Presentatie over Certificeringsschema voor de

Report
Edukoppeling certificering
DUO
Edukoppeling
Transactie-standaard
SAASleverancier
Onderwijsinstelling
SAASleverancier
Onderwijsinstelling
Aantoonbare
maatregelen
Certificeringsschema
Onderwijsinstelling
Wat is een certificeringsschema
1. Normen – inhoudelijke eisen waaraan hetgeen
dat je wilt certificeren moet voldoen
2. Toetsingsschema – eisen die worden gesteld aan
de wijze waarop conformiteit met de normen
wordt vastgesteld
3. Accreditatieschema – eisen die worden gesteld
aan organisaties die conformiteitstoetsing
uitvoeren
• Voor nu behoefte aan 1 en 2
Certificeren en cloud
• Andere schema’s (ISO 27001) zijn te generiek
• Geen specifieke ‘best practice’ voor cloud
certificering
• Uit de sector: Eurocloud / Cloud Security
Alliance (CSA)
• Onafhankelijk: ENISA, ISACA, …
• CSA actueel de dominante standaard
Keuze normen
• Voor nu kan worden volstaan met een risicogebaseerde selectie van onderwerpen op
basis van door SCA benoemde top-9 risico’s,
aangevuld met specifieke eisen voor de
Edukoppeling
Edukoppeling specifiek –
Onderwerp 1
• De SAAS-leverancier heeft afdoende maatregelen
genomen om misbruik door eigen (oud-)
medewerkers die toegang kunnen hebben tot de
gegevens van de school te voorkomen, denk aan
–
–
–
–
–
Geheimhoudingsverklaring
Verklaring omtrent Gedrag
Geïndividualiseerde beheerdersaccounts
Gegevens afgeschermd voor niet-beheerders
Locatiegebonden beheerderstoegang
Edukoppeling specifiek –
Onderwerp 2
• De SAAS-leverancier heeft afdoende
maatregelen genomen om vermenging van
gegevens met die van andere klanten te
voorkomen, denk aan:
– Scheiding van klantomgevingen
– Datascheiding door consistente toepassing van
multi-tenant data architecture
Edukoppeling specifiek –
Onderwerp 3
• De SAAS-leverancier heeft afdoende
maatregelen genomen om per klantomgeving
een log of audittrail vast te leggen om het
uitvoeren van digitaal onderzoek en audits te
ondersteunen, denk aan:
– met welke partij welke gegevens zijn uitgewisseld
– door wie (gebruiker of ketenpartner) en wanneer
die gegevensuitwisseling is geïnitieerd
Edukoppeling specifiek –
Onderwerp 4
• De services waarmee gegevens met andere
ketenpartijen worden uitgewisseld, voldoen
aan de Edukoppeling standaard, denk aan:
– Routering
– Autorisatie
– Logging
– Vertrouwelijkheid / encryptie
Edukoppeling specifiek –
Onderwerp 5
• Tussen de SAAS-leverancier en de
onderwijsinstelling bestaat een
bewerkersovereenkomst zoals bedoeld in
artikel 14 WBP.
Intensiteit toetsing
• ‘Cloud certificatie’ bestaat nog niet
• Wel (in toenemende mate):
– Individuele audits (rijp en groen)
– ISO 27001 certificering
– Cloud security self-assessments op basis van CSA
(grote providers US, kan snel overslaan)
Toepassing
• Digitaal aanmelden MBO vanaf 2014
• Facet MBO in 2014/2015
• Studielink (pilot) in 2015
• Doorontwikkelen BRON in 2015 (PO, VO,
MBO)
• OSO?
Certificeringsboard (CB)
1. Vaststellen schema (= procedure
en (baseline) normenkader)
2. Opdrachtgever BR en BS
3. Vaststellen sancties
Beheerder Schema (BS)
1. Behandelen wijzigingsverzoeken
2. Voorbereiden besluitvorming
3. Doorvoeren wijzigingen
normenkader
Werkgroep
(min. 1x per jaar)
Opstellen wijzigingsverzoeken
Beheerder Register (BR)
1. Beheren certificering
2. Controleren auditors
3. Bijhouden en publiceren register
4. Opleggen sancties
5. Opdrachtgever auditors
Auditor
1. Controleren partijen
2. Aanvragen certificering, melden
intrekkingen
Vaststellen governance, groeipad en scope
Witte tekst = huidige situatie, Grijze tekst = toekomstige situatie

similar documents