Norm GO.03 Planning/roadmap informatiebeveiliging

De doelstellingen, risico’s en compliance-eisen met betrekking tot de informatiebeveiliging van de organisatie worden vertaald in een informatiebeveiligingsplan. Hierbij zijn een planning en roadmap opgesteld om invulling te geven aan de uitvoering van het informatiebeveiligingsbeleid.

Waarom is dit nodig?

Steeds vaker gaat het mis: gegevens komen op straat te liggen of lessen kunnen niet doorgaan. Om de digitale veiligheid op school te waarborgen, heb je een concreet plan nodig. Een informatiebeveiligingsplan beschrijft de manier waarop je informatiebeveiliging in overeenstemming brengt met doelstellingen, risico’s en compliance-eisen van de school. In dit plan beschrijf je hoe jouw school de informatiebeveiliging op orde krijgt en daarmee een digitaal veilige schoolomgeving creëert.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen planning/roadmap informatiebeveiliging opgesteld.
  • Er lopen enkele projecten op het gebied van it-beveiliging of deze zijn gepland.
2 Herhaalbaar
  • Er is een planning/roadmap informatiebeveiliging opgesteld. Dit plan bestrijkt alle relevante organisatiedoelstellingen, risico’s en eisen op het gebied van wet- en regelgeving.
3 Bepaald (streefniveau)
  • De planning/roadmap informatiebeveiliging is vastgesteld door het schoolbestuur.
  • Het plan is uitgewerkt in informatiebeveiligingsbeleid en -procedures, tezamen met passende investeringen op het gebied van diensten, medewerkers, software en hardware.
  • Gerelateerde procedures worden gecommuniceerd naar gebruikers en stakeholders.
4 Beheerst

Aanvullend op niveau 3:

  • De planning/roadmap informatiebeveiliging is ingevoerd en wordt ondersteund door (informatie)beveiligingsbeleid, procedures, diensten, medewerkers, software en hardware.
  • De planning/radmap informatiebeveiliging wordt periodiek geëvalueerd, geactualiseerd en goedgekeurd door het schoolbestuur.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De planning/roadmap informatiebeveiliging en daaraan gerelateerde projectportfolio worden periodiek gemonitord op bijvoorbeeld voortgang, bedreigingen, haalbaarheid en mate waarin aan organisatiedoelstellingen wordt voldaan.
  • Hierover wordt gerapporteerd aan het schoolbestuur.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Stel elk jaar een plan voor informatiebeveiliging op met acties om het informatiebeveiligingsbeleid uit te voeren en/of te verbeteren om te voldoen aan het beleid. Dit plan kan onderdeel zijn van het bestuursbrede jaarplan.
  • Stel als schoolbestuur elk jaar het jaarplan vast en zorg voor de benodigde middelen.
  • Evalueer aan het einde van het jaar de uitvoering van het plan. De punten uit de evaluatie worden waar nodig meegenomen in het volgende jaarplan.

Gerelateerde wetten en normen

Norm GO.03 Planning/roadmap informatiebeveiliging is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

  • 5.2
  • A5.1
  • A5.31
  • A5.32
  • A5.33
  • A5.34
  • A6.3
Afdrukken

Op deze pagina