Certificeringsschema informatiebeveiliging en privacy ROSA

Versie: Certificeringsschema informatiebeveiliging en privacy ROSA 2017
Status: Definitief - juli 2017
Sector: PO VO MBO HO

Beschrijving

Binnen het onderwijs vervult ict een belangrijke rol. Op verschillende manieren wordt gebruik gemaakt van ict-dienstverlening voor onderwijskundige doeleinden of onderwijsondersteunende doeleinden. De aard en inhoud van deze ict-dienstverlening kan onderling sterk verschillen, maar zij hebben als gemeenschappelijk kenmerk dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensbewerking cruciaal is.

Onderwijsinstellingen moeten erop kunnen vertrouwen dat persoonsgegevens op een veilige manier worden bewerkt door organisaties die ict-diensten leveren in het onderwijs. Dit zijn publieke of private partijen. Het Certificeringsschema informatiebeveiliging en privacy ROSA voorziet in een baseline van maatregelen waarmee deze organisaties dit aantoonbaar kunnen maken.

De vorige versie van het Certificeringsschema (versie 1.1) bestaat voornamelijk uit een set maatregelen gebaseerd op de Cloud control matrix van de Cloud Security Alliance. Deze nieuwe versie is gebaseerd op ISO 27001 en ISO 27002 en uitgebreid met beschrijvingen over het proces, toezicht, et cetera.

Het certificeringsschema bestaat uit een set van documenten. Welke versies van deze documenten zijn vastgesteld, de meest recente versies en de gebruikte definities staan in de versiebeschrijving:

Certificeringsschema 2017 versiebeschrijving en definities

U kunt hier de documenten downloaden:

Document Type Vastgesteld (juli 2017) Meest recente versie
Algemene beschrijving Tekstdocument 2.03 2.03
Proces Tekstdocument 2.03 2.03
Classificatie Spreadsheet 1.8 1.8
Toetsingskader Spreadsheet 1.0 1.0
Toezicht Tekstdocument 2.03 2.03

Samenhang

Het Certificeringsschema is gerelateerd aan de Edukoppeling Transactiestandaard. Waar Edukoppeling gaat over de verbinding tussen organisaties, gaat het Certificeringsschema over informatiebeveiliging en privacy bínnen die organisaties.

Dit certificeringsschema wordt door alle onderwijssectoren onderschreven. In het Hoger Onderwijs wordt het echter beperkt toegepast. De relatie instelling leverancier is in het HO anders dan in de andere onderwijssectoren. In het HO is eerder gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het SURF juridisch normenkader (versie 2016), dat is een model contract/bewerkersovereenkomst met een handreiking voor informatiebeveiliging.

Meerwaarde

Met het Certificeringsschema kunnen binnen het onderwijsdomein organisaties die ict-diensten leveren worden getoetst op basis van een gezamenlijk opgesteld ‘normenkader’ dat wordt beheerd binnen Edustandaard. Organisaties worden daarom niet meermalen getoetst op verschillende normenkaders en kunnen eenvoudig aantonen dat ze informatiebeveiliging en privacy op orde hebben.

Onderwijsinstellingen kunnen eenvoudig nagaan of een organisatie voldoet aan de gestelde maatregelen.

Gebruik

U kunt zich aanmelden voor de werkgroep IBP om ervaringen met het gebruik van de afspraak uit te wisselen.

Implementatie

Om het Certificeringsschema als organisatie toe te passen wordt de volgende werkwijze aangeraden:

  1. Download de meest recente versies
  2. Lees de algemene beschrijving
  3. Pas het classificatiehulpmiddel toe
  4. Vergelijk de maatregelen met de maatregelen in het toetsingskader
  5. Noteer de bevindingen en vul de rapportage template in

De inspanning bedraagt 40-60 uur verdeeld over verschillende personen en staat in meer detail beschreven in het procesdocument.

Ontwikkelingen

In 2015 is de eerste versie van het Certificeringsschema ontwikkeld. Onder het programma SION is vervolgens een vernieuwing gemaakt om het Certificeringsschema breder te kunnen toepassen. Deze laatste versie heeft concretere maatregelen benoemd en biedt begeleiding bij de implementatie.

Beheer en ontwikkeling worden uitgevoerd door een werkgroep. De implementatie van het Certificeringsschema leidt tot wijzigingsverzoeken die worden opgenomen in de roadmap.

Certificeringsschema_roadmap