Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs gepubliceerd

Kennisnet heeft een eerste versie van het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs gepubliceerd. Het normenkader beschrijft de normen voor een digitaal veilige schoolorganisatie voor po en vo en biedt concrete voorbeeldmaatregelen voor schoolorganisaties om zich zo goed mogelijk te beschermen tegen digitale dreigingen als datalekken en cyberaanvallen.

Een normenkader is een set van normen die beschrijven of je een bepaald thema of onderwerp op de juiste manier beheerst. Het is hierbij belangrijk dat de mate van beheersing objectief getoetst kan worden.

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs bestaat uit het deel Informatiebeveiliging en het deel Privacy. Voor het deel Informatiebeveiliging zijn voor 15 onderdelen 69 normen opgenomen: Bestuur, Organisatie, Risicomanagement, Personeelsbeheer, Configuration Management, Incident/Problem Management, Change Management, Systeemontwikkeling, Datamanagement, Identity & Access Management, Security Management, Fysieke beveiliging, IT-operatie, Bedrijfscontinuïteitsmanagement en Ketenbeheer. Voor het deel Privacy zijn nog geen normen beschikbaar. Het programma Digitaal Veilig Onderwijs en SURF hebben het initiatief genomen om gezamenlijk de privacynormen te ontwikkelen. Dit zal in de tweede helft van 2023 tot een nieuw privacykader leiden.

Het normenkader bestaat uit een aantal onderdelen:

• Beschrijving van de normen: elke norm is voorzien van een korte toelichting, onder de noemer ‘Waarom doen we dit?’ Zo maken we duidelijk waarop schoolbesturen moeten letten op het gebied van informatiebeveiliging en privacy om de continuïteit, kwaliteit en veiligheid van hun onderwijs te borgen;
• Toetsingskader: het toetsingskader bevat diverse punten die met elkaar het minimumniveau vormen waar we als gehele sector en dus ook als individuele schoolorganisaties naartoe werken. Dit niveau is de ondergrens, hier moet elke schoolorganisatie in 2027 aan voldoen;
• Voorbeeldmaatregelen: voorgestelde activiteiten en toepassingen waarmee je als schoolbestuur aan het minimumniveau van de norm kunt voldoen.

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs is er gekomen naar aanleiding van een oproep van de Adviesgroep Regie op ICT van de PO-Raad en de VO-raad in 2022 om te komen tot minimale normen voor digitaal veilig onderwijs, zodat er in de hele sector toegewerkt wordt naar één norm.

Voor wie nu al aan de slag wil met het normenkader heeft Kennisnet een ‘Voorlopige starttabel’ gemaakt. Er volgt nog een groeipad op basis van risico’s. De tabel helpt met het aanbrengen van prioriteiten. Scholen kunnen beginnen met ‘de basis op orde’. Als ze dat goed in kaart hebben en de juiste acties in gang hebben gezet, kunnen ze aan de slag met het wegnemen van de hoge en later de mediumrisico’s. In de laatste fase is het dan tijd om de puntjes op de i te zetten. De grote hoeveelheid normen is zo een stuk hanteerbaarder.

Bronnen: VO-raad, Kennisnet