Certificeringsschema informatiebeveiliging en privacy ROSA

Beheerstatus: In beheer - mei 2017
Gebruiksadvies: Verplicht
Werkingsgebied: po vo bve ho

Versie: Certificeringsschema informatiebeveiliging en privacy ROSA 2017 - juli 2017
Versiestatus: Vervallen
Let op: Er is een vastgestelde versie beschikbaar: Certificeringsschema informatiebeveiliging en privacy ROSA v3.0

Beschrijving

Binnen het onderwijs vervult ict een belangrijke rol. Op verschillende manieren wordt gebruik gemaakt van ict-dienstverlening voor onderwijskundige doeleinden of onderwijsondersteunende doeleinden. De aard en inhoud van deze ict-dienstverlening kan onderling sterk verschillen, maar zij hebben als gemeenschappelijk kenmerk dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensbewerking cruciaal is.

Onderwijsinstellingen moeten erop kunnen vertrouwen dat persoonsgegevens op een veilige manier worden bewerkt door organisaties die ict-diensten leveren in het onderwijs. Dit zijn publieke of private partijen. Het Certificeringsschema informatiebeveiliging en privacy ROSA voorziet in een baseline van maatregelen waarmee deze organisaties dit aantoonbaar kunnen maken.

De meest recente versie vind je hier.

U kunt hier de documenten downloaden:

Document Type Vastgesteld (juli 2017) Meest recente versie
Algemene beschrijving Tekstdocument 2.03 zie hier
Proces Tekstdocument 2.03 zie hier
Classificatie Spreadsheet 1.8 zie hier
Toetsingskader Spreadsheet 1.0 zie hier
Toezicht Tekstdocument 2.03 zie hier

Samenhang

Het Certificeringsschema is gerelateerd aan de Edukoppeling Transactiestandaard. Waar Edukoppeling gaat over de verbinding tussen organisaties, gaat het Certificeringsschema over informatiebeveiliging en privacy bínnen die organisaties.

De vorige versie van het Certificeringsschema (versie 1.1) bestaat voornamelijk uit een set maatregelen gebaseerd op de Cloud control matrix van de Cloud Security Alliance. Deze nieuwe versie is gebaseerd op ISO 27001 en ISO 27002 en uitgebreid met beschrijvingen over het proces, toezicht, et cetera.

Dit certificeringsschema wordt door alle onderwijssectoren onderschreven. In het Hoger Onderwijs wordt het echter beperkt toegepast. De relatie instelling leverancier is in het HO anders dan in de andere onderwijssectoren. In het HO is eerder gekozen voor het vastleggen van afspraken ten aanzien van privacy en security middels het SURF juridisch normenkader (versie 2016), dat is een model contract/bewerkersovereenkomst met een handreiking voor informatiebeveiliging.

Meerwaarde

Met het Certificeringsschema kunnen binnen het onderwijsdomein organisaties die ict-diensten leveren worden getoetst op basis van een gezamenlijk opgesteld ‘normenkader’ dat wordt beheerd binnen Edustandaard. Organisaties worden daarom niet meermalen getoetst op verschillende normenkaders en kunnen eenvoudig aantonen dat ze informatiebeveiliging en privacy op orde hebben.

Onderwijsinstellingen kunnen eenvoudig nagaan of een organisatie voldoet aan de gestelde maatregelen.

De maatregelen in het toetsingskader zijn niet uitputtend. Er zijn altijd meer maatregelen die een organisatie kan treffen. Tevens houdt het toetsingskader niet expliciet rekening met het feit dat veel organisaties voor sommige activiteiten en producten een externe leverancier hebben (bijvoorbeeld een externe hosting partij of cloud-leverancier). In zo’n situatie dienen de maatregelen die relevant zijn voor die externe leverancier doorgezet te worden naar die externe leverancier en door de organisatie getoetst/gecontroleerd te worden.

Gebruik

De licentie op het certificeringsschema is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat je vrij bent om het werk te delen en te bewerken, mits je bronvermelding toepast. Let wel op dat het certificeringsschema specifiek is ontworpen voor de educatieve keten.

Heeft u vragen of ideeën over het certificeringsschema? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Certificeringsschema” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of het certificeringsschema goed te gebruiken is en zijn doelen bereikt.

Wilt u meewerken aan het certificeringsschema? Dan kunt u zich aanmelden voor de werkgroep IBP.

Implementatie

Om het Certificeringsschema als organisatie toe te passen wordt de volgende werkwijze aangeraden:

  1. Download de meest recente versies
  2. Lees de algemene beschrijving
  3. Pas het classificatiehulpmiddel toe
  4. Vergelijk de maatregelen met de maatregelen in het toetsingskader
  5. Noteer de bevindingen en vul de rapportage template in

De inspanning bedraagt 40-60 uur verdeeld over verschillende personen en staat in meer detail beschreven in het procesdocument.

Ontwikkelingen

In 2015 is de eerste versie van het Certificeringsschema ontwikkeld. Onder het programma SION is vervolgens een vernieuwing gemaakt om het Certificeringsschema breder te kunnen toepassen. Deze laatste versie heeft concretere maatregelen benoemd en biedt begeleiding bij de implementatie.

Beheer en ontwikkeling worden uitgevoerd door een werkgroep. De implementatie van het Certificeringsschema leidt tot wijzigingsverzoeken die worden opgenomen in de roadmap.

Certificeringsschema_roadmap

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.