Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om schoolomgevingen digitaal veilig te maken.
Het voldoen aan de normen kan stap voor stap worden gedaan. Daarvoor wordt een groeipad gemaakt, dat beschrijft op welk moment aan welke normen moet worden voldaan. Als schoolorganisaties dit groeipad volgen, bereiken ze het doel in een realistisch tempo en kunnen ze maatregelen nemen die passen bij wat nodig is voor hun school. Wil je weten hoe SIVON je op weg kan helpen bij de eerste stappen? Lees hieronder verder. Benieuwd naar alle normen? Bekijk dan het volledige Normenkader IBP FO via de website van Kennisnet.
Het Normenkader IBP voor het funderend onderwijs wordt vernieuwd. In juni 2024 verschijnt een vernieuwde versie van het deel informatiebeveiliging. Het deel privacy dat nu nog ontbreekt, wordt dan toegevoegd. Een maand later publiceren we het Groeipad, dat je de weg wijst door de maatregelen. Om je te helpen bij het toepassen van de normen, maken we hulpmiddelen. Bijvoorbeeld in de vorm van uitleg hoe je beleid maakt en processen inricht. Blijf je graag op de hoogte van het Normenkader, Groeipad en de andere hulpmiddelen? We informeren je via deze pagina.
Aan de slag met SIVON
Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad werken binnen het programma Digitaal Veilig Onderwijs nauw samen om je te ondersteunen bij het op orde brengen van een digitaal veilige schoolomgeving. Het doel is dat jouw organisatie de digitale veiligheid binnen vier jaar (vóór eind 2027) op orde heeft. Wil je weten hoe SIVON jouw schoolbestuur kan helpen? Houdt dan onderstaand overzicht met een aantal belangrijke normen goed in de gaten en maak een afspraak met één van onze relatiemanagers.
| Norm | Ondersteuning |
| 1.3 Planning/Roadmap | SIVON helpt schoolbesturen met het opstellen van een roadmap aan de hand van de bevindingen die zij opdoet binnen Deep Dives. Deze Deep Dives voert SIVON op dit moment uit onder een aantal schoolbesturen. Als je als bestuur wil deelnemen aan zo’n traject, neem dan contact op met Ferdy Ijsselmuiden. |
| 1.5 Onafhankelijke assurance | Via een Deep Dive doet SIVON een assessment op naleving van de norm. |
Deel 1, domein 3: Risicomanagement
| Norm | Ondersteuning |
| 3.3 Plan voor behandeling en beperking van risico’s | Neem als schoolbestuur mitigerende maatregelen over vanuit de DPIA’s en sluit op basis van onze marktinformatie eventueel een cybersecurityverzekering af. |
Deel 1, domein 5: Configuration Management
| Norm | Ondersteuning |
| 5.2 Configuratiedatabase en baseline | SIVON bepaalt de ‘standaardconfiguratie’ en monitort deze. Bekijk bijvoorbeeld dit document van Workspace |
Deel 1, domein 6: Incident/Problem Management
| Norm | Ondersteuning |
| 6.3 Incidentrespons op (cyber)beveiligingsincidenten | Schoolbesturen kunnen zich onder andere aansluiten bij het nog op te richten computercrisiteam (CERT) voor het primair en voortgezet onderwijs. |
Deel 1, domein 9: Datamanagement
| Norm | Ondersteuning |
| 9.2 Classificatie | SIVON kan templates voor contracten ontwikkelen op basis van de in de FORA vastgestelde classificaties van applicaties. |
| 9.3 Beveiligingseisen voor datamanagement | Wanneer hier aandachtspunten uitkomen voor een bepaalde applicatie, toetst SIVON dit in het kader van een DPIA. |
| 9.4 Inrichting van opslag en retentie | SIVON toetst in een DPIA het deel dat onder de verantwoordelijkheid van een leverancier valt. |
| 9.5 Uitwisseling van (gevoelige) gegevens | In het kader van de DPIA, kijkt SIVON namens schoolbesturen naar de mate van veilige gegevensuitwisseling. |
| 9.6 Verwijdering van data | In het kader van de DPIA, toetst SIVON de mate van verwijdering van data uit de cloud. |
Deel 1, domein 11: Security Management
| Norm | Ondersteuning |
| 11.5 Testen van, inspectie van en toezicht op beveiliging | SIVON voert namens schoolbesturen kwetsbaarhedenscans of pentests uit. |
| 11.6 Patchmanagement | SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers. |
| 11.7 Threat en Vulnerability Management | Schoolbesturen kunnen zich onder andere aansluiten bij het nog op te richten computercrisiteam (CERT) voor het primair en voortgezet onderwijs. |
| 11.8 Beschikbaarheid en bescherming van infrastructuur | SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers. |
| 11.9 Onderhoud van de infrastructuur | SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers. |
| 11.1 Network security | Schoolbesturen kunnen hoogwaardige digitale diensten als Veilig Internet en NaaS via SIVON afnemen om zo hun digitale onderwijsomgeving veiliger en toekomstbestendiger te maken. |
Deel 1, domein 13: IT-operatie
| Norm | Ondersteuning |
| 13.2 Procedures voor back-up en herstel | In het kader van de DPIA, toetst SIVON de procedures voor back-up en herstel. |
Deel 1, domein 15: Ketenbeheer
| Norm | Ondersteuning |
| 15.1 Service Level Agreement | Om hun producten voor het onderwijs veiliger en toekomstbestendiger te maken, adviseert SIVON leveranciers om de mitigerende maatregelen uit een DPIA over te nemen. Denk bijvoorbeeld aan de onderhandelingen met Google, Microsoft en Zoom. |
| 15.2 Service Level Management | SIVON controleert namens schoolbesturen of een leverancier voldoet aan de afgesproken service-afspraken (SLA). |
| 15.3 Leveranciersrisicomanagement | |
| 15.4 Interne beheersing bij derden |