Incidentmanagement

gepubliceerd op 6 februari 2024

Incidentmanagement is het centrale proces voor het melden van incidenten in de ict-omgeving en van (cyber)beveiligingsincidenten. Incidenten in de ict-omgeving zijn nooit helemaal uit te sluiten. Daarom is het belangrijk dat je bent voorbereid als het toch mis gaat. Met een goede voorbereiding kun je de schade bij een incident beperken.

Het doel van incidentmanagement is om verstoringen bij het verwerken van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de ict-omgeving verstoren. Ook als er iets mis gaat met het veilig verwerken van informatie, wordt dat als een incident behandeld. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.

Er zijn verschillende soorten incidenten, bijvoorbeeld:

  • Beveiligingsincident: door een incident wordt de beschikbaarheid, vertrouwelijkheid of integriteit van informatie verstoord. Denk aan (stroom)storingen, het ontbreken (of fout lopen) van een back-up, het verlies van elektronische gegevensdragers of het achterlaten van een document bij een printer.
  • Cyberbeveiligingsincident: door ongeautoriseerde acties, vaak met kwaadwillige intenties, wordt inbreuk gedaan op de beveiliging van informatie, systemen, netwerken of diensten. Denk aan phishing, virussen of DDoS-aanvallen.
  • Datalek: iemand heeft toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. De oorzaak is een inbreuk op de beveiliging van deze gegevens.

Wat zegt het Normenkader IBP FO?

Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO) beschrijft in hoofdstuk 6 de normen voor incidentmanagement.

De normen 6.1, 6.2 en 6.3 geven aan wat je moet doen om het proces van incidentmanagement in te richten.

Toetsingskader bij norm 6.1
  • Het incidentmanagementbeleid is formeel gedocumenteerd en gecommuniceerd.
  • Rollen en verantwoordelijkheden van de organisatie en de leveranciers zijn duidelijk gedefinieerd.
  • Aspecten rondom juridisch en forensisch onderzoek zijn vastgesteld en toegewezen.
  • Het registreren van, de communicatie over, de toewijzing van en de analyse van incidenten zijn formeel belegd in de organisatie.
  • Incidenten worden gecategoriseerd en geprioriteerd op basis van impact.
  • (Cyber)beveiligingsincidenten worden voorkomen of gedetecteerd en er is een proces om deze tijdig en effectief aan te pakken.
  • Informatie wordt op een proactieve en formele manier gedeeld door personeel.
  • Er wordt gemonitord of incidenten tijdig worden opgelost.
  • Er wordt beperkt gerapporteerd aan het management over incident- en oplossings- analyses.
Toetsingskader bij norm 6.2
  • Het formeel vastgelegde beleid voor incidentmanagement bevat een escalatieprocedure.
  • Er zijn escalatiecriteria bepaald.
  • De escalatieprocedure is gebaseerd op serviceniveaus voor incidenten die niet meteen opgelost kunnen worden.
  • Categoriseren en prioriteren vindt plaats op basis van impactanalyse, de bepaalde criteria en serviceniveaus.
  • De responsteams krijgen de benodigde training.
  • De verantwoordelijkheid voor het oplossen van een incident is toegewezen.
Toetsingskader bij norm 6.3
  • Naast de gebruikelijke incident managementprocedures zijn er ook plannen om preventie, risicobeperking, voorbereiding, tijdige reactie en herstel van (cyber)beveiligingsincidenten aan te pakken.
  • Er zijn rollen en verantwoordelijkheden vastgelegd en toegewezen.
  • De organisatie kan snel reageren op een verstoring, op gepaste schaal/escalatieniveau afhankelijk van mogelijke impact.

Wie doet wat?

Bij het inrichten van incidentmanagement zijn verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur stelt het incidentmanagementbeleid vast.
  • De IBP-verantwoordelijke en it-incidentmanager zorgen ervoor dat het schoolbestuur en andere betrokkenen hun verantwoordelijkheden kennen en daarnaar kunnen handelen. Ook coördineren ze de uitvoering van de werkzaamheden.
  • De it-servicedesk of het meldpunt voor incidenten zorgt voor de vastlegging en bewaking van de incidenten.
  • De ict-beheerder of degene die het incident behandelt, en de eventueel betrokken leveranciers, zorgen voor de inhoudelijke expertise en de oplossing van incidenten.

Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.

Hoe richt je incidentmanagement in?

Het incidentmanagementproces bestaat uit de volgende onderdelen:

  • Registratie en classificatie: Heeft het incident daadwerkelijk plaatsgevonden? Wat is er precies gebeurd? Meld en registreer het incident.
  • Prioritering en toewijzing: Betrek vooraf aangewezen personen om het incident in te dammen en de schade te beperken.
  • Diagnose, onderzoek en oplossing: Neem maatregelen om de oorzaak van het incident te blokkeren of te verwijderen. Pas als de oorzaak van het incident is weggenomen kun je beginnen met het herstellen van systemen. Dit is ook de fase waarin onderzocht wordt of aan de voorwaarden is voldaan om het bedrijfscontinuïteitsmanagementplan te activeren. Lees hierover meer op de pagina Bedrijfscontinuïteitsmanagement. Zijn er diensten uitbesteed? Zorg dan voor goede afspraken met de leverancier.
  • Communicatie: Denk na over communicatie met alle betrokkenen, intern en extern.
  • Afsluiting, evaluatie en analyse: Leer van het incident. Welke vervolgstappen en maatregelen kun je nemen om het incident in de toekomst te voorkomen? Hoe kan het incidentmanagementproces worden verbeterd?

Bij een (cyber)beveiligingsincident doorloop je deze noodzakelijke extra stappen.

  • Registratie en classificatie: Heeft het (cyber)beveiligingsincident daadwerkelijk plaatsgevonden en wat is er precies gebeurd? Registreer het incident als (cyber)beveiligingsincident.
  • Indammen van de schade: De schade als gevolg van het (cyber)beveiligingsincident wordt vastgesteld en bewijsmateriaal wordt veiliggesteld. Om de schade te beperken kan het nodig zijn om systemen preventief uit te schakelen of andere maatregelen te nemen. In deze fase kan ook forensisch onderzoek worden gestart.
  • Communicatie: Betrek de IBP-verantwoordelijke en de Functionaris Gegevensbescherming (FG) hierbij. Als er een datalek is, kan worden bepaald of dat gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Dit moet binnen 72 uur gebeuren. Overweeg ook of in verband met de gelekte data betrokkenen moeten worden geïnformeerd.

Aan de slag

Stel beleid vast

Leg beleidsuitgangspunten vast in een incidentmanagementbeleid. Dit kan onderdeel zijn van het IBP-beleidsplan (paragraaf 5.6) of als zelfstandig beleid worden vastgesteld. Hoe uitgebreid dit beleid is hangt af van grootte en complexiteit van je onderwijsinstelling. Maak daarvoor gebruik van de template Incidentmanagementbeleid. Deze kun je afstemmen op je eigen onderwijsinstelling. Leg realistische afspraken vast die in de praktijk ook daadwerkelijk kunnen worden nageleefd.

Toets het proces

Toets het bestaande incidentmanagementproces of gebruik de template Incidentmanagementproces om het proces te beschrijven.

Doe melding bij een incident

Zorg ervoor dat altijd melding wordt gedaan bij een incident. Belangrijk is dat voor alle betrokkenen (bijvoorbeeld: gebruikers, docenten, leerlingen, leveranciers) duidelijk is waar zij incidenten kunnen melden en dat er een open cultuur is om te melden. Tegelijkertijd moet duidelijk zijn wie verantwoordelijkheid is voor het afhandelen van de incidentmeldingen.

Leg incidenten vast

Gebruik een standaard wijze om incidenten en (cyber)beveiligingsincidenten vast te leggen en rapporteren. Dit kan de servicedesk-applicatie zijn of een register in Excel, zoals de template Register (beveiligings)incidenten en datalekken.

Een (cyber)beveiligingsincident? Gebruik het stappenplan en logboek

Bij (cyber)beveiligingsincidenten is het van belang dat er snel geschakeld wordt en dat, na het ontdekken van het incident, alle noodzakelijke stappen gevolgd worden. Snelle actie helpt om informatie beschikbaar te houden. De template (Cyber)beveiligingsincident stappenplan en logboek bevat acties om (cyber)beveiligingsincidenten waar persoonsgegevens bij betrokken zijn, aan te pakken en de uitgevoerde acties vast te leggen. Je kunt met de template ook andere veiligheidsincidenten aanpakken, bijvoorbeeld: het beschadigen van openbare websites, ongeoorloofde toegang tot vertrouwelijke maar niet wettelijk beschermde gegevens, of het verlies van vertrouwelijke papieren dossiers.

Een datalek? Meld dit bij de AP!

Zijn er persoonsgegevens betrokken bij het incident en is er mogelijke schade voor betrokkenen? Dan moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Lees meer over beveiligingsincidenten en datalekken melden.

Rapporteer en evalueer

Leer van het incident in gesprek met de betrokkenen. Welke vervolgstappen en maatregelen moet je nemen om het incident in de toekomst te voorkomen? Hoe kan het incidentmanagementproces worden verbeterd? Controleer minimaal jaarlijks of het incidentmanagementproces actueel is en de verantwoordelijkheden juist zijn belegd.

Hou rekening met

Oefen met incidentmanagement

Om te weten of het incidentmanagementproces echt goed georganiseerd is, gaat er niets boven oefenen.

Oefen met een cybersecuritycrisis

Grote cybersecurityincidenten met een hoge impact vragen om een specifieke crisisaanpak en voorbereiding. Lees hierover meer in het artikel Cybersecuritycrisis: hoe bereid je je voor?

Zorg voor een actueel bedrijfscontinuïteitsbeleid

Controleer of het bedrijfscontinuïteitsmanagement (BCM) voor de organisatie actueel is. Dit is belangrijk voor het beschermen van de continuïteit van het onderwijs en het voorkomen van informatieverlies. Lees hierover meer op de pagina Bedrijfscontinuïteitsmanagement.

Bewaar rapportages 3 jaar

Bewaar geregistreerde en gerapporteerde informatie over incidenten voor minimaal 3 jaar. Zo is het mogelijk om bepaalde patronen in incidenten te ontdekken en relaties te leggen met onderkende risico’s. Dit kan leiden tot aanvullende maatregelen of melding hiervan aan relevante betrokkenen.

Tips en adviezen

  • Incidenten buiten kantooruren
    Incidenten kunnen ook buiten kantooruren gebeuren. Denk vooraf goed na over eventuele bereikbaarheidsdienst. Zorg ervoor dat incidenten ook buiten kantooruren kunnen worden gemeld en opgepakt.
  • Communicatiekanalen tijdens incidenten
    Richt binnen je organisatie een chatgroep op met personen die meteen op de hoogte moeten worden gesteld in het geval van een incident. Zo is er direct afstemming voor een risicoschatting en het bepalen van vervolgacties.
  • Relevante en actuele dreigingen
    Leer van actuele cyberdreigingen en beveiligingsincidenten die al hebben plaatsgevonden. Lees hierover meer in het Dreigingsbeeld Funderend Onderwijs.

Tools en voorbeelddocumenten

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar  ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

 

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave