De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Edukoppeling certificering

Verwante presentaties


Presentatie over: "Edukoppeling certificering"— Transcript van de presentatie:

1 Edukoppeling certificering
SAAS-leverancier Onderwijs- instelling DUO SAAS-leverancier Onderwijs- instelling Onderwijs- instelling Edukoppeling Transactie-standaard Aantoonbare maatregelen Certificeringsschema

2 Wat is een certificeringsschema
Normen – inhoudelijke eisen waaraan hetgeen dat je wilt certificeren moet voldoen Toetsingsschema – eisen die worden gesteld aan de wijze waarop conformiteit met de normen wordt vastgesteld Accreditatieschema – eisen die worden gesteld aan organisaties die conformiteitstoetsing uitvoeren Voor nu behoefte aan 1 en 2

3 Certificeren en cloud Andere schema’s (ISO 27001) zijn te generiek
Geen specifieke ‘best practice’ voor cloud certificering Uit de sector: Eurocloud / Cloud Security Alliance (CSA) Onafhankelijk: ENISA, ISACA, … CSA actueel de dominante standaard

4 Keuze normen Voor nu kan worden volstaan met een risico-gebaseerde selectie van onderwerpen op basis van door SCA benoemde top-9 risico’s, aangevuld met specifieke eisen voor de Edukoppeling

5 Edukoppeling specifiek – Onderwerp 1
De SAAS-leverancier heeft afdoende maatregelen genomen om misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school te voorkomen, denk aan Geheimhoudingsverklaring Verklaring omtrent Gedrag Geïndividualiseerde beheerdersaccounts Gegevens afgeschermd voor niet-beheerders Locatiegebonden beheerderstoegang

6 Edukoppeling specifiek – Onderwerp 2
De SAAS-leverancier heeft afdoende maatregelen genomen om vermenging van gegevens met die van andere klanten te voorkomen, denk aan: Scheiding van klantomgevingen Datascheiding door consistente toepassing van multi-tenant data architecture

7 Edukoppeling specifiek – Onderwerp 3
De SAAS-leverancier heeft afdoende maatregelen genomen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal onderzoek en audits te ondersteunen, denk aan: met welke partij welke gegevens zijn uitgewisseld door wie (gebruiker of ketenpartner) en wanneer die gegevensuitwisseling is geïnitieerd

8 Edukoppeling specifiek – Onderwerp 4
De services waarmee gegevens met andere ketenpartijen worden uitgewisseld, voldoen aan de Edukoppeling standaard, denk aan: Routering Autorisatie Logging Vertrouwelijkheid / encryptie

9 Edukoppeling specifiek – Onderwerp 5
Tussen de SAAS-leverancier en de onderwijsinstelling bestaat een bewerkersovereenkomst zoals bedoeld in artikel 14 WBP.

10 Intensiteit toetsing ‘Cloud certificatie’ bestaat nog niet
Wel (in toenemende mate): Individuele audits (rijp en groen) ISO certificering Cloud security self-assessments op basis van CSA (grote providers US, kan snel overslaan)

11 Toepassing Digitaal aanmelden MBO vanaf 2014 Facet MBO in 2014/2015
Studielink (pilot) in 2015 Doorontwikkelen BRON in 2015 (PO, VO, MBO) OSO?

12 Certificeringsboard (CB)
Vaststellen schema (= procedure en (baseline) normenkader) Opdrachtgever BR en BS Vaststellen sancties Beheerder Schema (BS) Behandelen wijzigingsverzoeken Voorbereiden besluitvorming Doorvoeren wijzigingen normenkader Werkgroep (min. 1x per jaar) Opstellen wijzigingsverzoeken Beheerder Register (BR) 1. Beheren certificering 2. Controleren auditors 3. Bijhouden en publiceren register 4. Opleggen sancties 5. Opdrachtgever auditors Auditor 1. Controleren partijen 2. Aanvragen certificering, melden intrekkingen Vaststellen governance, groeipad en scope Witte tekst = huidige situatie, Grijze tekst = toekomstige situatie


Download ppt "Edukoppeling certificering"

Verwante presentaties


Ads door Google