Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1....

19
Voortgang Informatiebeveiliging en Privacy ( IBP ) in de MBO sector saMBO-ICT conferentie, 2 oktober 2015

Transcript of Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1....

Page 1: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector

saMBO-ICT conferentie, 2 oktober 2015

Page 2: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Overzicht presentatie

1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo) 4. Voortgang IBP in de mbo sector (Leo) 5. Bevindingen en aanbevelingen overleg OCW (Leo) 6. Vooruitblik (Leo)

Page 3: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Risico’s IBP

A. Beleid IBP

B. Mens

C. Architectuur

D. Audit IBP E. B

eh

ee

r IB

P

Miti-geren

1. Terugblik

Page 4: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

A. Beleid IBP

Mbo sector maakt gebruik van bestaande documenten (SURF / Kennisnet) en maakt aanvullende documenten

• SURF documenten zijn herschreven voor de mbo sector

• Kennisnet documenten ihkv privacy zijn overgenomen

• ISO27001/2 wordt gehanteerd als normenkader in navolging van het Hoger Onderwijs

Page 5: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

B. Mens

• Brochure Hoe? Zo! Informatiebeveiliging in de mbo sector

• Brochure Hoe? Zo! Privacy in de mbo sector

• Aanbod masterclasses IBP (reeds 3 maal georganiseerd), masterclasses Privacy en masterclasses Enterprise Architectuur

• Voorstellen voor bewustwording medewerkers (training, campagnes, IBP in gesprekscyclus, arbeidsovereenkomst aanpassen, etc.)

Page 6: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

C. Architectuur

Eind 2015 wordt er een document gepresenteerd met de beschrijving van de Enterprise Architectuur mbo sector, bestaande uit de volgende onderdelen:

• Business architectuur (basis Triple A)

• Informatie architectuur (basis SION)

• Technische architectuur (basis SION)

• Security architectuur (inspiratie HORA)

Page 7: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

D. Audit IBP

Mbo sector zal in de nabije toekomst de beoordeling van IBP zelf uitvoeren op basis van uniforme audits.

• In 2015 start met assessments binnen de mbo instellingen

• In 2015 voorstellen baseline voor de gehele sector

• In 2015 / 2016 aanvulling op baseline door individuele mbo instelling

• In 2015 pilot benchmark IBP in de mbo sector

• In 2016 uitvoeren peer review of audit in mbo sector

Page 8: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

E. Beheer IBP

Doelen beheer IBP binnen een mbo instelling:

1. Onderhoud en ontwikkelen van 1 t/m 3

2. Uitvoeren IBP audits

3. Opzetten en monitoren registratiesystemen voor incidenten en calamiteiten IBP

4. Opzetten en begeleiden IBP-crisisteam (CERT) voor, bijvoorbeeld, afhandelen dDOS, datalekken, etc.

Page 9: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

9.30 Koffie en thee 10.00 10.00 Hans Doffegnies (voorzitter Taskforce)

Opening 10.15

10.15 Leo Bakker (Kennisnet) / Ludo Cuijpers (saMBO-ICT) Voortgang informatiebeleid en privacy in het mbo

11.00

11.00 Arjen Kamphuis (Gendo) Keynote spreker: De uitdagingen van de hedendaagse beveiligingsmogelijkheden

12.00

12.00 Lunch 13.00 13.00 Gerard Kuipers (Control2support)

Presentatie PID informatiebeveiliging en privacy 13.30

13.30 Xander Jansen 13.30 (SURFnet) DDOS

Job Vos 13.30 (Kennisnet) Privacy in het mbo

14.15

14.15 Koffie en thee 14.45 14.45 Lloyd Verheijen 14.45

(Routz group) IBP en technische ondersteuning

Leo Bakker/Ludo Cuijpers 14.45 (Kennisnet en saMBO-ICT) Enterprise Architectuur en IBP

15.30

15.30 Jan Bartling (saMBO-ICT) Paulo Moekotte benchmark Plannen informatiebeveiliging en privacy in het kader van de MBO-Raad begroting 2016.

16.00

Borrel en sluiting

2a IBP conferentie, 11-11-2015

Page 10: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

2b Masterclasses

• Masterclasses groep 3 gestart, afronding dec. • Masterclasses Privacy groep 1

gepland in november 2015 • Masterclasses groep 4 voorstel begin 2016 28/29-1, 25/26-2 en 18-3 • Masterclasses Enterprise Architectuur

3 en 4 maart 2016 • Masterclasses Privacy groep 2

14 en 15 april 2016

Page 11: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

3. IBP benchmark mbo

• 21 mbo instellingen aangemeld • Kick off op 9 oktober bij SURF • Looptijd benchmark 16 oktober t/m 20

november 2015 • Presentatie cijfers 17 december 2015 tijdens

Taskforce IBP te Utrecht, gegevens worden vervolgens online gepubliceerd

Page 12: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

4. Voorgang IBP mbo sector

Privacy: - voortgang werkgroep - vaststellen documenten:

- Compliancy kader Privacy in het mbo vs 1.3 - Toetsingskader Privacy in het mbo, vs 0.8

- aanbieden Hoe?Zo! publicatie (lezing Job)

Page 13: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Het framework IBP, voortgang: Steeds meer documenten zijn voltooid: Modelbeleidsplan, Hoe?Zo! IB, normenkader IB, toetsingskaders IB en EX, APK, Competenties, Risicomanagement, Roadmap, Op korte termijn: Positioneringsdocument (enquête) en modelbeleidsplan inclusief privacy Najaar: BIV classificatie en PIA’s, referentiearchitectuur mbo

Afronding en oplevering framework eind 2015, beheer, onderhoud en doorontwikkeling 2016 bij Kennisnet i.s.m alle stakeholders

MBO

refe

rent

ie a

rchi

tect

uur (

IBPD

OC4

)

Verantwoordingsdocument informatiebeveiliging en privacy in het MBO onderwijs (IBPDOC1)

Priv

acy

Com

plia

nce

kade

r MBO

(IB

PDO

C2B)

Nor

men

kade

r Inf

orm

atie

beve

iligi

ng M

BO (I

BPDO

C2A)

MBO roadmap informatie beveiligingsbeleid en privacy beleid (IBPDOC5)

Model Informatiebeveiligingsbeleid voor de MBO sector

op basis van ISO27001 en ISO27002 (IBPDOC 6)

Model beleid verwerking persoonsgegevens op basis

van Nederlandse wet- en regelgeving (IBPDOC18)

Toetsingskader IB: clusters 1 t/m 6 (IBPDOC3) Toetsingskader Privacy: cluster 7 (IBPDOC7)

Toetsingskader

Examinering

Pluscluster 8

IBPDOC8

Toetsingskader

Online leren

Pluscluster 9

IBPDOC9

Toetsingskader

VMBO-MBO

Pluscluster 10

IBPDOC10

Handleiding

Benchmark

Coable

IBPDOC11

Competenties

Informatiebev.

en Privacy

IBPDOC12

Positionering

Informatiebev.

en Privacy

IBPDOC13

Handleiding

Risico

management

IBPDOC29

Handleiding

BIV classificatie

IBPDOC14

BIV classificatie

Bekostiging

IBPDOC15

BIV classificatie

HRM

IBPDOC16

BIV classificatie

Online leren

IBPDOC17

PIA Deelnemers

informatie

IBPDOC19

PIA Personeel

Informatie

IBPDOC20

PIA Digitaal

Leren

IBPDOC21

Starterkit

Identity mngt

MBO versie

IBPDOC22

Starterkit

BCM

MBO versie

IBPDOC23

Starterkit

RBAC

MBO versie

IBPDOC24

Integriteit

Code

MBO versie

IBPDOC25

Leidraad

AUP’s

MBO versie

IBPDOC26

Responsible

Disclosure

MBO versie

IBPDOC27

Cloud

computing

MBO versie

IBPDOC28

Implementatievoorbeelden van kleine en grote instellingen Technische quick scan (APK) IBPDOC30

Hoe? Zo! Informatiebeveiligingsbeleid in het MBO en Hoe? Zo! Privacy in het MBO

Kaderdocumenten

Taskforce IBP

realisatie 2015

Taskforce IBP

planning 2016

Taskforce IBP

SURFibo

SURFaudit

Page 14: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

5. Overleg OCW Formuleren van een aantal uitgangspunten en intenties: Nog verdere versterking van de samenwerking is van belang: Integratie mbo projectorganisatie met SURF/Kennisnet, SCIPR enz., operationele invulling realiseren. Uitgangspunt is zelfregulering op basis van een gemeenschappelijke norm (toetsingskader). Gezamenlijke aanpak voor benadering leveranciers en controle op uitvoering. Aandachtspunt marktmacht wordt groter.. Bestuurlijk draagvlak en besluitvorming noodzakelijk: van norm naar sector afspraken.

Page 15: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

5. Overleg OCW Formuleren van een aantal uitgangspunten en intenties (2): Afspraken maken over toezicht (niet op de meetlat maar op het proces), rol accountants (protocol) en inspectie. (informatiekamer), voorwerk met departement. Beter zicht hebben op CMM niveau’s, benchmarking, verkrijgen van committment instellingen hierop. Gezamenlijk ambitieniveau! Fasering is cruciaal, tijd en middelen! Gemeenschappelijk groeipad schetsen. Roadmaps, implementatieplan. Succesfactor is: informatie is van iedereen, samen ontwikkelen, tools en instrumenten. PO/VO, zelfde problematiek, andere insteek, alles beschikbaar! Eigen invulling! Sommige voorzieningen delen!?

Page 16: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Hoe nu verder? Harmoniseren op doelstellingen, enige mate van consensus Delen van kaders en best practices Samenwerken op voorbeelden, standaarden, leidraden Wat zijn de consequenties, inzichtelijk maken, middelen (ook technisch) Van belang dat instellingen weten waar ze staan, de meetlat gebruiken. En dan een marsroute uitzetten, referentiemarsroute…. Een baseline lijkt wel belangrijk, daar moet je instellingen op kunnen aanspreken. Rol daarbij voor SURFaudit en MBOaudit. Knelpunten zitten vooral op beleid, personeel (cluster 1 en 2), bij 3, 4 en 5 lijken de sectoren al wat verder, het is niet alleen maar somber.

6. Vooruitblik

Page 17: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Uitslag enquête positionering

Positionering informatiebeveiliging • 1/3 ICT beheer • 1/3 functioneel beheer • 1/3 anders

Positionering privacy • ½ nog niet geregeld • ½ divers

Salarisschaal IBP manager: schaal 10 – 12 Voortgang IBP (n=50) • 20% volop bezig • 50% gestart • 30% nog niet begonnen

Page 18: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Uitslag enquête positionering

Meest gebruikte document • Mbo toetsingskader informatiebeveiliging (66%) • Model informatiebeveiliging (60%) • Technische Quick scan (58%)

Interesse scholing • Masterclass privacy: 33 verzoeken tot aanmelding • Masterclass Enterprise architectuur: 26 verzoeken tot aanmelding • Masterclass IBP groep 4: 17 verzoeken tot aanmelding

Aanmelding (interesse) voor IBP benchmark: 23 instellingen • 2 AOC’s • 19 ROC’s • 2 vakscholen

Page 19: Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO ... · Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark mbo (Ludo)

Tot slot

?