Normenkader IBP FO

Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om schoolomgevingen digitaal veilig te maken.

Het voldoen aan de normen kan stap voor stap worden gedaan. Daarvoor wordt een groeipad gemaakt, dat beschrijft op welk moment aan welke normen moet worden voldaan. Als schoolorganisaties dit groeipad volgen, bereiken ze het doel in een realistisch tempo en kunnen ze maatregelen nemen die passen bij wat nodig is voor hun school. Wil je weten hoe SIVON je op weg kan helpen bij de eerste stappen? Lees hieronder verder. Benieuwd naar alle normen? Bekijk dan het volledige Normenkader IBP FO via de website van Kennisnet.

Het Normenkader IBP voor het funderend onderwijs wordt vernieuwd. In juni 2024 verschijnt een vernieuwde versie van het deel informatiebeveiliging. Het deel privacy dat nu nog ontbreekt, wordt dan toegevoegd. Een maand later publiceren we het Groeipad, dat je de weg wijst door de maatregelen. Om je te helpen bij het toepassen van de normen, maken we hulpmiddelen. Bijvoorbeeld in de vorm van uitleg hoe je beleid maakt en processen inricht. Blijf je graag op de hoogte van het Normenkader, Groeipad en de andere hulpmiddelen? We informeren je via deze pagina.

Aan de slag met SIVON

Het ministerie van OCW,  Kennisnet, SIVON, de PO-Raad en de VO-raad werken binnen het programma Digitaal Veilig Onderwijs nauw samen om je te ondersteunen bij het op orde brengen van een digitaal veilige schoolomgeving. Het doel is dat jouw organisatie de digitale veiligheid binnen vier jaar (vóór eind 2027) op orde heeft. Wil je weten hoe SIVON jouw schoolbestuur kan helpen? Houdt dan onderstaand overzicht met een aantal belangrijke normen goed in de gaten en maak een afspraak met één van onze relatiemanagers.

Deel 1, domein 1: Bestuur

NormOndersteuning
1.3 Planning/RoadmapSIVON helpt schoolbesturen met het opstellen van een roadmap aan de hand van de bevindingen die zij opdoet binnen Deep Dives. Deze Deep Dives voert SIVON op dit moment uit onder een aantal schoolbesturen. Als je als bestuur wil deelnemen aan zo’n traject, neem dan contact op met Ferdy Ijsselmuiden.
1.5
Onafhankelijke assurance
Via een Deep Dive doet SIVON een assessment op naleving van de norm.

Deel 1, domein 3: Risicomanagement

NormOndersteuning
3.3
Plan voor behandeling en beperking
van risico’s
Neem als schoolbestuur mitigerende maatregelen over vanuit de DPIA’s en sluit op basis van onze marktinformatie eventueel een cybersecurityverzekering af.

Deel 1, domein 5: Configuration Management

NormOndersteuning
5.2
Configuratiedatabase en baseline
SIVON bepaalt de ‘standaardconfiguratie’ en monitort deze. Bekijk bijvoorbeeld dit document van Workspace

Deel 1, domein 6: Incident/Problem Management

NormOndersteuning
6.3
Incidentrespons op (cyber)beveiligingsincidenten
Schoolbesturen kunnen zich onder andere aansluiten bij het nog op te richten computercrisiteam (CERT) voor het primair en voortgezet onderwijs.

Deel 1, domein 9: Datamanagement

NormOndersteuning
9.2
Classificatie
SIVON kan templates voor contracten ontwikkelen op basis van de in de FORA vastgestelde classificaties van applicaties.
9.3
Beveiligingseisen voor datamanagement
Wanneer hier aandachtspunten uitkomen voor een bepaalde applicatie, toetst SIVON dit in het kader van een DPIA.
9.4
Inrichting van opslag en retentie
SIVON toetst in een DPIA het deel dat onder de verantwoordelijkheid van een leverancier valt.
9.5
Uitwisseling van (gevoelige) gegevens
In het kader van de DPIA, kijkt SIVON namens schoolbesturen naar de mate van veilige gegevensuitwisseling.
9.6
Verwijdering van data
In het kader van de DPIA, toetst SIVON de mate van verwijdering van data uit de cloud.

Deel 1, domein 11: Security Management

NormOndersteuning
11.5
Testen van, inspectie van en toezicht op beveiliging
SIVON voert namens schoolbesturen kwetsbaarhedenscans of pentests uit.
11.6
Patchmanagement
SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers.
11.7
Threat en Vulnerability Management
Schoolbesturen kunnen zich onder andere aansluiten bij het nog op te richten computercrisiteam (CERT) voor het primair en voortgezet onderwijs.
11.8
Beschikbaarheid en bescherming van infrastructuur
SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers.
11.9
Onderhoud van de infrastructuur
SIVON maakt en checkt namens schoolbesturen afspraken met leveranciers.
11.1
Network security
Schoolbesturen kunnen hoogwaardige digitale diensten als Veilig Internet en NaaS via SIVON afnemen om zo hun digitale onderwijsomgeving veiliger en toekomstbestendiger te maken.

Deel 1, domein 13: IT-operatie

NormOndersteuning
13.2
Procedures voor back-up en herstel
In het kader van de DPIA, toetst SIVON de procedures voor back-up en herstel.

Deel 1, domein 15: Ketenbeheer

NormOndersteuning
15.1
Service Level Agreement
Om hun producten voor het onderwijs veiliger en toekomstbestendiger te maken, adviseert SIVON leveranciers om de mitigerende maatregelen uit een DPIA over te nemen. Denk bijvoorbeeld aan de onderhandelingen met Google, Microsoft en Zoom.
15.2
Service Level Management
SIVON controleert namens schoolbesturen of een leverancier voldoet aan de afgesproken service-afspraken (SLA).
15.3 Leveranciersrisicomanagement
15.4
Interne beheersing bij derden