Beheersen van risico’s
Informatiebeveiliging is altijd een afweging van de kansen op en de impact van risico’s, de kosten van maatregelen, beschikbare middelen en de praktische toepasbaarheid binnen de school. Het volledig vermijden of verkleinen van alle risico’s is niet reëel. Zelfs niet als je onbeperkte middelen tot je beschikking zou hebben. Toch is het belangrijk om te inventariseren welke risico’s je loopt en te kiezen hoe je daarmee wilt omgaan. Om ervoor te zorgen dat je dat structureel doet, is het nodig dat je je risicomanagementproces op orde hebt.
Resultaat van dit deelproject
- Het risicomanagementbeleid is opgesteld en vastgesteld.
- De risicomanagementproces is opgesteld en vastgesteld.
- Het risicoregister is opgesteld.
Normen bij dit deelproject
Wat is een risico?
Risico’s zijn onzekere gebeurtenissen die het behalen van de doelstellingen van je schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. kunnen beïnvloeden. Met risicomanagement richt je een proces in om risico’s te beheersen. Hierbij maak je een gedegen afweging tussen (te creëren) mogelijkheden en (niet te vermijden) beperkingen binnen je organisatie. Denk aan mogelijkheden en beperkingen die samenhangen met in te zetten capaciteit, middelen en/of praktische toepasbaarheid.
Wie doet wat
- De IBP’er of de proceseigenaar stelt het risicomanagementbeleid en het risicomanagementproces op. Ook coördineert de IBP’er of proceseigenaar de uitvoering van de werkzaamheden.
- Het bestuur stelt het risicomanagementbeleid vast.
Aan de slag
Met het volgen van onderstaande stappen richt jij de risicomanagementprocessen in voor jouw organisatie.
1. Stel een risicomanagementbeleid op
Begin met het opstellen van het risicomanagementbeleid. Je kunt hiervoor het voorbeelddocument risicomanagementbeleid (docx) gebruiken. Hierin beschrijf je het eigenaarschap van risico’s en maatregelen. Andere verantwoordelijkheden voor bijvoorbeeld het opstellen en onderhouden van het beleid, het inrichten van een risicoregister en het verzorgen van ondersteuning moeten er ook in beschreven zijn.
2. Stel een risicomanagementproces op
Werk vervolgens in een procesbeschrijving het risicomanagementproces uit. Je kunt hiervoor het voorbeelddocument risicomanagementproces (docx) gebruiken. Leg hierin vast voor welke risicomanagementmethodiek wordt gekozen.
3. Informeer medewerkers over hun verantwoordelijkheden
Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het beleid en de procesbeschrijving.
4. Train medewerkers
Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.
5. Inventariseer risico’s en vul het risicoregister in
Organiseer sessies om risico’s in de organisatie te inventariseren en te analyseren. Vul vervolgens het risicoregister in. Je kunt hiervoor het voorbeelddocument risicoregister (xls) gebruiken.
6. Neem maatregelen
Naar aanleiding van je risico-inventarisatie, bepaal je welke risico’s je accepteert en voor welke je maatregelen neemt om ze te vermijden of de gevolgen ervan te beperken (mitigeren).
7. Monitor de voortgang
Monitor de voortgang van de maatregelen die je neemt en rapporteer dit periodiek aan de risico-eigenaren en het bestuur.