Home » Informatiebeveiliging » Domein 1: Bestuur » Norm GO.02

Norm GO.02 Beleid informatiebeveiliging

De organisatie heeft een informatiebeveiligingsbeleid beschreven, vastgesteld en gecommuniceerd naar de medewerkers. Indien van toepassing wordt het beleid actief meegedeeld aan leveranciers. Het beleid wordt regelmatig geëvalueerd en zo nodig geactualiseerd en goedgekeurd door het schoolbestuur.

Waarom is dit nodig?

Met een beleid zorgt het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. voor vastgestelde richtlijnen om te voldoen aan de wet- en regelgeving en interne informatiebeveiligingseisen. Door dit actief te communiceren naar medewerkers en leveranciersAanbieders van ict- of leermiddelen., weet iedereen binnen welke kaders zij moeten handelen. Hierdoor ontstaat een veilige digitale omgeving voor leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. en medewerkers van je school.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen beleid opgesteld.
Er zijn enkele beleidsstukken in concept.

2 Herhaalbaar

Er is informatiebeveiligingsbeleid waarin de meest relevante aspecten van informatiebeveiliging zijn opgenomen.

3 Bepaald (streefniveau)

Informatiebeveiligingsbeleid is vastgesteld door het schoolbestuur.
Beleid wordt actief gecommuniceerd naar medewerkers, leveranciers en contractpartners en is digitaal (op intranet) of in hardcopy beschikbaar.
Het beleid maakt onderdeel uit van het bewustwordingsprogramma.
Er wordt geëvalueerd of en hoe het beleid wordt uitgevoerd.

4 Beheerst

Aanvullend op niveau 3

Het informatiebeveiligingsbeleid is ingebed in/overgenomen door de organisatie en is vertaald naar onderliggende procedures, baselines en instructies.
Periodiek wordt het beleid geëvalueerd, geactualiseerd en opnieuw goedgekeurd door het schoolbestuur.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Periodiek wordt aan het schoolbestuur gerapporteerd of aan het informatiebeveiligingsbeleid wordt voldaan

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een informatiebeveiligingsbeleid op dat voldoet aan de eisen in de Toelichting op het template IBP-beleidsplan. Maak hiervoor gebruik van het template IBP-beleid.
Stel het informatiebeveiligingsbeleid vast door een handtekening op het document te zetten of via de notulen van een bestuursvergadering.
Controleer ten minste eens per twee jaar of er wijzigingen nodig zijn in het informatiebeveiligingsbeleid. Leg de controle vast in het document met eventuele wijzigingen die zijn doorgevoerd.
Bespreek het beleid ten minste een keer per jaar op elke school die onder het schoolbestuur valt.
Plaats het beleid op het intranet.
Informeer elke medewerker tijdens de inwerkperiode over het informatiebeveiligingsbeleid.
Neem het informatiebeveiligingsbeleid waar nodig en relevant mee in de eisen bij aanbesteding van dienstverlening.

Hulpmiddelen

Gerelateerde wetten en normen

Norm GO.02 Beleid informatiebeveiliging is gerelateerd aan de standaard ISO-standaard 27001/2:2022 en aan privacynormen.

ISO 27001/2:2022

5.2
A5.1
A6.3

Privacynormen

BL.01 Beleid informatiebeveiliging

Afdrukken