Skip to end of metadata
Go to start of metadata

Welkom bij de SURFaudit wiki

Op deze wiki staat informatie over SURFaudit. SURFaudit is nauw gelieerd aan SCIPR, de community voor informatiebeveiliging en privacy beleid. De wiki van SCIPR vind je hier.

Wat kun je met SURFaudit?

Met SURFaudit breng je in kaart hoe goed je instelling de informatiebeveiliging onder controle heeft en waar de prioriteiten liggen voor verbetering. Regelmatig vinden SURFaudit-benchmarks plaats die laten zien hoe de sector ervoor staat en hoe instellingen het ten opzichte van elkaar doen. Daarnaast kun je specialisten van andere instellingen een peerreview bij je instelling laten doen, zodat je een extern oordeel (collegiale toetsing) krijgt over de resultaten van je self-assessment m.b.t. informatiebeveiliging die je hebt uitgevoerd.

De resultaten van SURFaudit kun je gebruiken wanneer je verantwoording moet afleggen aan overheden of accountants.

Hoe doe je mee met SURFaudit?

Op het SURFdashboard meld je je aan voor SURFaudit. Je gaat akkoord met de voorwaarden voor het Normenkader Informatiebeveiliging Hoger Onderwijs (NEN-licentie) en eventueel ook het "Policy Framework Privacy Onderwijs en de Privacy Baseline" (alleen voor leden van de SURF-coöperatie; is jouw instelling geen lid, maar wel aangesloten bij SURFnet neem dan contact op via surfaudit@surfnet.nl). Nadat je bent aangemeld krijg je toegang tot de benchmarking tool.

Onze Deense collega's hebben samen met DKCERT een aantal awareness video's gepubliceerd (in Deens met ondertiteling in Engels).

Cyberveilig Nederland heeft vandaag het Cybersecurity Woordenboek aan minister Grapperhaus aangeboden.

Bedrijven nemen steeds meer maatregelen om zich te weren tegen cyberaanvallen van buitenaf. Vooral middelgrote bedrijven maken een inhaalslag met de invoering van authenticatie via soft- of hardwaretokens. Daarnaast daalt het aantal ICT-veiligheidsincidenten door een aanval van buitenaf. Dit meldt het CBS op basis van de Cybersecuritymonitor 2019.

Privacy Company heeft een nieuwe DPIA uitgevoerd voor de Rijksoverheid op de Microsoft Office producten/diensten. Korte conclusie: er zijn nog steeds problemen met de privacy, zie deze blog.

Vanaf nu is ook het Toetsingskader Privacy beschikbaar. Het is afgeleid van de Privacy Baseline onderwijs die in samenhang met het Policy Framework Privacy door Duthler is gemaakt. Om die reden is het (voorlopig) alleen beschikbaar voor instellingen die akkoord zijn gegaan met de voorwaarden voor het Policy Framework Privacy op SURFdashboard. Op verzoek wordt het in de benchmarktool als optionele privacy benchmark beschikbaar gemaakt.

AVG: Hoe compliant is jouw organisatie? SURF heeft samen met de instellingen allerlei documenten opgesteld om je te helpen aan de AVG te voldoen. Hier kun je vinden hoe de mbo's dat aanpakken. Of check je status met de Microsoft AVG Assessment Toolbox.

Ook het Centrum Informatiebeveiliging en Privacybescherming (CIP) heeft documenten en tips om je op weg te helpen, bijvoorbeeld de CIP CIP Privacy Baseline en de CIP Handleiding Privacy by Design.

Handleiding Algemene verordening gegevensbescherming (AVG) van de rijksoverheid.

BCM: Ben je benieuwd hoe jouw instelling ervoor staat voor wat betreft bedrijfscontinuïteit? Probeer de SURF BCM self-assessment (bèta).

Kennisnet heeft een integrale aanpak voor informatiebeveiliging en privacybescherming voor het mbo ontwikkeld. Die vind je hier.

Zoek in de wiki:

Wegwijzer:

Normenkader informatiebeveiligingHier vind je de meest recente versie van het normenkader Informatiebeveiliging Hoger Onderwijs.
PeerreviewHier vind je informatie over de peerreview.

Benchmark 2019

Hier vind je alle informatie over de volgende benchmarkronde.
PrivacyHier vind je informatie over privacy onderwerpen zoals de AVG en registers van verwerkingen.
In ontwikkelingHier vind je informatie over nieuwe ontwikkelingen, zoals nieuwe normenkaders.

SURF werkgroepen en commissies

Korte uitleg diverse werkgroepen die te maken hebben met SURFaudit:

  • De Maturity werkgroep (MWG) bestaat uit SCIPR-leden en houdt zich primair bezig met het (door-)ontwikkelen van het normenkader IBHO. De maturity werkgroep heeft recentelijk besloten ook na te denken over het privacy framework, een maturity model daarvoor en toepassing in de benchmark. Verder fungeert de MWG als klankbord voor SURFaudit en adviseert de SURFaudit PM in die rol over benchmarking, peerreview e.d.
  • De CCPR (Coördinatie Commissie PeerReview) heeft een meer “operationele” rol, namelijk ervoor zorgen dat wanneer een peerreview door een instelling wordt aangevraagd, het proces van begin tot en met de oplevering van het rapport soepel loopt. Tevens promoot de CCPR peerreview bij de doelgroep en doet suggesties aan de SURFaudit PM, bijv. over eventuele koppeling (of juist niet) met de benchmark.
  • De Commissie IB adviseert het bestuur van SURF over inhoud en toepassing van normenkader IBHO en maakt gebruik van (de MWG van) SCIPR. Dat impliceert ook dat het bestuur van SURF uiteindelijk besluit over het normenkader IBHO en al wat daarmee samenhangt. De Commissie IB bestaat uit vertegenwoordigers van bij SURFnet aangesloten instellingen en de voorzitters van SCIPR, SCIRT en de CCPR. Het streven is dat alle sectoren (WO, HBO, MBO etc.) een vertegenwoordiger in de Commissie IB hebben.