Wat is de ISRA-Methode?

De inventarisatie van de huidige situatie in de verschillende instellingen (risico-analyse) heeft plaatsgevonden door middel van interviews met direct betrokkenen op het gebied van beveiliging en organisatie van de ELO. Bij deze interviews waren de volgende personen uitgenodigd:

• Functioneel eigenaar en een key user van het onderwijsproces
• Eigenaar of technisch beheerder en key user van de IT infrastructuur
• Algemeen coordinator (Michel Kriens) vanuit E-merge
• Senior consultant van Infosecure (Peter van Boxtel)
• E-merge vertegenwoordiger uit een andere instelling (Robert Erica of Marcel Schmidt)

Voorafgaand aan de interviews is de vragenlijst uit de ISRA bekeken en op punten aangepast voor de onderwijssituatie. Daarnaast zijn de interviewers getraind en zijn de vragen voorzien van een toelichting die, indien nodig kon worden gegeven tijdens het interview. Uitkomsten uit de interviews zijn verwerkt in het meetprogramma ISRAC, dat waardering geeft aan de uitkomsten en hiermee een oordeel geeft over de situatie op een aspect van de risicoanalyse.

Voor de risicoanalyse is een operationeel model gemaakt waarin een business proces en een technisch infrastructuurproces zijn beschreven. Hierop zijn per proces:

• een Business Impact Analyse (welke gevolgen heeft schade voor de bedrijfsvoering),
• een kwetsbaarheids analyse (welke bedreigingen zijn er en hoe is het systeem ertegen bestand)
• en een analyse van aanwezige maatregelen (LOC, list of controls) Bij de maatregelen is gebruik gemaakt van de Code voor Informatiebeveiliging (BS7799 of ISO17799)

De tijdens het interview verkregen gegevens zijn niet verder onderzocht door middel van overlegbaar bewijsmateriaal.