Home Thema's Beveiliging en privacy Schoolbesturen funderend onderwijs voldoen niet aan gewenst niveau voor informatiebeveiliging
Beveiliging en privacy

Schoolbesturen funderend onderwijs voldoen niet aan gewenst niveau voor informatiebeveiliging

Schoolbesturen funderend onderwijs voldoen niet aan gewenst niveau voor informatiebeveiliging
Achtergrond

Schoolbesturen in het po en vo voldoen nog niet aan het gewenste niveau voor informatiebeveiliging. Dat concludeert SIVON, de ict-coöperatie van en voor het po en vo. SIVON deed een Deep Dive assessment onder 14 schoolbesturen aan de hand van 69 normen uit het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs.

Behoorlijke verschillen informatiebeveiliging, maar gemiddeld te laag

In het assessment zijn de vijf volwassenheidsniveaus gehanteerd die horen bij het normenkader van de Nederlandse Beroepsorganisatie van Accountants (NBA). Voor elke van de 69 normen uit het Normenkader Informatiebeveiliging en Privacy voor Funderend Onderwijs (IBP FO) is een score gegeven die hoort bij het geconstateerde volwassenheidsniveau. Niveau 1 is het laagst en niveau 5 het hoogst haalbare. Volwassenheidsniveau 3 is het doel. Het streven is dat scholen in 2027 op dat niveau zitten.

De vijf volwassenheidsniveaus: 1 Initieel; 2 Herhaalbaar; 3 Gedefinieerd; 4 Beheerst en meetbaar; 5 Continue verbeteren. Het gemiddelde van de 14 schoolbesturen is een 1,9. Daarbij is de laagste score een 1,5 en de hoogste een 2,7.

Verschillen per domein

De 69 normen zijn verdeeld over 15 domeinen: 1 Bestuur; 2 Organisatie; 3 Risicomanagement; 4 Personeelsbeheer; 5 Configuratiemanagement 6 Incident- en probleemmanagement; 7 Changemanagement; 8 Systeemontwikkeling; 9 Datamanagement; 10 IAM’; 11 Securitymanagement; 12 Fysieke beveiliging; 13 IT-operatie; 14 Business Continuity Management; 15 Ketenbeheer.

Uit het onderzoek blijken de domeinen Incident- en probleemmanagement (6), Personeelsbeheer (4) en IT-operatie (13) het meest volwassen en de domeinen Risicomanagement (3), Business Continuity Management (14) en Organisatie (2) het minst.

Factoren die aan succes bijdragen en die succes bemoeilijken

De Deep Dive noemt zes factoren die aan succes bijdragen:

  • Commitment vanuit het schoolbestuur om beveiliging op een hoger niveau te brengen.
  • Bestuurder met affiniteit IT (vooral bij kleinere besturen).
  • Bij grotere besturen een leidinggevende met affiniteit IT.
  • Volledige IT is uitbesteed aan een IT-partner die ISO27001 gecertificeerd is en alle IT gerelateerde diensten levert.
  • Ondersteunende diensten als IT, Facilitair, HR en Inkoop zijn bovenschools georganiseerd.
  • Gebruik maken van handreikingen/standaarden die voor de sector beschikbaar zijn. Regionaal overleg met collega’s.

Daartegenover staan zes factoren die succes bemoeilijken:

  • Geen prioriteit aan informatiebeveiliging waardoor geen draagvlak ontstaat.
  • Onbegrip over de haalbaarheid om aan het Normenkader IBP FO te voldoen.
  • Geen affiniteit met IT van schoolbestuur waardoor alles als vreemd en overbodig wordt ingeschaald. Ervaren het als papieren rompslomp in plaats van een kader voor groei.
  • Versplinterde uitbesteding of uitbesteding aan een minder professionele partij.
  • Hoge mate van autonomie van individuele scholen binnen een schoolbestuur waardoor de ondersteunende diensten divers zijn vormgegeven.
  • Zelf het wiel uitvinden, niet weten waar informatie te vinden is.
Aanbevelingen voor verbetering informatiebeveiliging

De Deep Dive komt tot zeven aanbevelingen:

  • Voer een onderzoek uit naar de mogelijkheden van een sectorbreed kenniscentrum IBP.
  • Centraliseer leveranciersmanagement op sectorniveau.
  • Start een onderzoek naar welke vorm van dienstverlening het beste aansluit per type schoolbestuur.
  • Ontwikkel voor schoolbesturen een standaardaanpak voor het Normenkader IBP FO.
  • Initieer cultuurverandering bij schoolbesturen met meer nadruk op het belang van IB.
  • Stel op korte termijn handreikingen ter beschikking aan schoolbesturen.
  • Bespreek welke wijzigingen in het Normenkader IBP FO wenselijk zijn.

De eerste drie worden binnen het programma Digitaal Veilig Onderwijs (DVO) verder onderzocht. De laatste vier krijgen al een plek binnen dat programma.

Over Deep Dive

Deep Dive is een van de projecten binnen het programma Digitaal Veilig Onderwijs. Met dit programma bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken.

Bron: PO-Raad.

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
Drie lessen van een sectorbrede cybercrisisoefening