn dan de baseline. Belangrijk: zorg dat je de risico-inschatting bewust maakt en later aantoonbaar kan onderbouwen.

Ga direct naar de maatregelen

Aan de slag

De baseline is geschreven voor verschillende doelgroepen. Bepaal eerst wat je wilt beschermen. We onderscheiden grofweg drie categorieën:

  • Organisatie: bijvoorbeeld jouw instelling of een leverancier
  • Proces: bijvoorbeeld inschrijven voor een vak of werven van personeel
  • Systeem: bijvoorbeeld een cloud-applicatie of meetapparaat

Op de pagina met maatregelen kun je via filters selecteren wie verantwoordelijk is en welk BIV-niveau gewenst is. Let op: bij een hoog BIV-niveau moet je ook de lage en midden-niveaus implementeren.

Klik op een maatregel voor details over implementatie. Soms zijn er hulpmiddelen beschikbaar, zoals sjablonen of voorbeelden. Deze middelen zijn door de community aangeleverd en worden as-is aangeboden. Gebruik altijd je eigen oordeel bij implementatie.

Je kunt zowel de volledige set als de gefilterde maatregelen exporteren naar PDF of Excel via de “exporteren”-knop rechtsboven.

Filter BIV-classificatie (Beschikbaarheid, Integriteit, Vertrouwelijkheid)

BIV-classificatie: beschikbaarheid, integriteit en vertrouwelijkheid

De BIV-classificatie helpt bepalen welk beveiligingsniveau passend is. Meestal heeft je organisatie een eigen classificatiemethode. Hiermee kan de baseline worden afgestemd op de risicobereidheid van je instelling.

We adviseren vier niveaus: laag, midden, hoog en kritiek. Bij systemen of processen in de hoogste categorie (kritiek) is het verstandig om samen met beveiligingsexperts aanvullende maatregelen te bepalen.

Filter Verantwoordelijkheid

Het filter Verantwoordelijkheid (Responsibility) helpt bepalen wie de maatregel implementeert:

  • Organisation: maatregelen die organisatiebreed moeten gelden
  • Process Owner: verantwoordelijk voor beheer van een bedrijfsproces
  • System Owner: verantwoordelijk voor beheer van een IT-systeem

Voorbeeld: het wervingsproces. De HR-manager is proceseigenaar en zorgt dat sollicitaties eerlijk verlopen. De IT-manager is systeemeigenaar en configureert de HR-applicatie correct. Soms overlappen de rollen, bijvoorbeeld bij extern ingekochte systemen.

De proceseigenaar is meer gericht op de bedrijfsresultaten, terwijl de systeemeigenaar meer gericht is op de technische aspecten van het IT-systeem.

Doorontwikkeling: jouw bijdrage

Wij blijven de maatregelen en tool verbeteren om ze actueel te houden met de laatste ontwikkelingen in de sector. Daarom nodigen we je uit om feedback te geven.

Heb je suggesties of ondervind je problemen bij het gebruik van de tool? Neem contact op met Abdul Altawekji, Productmanager security bij SURF.

Lees meer over de achtergrond van de SURF security baseline

Gerelateerde artikelen