SURFaudit Toetsingskader informatiebeveiliging
Informatiebeveiliging is een randvoorwaarde voor goed onderwijs en onderzoek. Het SURFaudit Toetsingskader helpt instellingen om hun digitale weerbaarheid gestructureerd te verbeteren en transparant verantwoording af te leggen.
Waarom een SURFaudit toetsingskader?
Onderwijs- en onderzoeksinstellingen verwerken dagelijks grote hoeveelheden gevoelige gegevens: onderzoeksdata, persoonsgegevens van studenten en medewerkers, en financiële en bestuurlijke informatie. Het beschermen van die gegevens vraagt om een gestructureerde en aantoonbare aanpak.
De urgentie werd duidelijk na verschillende cyberincidenten en is nadrukkelijk benoemd in de kamerbrief “Binnen zonder kloppen” (2019). Daarin stelde het ministerie van OCW dat de digitale weerbaarheid van de sector moest worden versterkt. Samen met de brancheorganisaties en SURF is toen afgesproken om te werken met één uniform toetsingskader en om als sector te streven naar een gemiddelde volwassenheid van niveau 3.
Sinds 2020 is het SURFaudit toetsingskader informatiebeveiliging de sectorstandaard. Daarmee beschikken mbo, hbo, universiteiten en onderzoeksinstellingen in Nederland over een gezamenlijke meetlat voor informatiebeveiliging.
Wat is het SURFaudit Toetsingskader informatiebeveiliging?
Het SURFaudit toetsingskader informatiebeveiliging is een set normen en richtlijnen waarmee instellingen hun informatiebeveiliging kunnen toetsen, verbeteren en verantwoorden. Het sluit aan bij internationale standaarden (ISO 27001/27002) en het NBA-volwassenheidsmodel, maar is toegespitst op de onderwijs- en onderzoekspraktijk.
Het toetsingskader bestaat uit drie onderdelen:
- 15 domeinen
Aandachtsgebieden zoals beleid en organisatie, risicomanagement, toegangsbeheer, incidentmanagement en continuïteitsbeheer. - 69 beheersmaatregelen
Concrete maatregelen waarmee risico’s beheerst worden. - Risicobeschrijvingen en beheersdoelstellingen
Per maatregel is vastgelegd welk risico wordt afgedekt en wat het gewenste resultaat is.
Door deze opbouw biedt het toetsingskader een compleet en sectorbreed toepasbaar beeld van de staat van informatiebeveiliging.
Hoe werkt het Toetsingskader in de praktijk?
Elke beheersmaatregel krijgt tijdens een audit een volwassenheidsscore van 1 (beginstadium) tot 5 (geavanceerd en geborgd). Een onafhankelijke auditor bepaalt de score op basis van documentatie, interviews en bewijsmateriaal.
De uitkomsten vormen samen een scorekaart die inzicht geeft in sterke punten en verbeterpunten. Hiermee kan een instelling de eigen ontwikkeling volgen en zich spiegelen aan de sector via de jaarlijkse benchmark die SURF faciliteert.
Het toetsingskader kan flexibel worden toegepast: van een specifieke afdeling of faculteit tot de gehele instelling.
Voorbeeld: Een hogeschool beoordeelt het domein Toegangsbeheer. De auditor bekijkt maatregelen zoals tweefactor-authenticatie en logging, verzamelt bewijs, en kent scores toe. Zo wordt duidelijk welke onderdelen al geborgd zijn en waar nog verbeteringen nodig zijn.
De waarde van het SURFaudit Toetsingskader
Het toetsingskader biedt instellingen niet alleen inzicht in hun eigen informatiebeveiliging, maar levert ook sectorbrede voordelen op:
- Consistentie
Alle instellingen werken met dezelfde normenset. - Beleidsontwikkeling
Resultaten geven richting aan verbeterprogramma’s en beleid. - Verantwoording
Instellingen kunnen hun volwassenheid aantonen richting bestuur, brancheorganisaties en OCW. - Benchmark
Instellingen zien hoe zij zich verhouden tot de sector en kunnen leren van best practices.
Sinds de invoering is zo een steeds scherper beeld ontstaan van de ontwikkeling van informatiebeveiliging in onderwijs en onderzoek.
Koppeling met andere SURFaudit-hulpmiddelen
Het SURFaudit toetsingskader informatiebeveiliging staat niet op zichzelf. Het sluit aan bij andere instrumenten van SURFaudit, zoals:
- de SURF Security Baseline als fundament voor maatregelen
- de toolkit risicobeoordeling voor systematische risicoanalyse
- het cybersecurity dashboard (op de besloten SCIPR-wiki) voor monitoring en rapportage
Samen vormen deze instrumenten een geheel waarmee instellingen hun informatiebeveiliging structureel versterken.
Direct aan de slag?
Download hier het SURFaudit Toetsingskader Informatiebeveiliging
