SURFaudit toetsingskader

Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. En ook wat risicogebieden zijn voor jouw sector. Het SURFaudit Toetsingskader Informatiebeveiliging helpt je de veiligheid en continuïteit van je bedrijfsgegevens te beschermen en verbeteren.

Toetsingskader om het niveau te bepalen

Voor de beoordeling van de informatieveiligheid van instellingen voor onderwijs en onderzoek gebruiken we het SURFaudit Toetsingskader Informatiebeveiliging (2021). Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met de interne auditors van de onderwijsinstellingen opgesteld en vervolgens afgestemd met externe auditors. De laatste versie is gebaseerd op het Volwassenheidsmodel Informatiebeveiliging v2.1 van de NBA.

Volwassenheidsniveaus

Bij een self-assessment of audit bepaal je voor iedere maatregel het volwassenheidsniveau volgens onderstaande criteria:

Volwassenheidsniveaus SURF audit
NiveauKorte omschrijvingToelichting
1Maatregelen zijn ad hoc.Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.
2Maatregelen bestaan en worden op consistente wijze uitgevoerd.Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd.
3Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar.Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.
4Er is een verbetercyclus aanwezig en gedocumenteerd.De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.
5Er is een bedrijfsbrede aanpak van risico’s.Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Inzicht in de risico’s met de SURFaudit-benchmark

Tijdens onze jaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per domein bekijken we wat de stand van zaken is ten opzichte van het door SCIPR aanbevolen volwassenheidsniveau. Dit niveau wordt mede bepaald door de risico’s die het in het Cyberdreigingsbeeld zijn geïdentificeerd, en is momenteel minimaal 3.0 voor alle controls uit het SURFaudit informatiebeveiliging toetsingskader.

Meer informatie

Wil je meer informatie, stuur dan een e-mail naar surfaudit@surf.nl.
Om deel te nemen aan de SURFaudit benchmark, stuur een email naar surfaudit@surf.nl (zie https://edu.nl/surfaudit voor details).