De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

DUO SAAS- leverancier Onderwijs- instelling Certificeringsschema Edukoppeling Transactie-standaard Onderwijs- instelling SAAS- leverancier Onderwijs- instelling.

Verwante presentaties


Presentatie over: "DUO SAAS- leverancier Onderwijs- instelling Certificeringsschema Edukoppeling Transactie-standaard Onderwijs- instelling SAAS- leverancier Onderwijs- instelling."— Transcript van de presentatie:

1 DUO SAAS- leverancier Onderwijs- instelling Certificeringsschema Edukoppeling Transactie-standaard Onderwijs- instelling SAAS- leverancier Onderwijs- instelling Aantoonbare maatregelen Edukoppeling certificering

2 Wat is een certificeringsschema 1.Normen – inhoudelijke eisen waaraan hetgeen dat je wilt certificeren moet voldoen 2.Toetsingsschema – eisen die worden gesteld aan de wijze waarop conformiteit met de normen wordt vastgesteld 3.Accreditatieschema – eisen die worden gesteld aan organisaties die conformiteitstoetsing uitvoeren Voor nu behoefte aan 1 en 2

3 Certificeren en cloud Andere schema’s (ISO 27001) zijn te generiek Geen specifieke ‘best practice’ voor cloud certificering Uit de sector: Eurocloud / Cloud Security Alliance (CSA) Onafhankelijk: ENISA, ISACA, … CSA actueel de dominante standaard

4 Keuze normen Voor nu kan worden volstaan met een risico- gebaseerde selectie van onderwerpen op basis van door SCA benoemde top-9 risico’s, aangevuld met specifieke eisen voor de Edukoppeling

5 Edukoppeling specifiek – Onderwerp 1 De SAAS-leverancier heeft afdoende maatregelen genomen om misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school te voorkomen, denk aan – Geheimhoudingsverklaring – Verklaring omtrent Gedrag – Geïndividualiseerde beheerdersaccounts – Gegevens afgeschermd voor niet-beheerders – Locatiegebonden beheerderstoegang

6 Edukoppeling specifiek – Onderwerp 2 De SAAS-leverancier heeft afdoende maatregelen genomen om vermenging van gegevens met die van andere klanten te voorkomen, denk aan: – Scheiding van klantomgevingen – Datascheiding door consistente toepassing van multi-tenant data architecture

7 Edukoppeling specifiek – Onderwerp 3 De SAAS-leverancier heeft afdoende maatregelen genomen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal onderzoek en audits te ondersteunen, denk aan: – met welke partij welke gegevens zijn uitgewisseld – door wie (gebruiker of ketenpartner) en wanneer die gegevensuitwisseling is geïnitieerd

8 Edukoppeling specifiek – Onderwerp 4 De services waarmee gegevens met andere ketenpartijen worden uitgewisseld, voldoen aan de Edukoppeling standaard, denk aan: – Routering – Autorisatie – Logging – Vertrouwelijkheid / encryptie

9 Edukoppeling specifiek – Onderwerp 5 Tussen de SAAS-leverancier en de onderwijsinstelling bestaat een bewerkersovereenkomst zoals bedoeld in artikel 14 WBP.

10 Intensiteit toetsing ‘Cloud certificatie’ bestaat nog niet Wel (in toenemende mate): – Individuele audits (rijp en groen) – ISO certificering – Cloud security self-assessments op basis van CSA (grote providers US, kan snel overslaan)

11 Toepassing Digitaal aanmelden MBO vanaf 2014 Facet MBO in 2014/2015 Studielink (pilot) in 2015 Doorontwikkelen BRON in 2015 (PO, VO, MBO) OSO?

12 Beheerder Schema (BS) 1.Behandelen wijzigingsverzoeken 2.Voorbereiden besluitvorming 3.Doorvoeren wijzigingen normenkader Auditor 1. Controleren partijen 2. Aanvragen certificering, melden intrekkingen Beheerder Register (BR) 1. Beheren certificering 2. Controleren auditors 3. Bijhouden en publiceren register 4. Opleggen sancties 5. Opdrachtgever auditors Certificeringsboard (CB) 1.Vaststellen schema (= procedure en (baseline) normenkader) 2.Opdrachtgever BR en BS 3.Vaststellen sancties Werkgroep (min. 1x per jaar) Opstellen wijzigingsverzoeken Vaststellen governance, groeipad en scope Witte tekst = huidige situatie, Grijze tekst = toekomstige situatie


Download ppt "DUO SAAS- leverancier Onderwijs- instelling Certificeringsschema Edukoppeling Transactie-standaard Onderwijs- instelling SAAS- leverancier Onderwijs- instelling."

Verwante presentaties


Ads door Google