Norm OR.01 Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid
Waarom is dit nodig?
Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid zorgen voor een effectieve besluitvorming en een betrouwbaar management van informatiebeveiliging. Iedereen weet wat er van hem of haar wordt verwacht en wat ieders taak is bij het creëren en in stand houden van een veilige omgeving. Ook kan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. op deze manier belangen goed afwegen bij keuzes over informatiebeveiliging.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Eigenaarschap, rollen en verantwoordelijkheden zijn niet toegewezen.
- Er zijn enkele rollen te onderscheiden die informeel worden uitgevoerd.
2 Herhaalbaar
- Rollen die cruciaal zijn voor het managen van informatierisico’s zijn benoemd en toegewezen, inclusief specifieke verantwoordelijkheid en aansprakelijkheid voor informatiebeveiliging, fysieke veiligheid en het voldoen aan wet- en regelgeving.
3 Bepaald (streefniveau)
- Alle rollen op het gebied van het managen van informatierisico’s zijn vastgesteld en toegewezen.
- Op organisatieniveau zijn de verantwoordelijkheid en aansprakelijkheid voor risico- en informatiebeveiligingsmanagement vastgesteld. Hierin worden organisatiebrede kwesties behandeld. Er is een intentieverklaring van het schoolbestuur die stelt dat de schoolleiding de doelen en uitgangspunten van informatiebeveiliging en informatierisicobeheer ondersteunt en dat ze overeenstemming zijn met de strategie en organisatiedoelstellingen
4 Beheerst
Aanvullend op niveau 3:
- Eigenaarschap, verantwoordelijkheid en aansprakelijkheid voor it-gerelateerde risico’s zijn in de organisatie ingebed in het juiste managementniveau.
- Bijkomende verantwoordelijkheden voor informatiebeveiligingsmanagement kunnen op een systeemspecifiek niveau worden toegewezen.
- Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid worden periodiek geëvalueerd.
5 Continue verbeteren
Aanvullend op niveau 3 en 4:
- Het schoolbestuur of de schoolleiding bepaalt formeel de risicobereidheid voor informatierisico’s en de acceptatie van restrisico’s.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Neem rollen, verantwoordelijkheden, eigenaarschap en een governancestructuur voor informatiebeveiliging op in het IBP-beleid.
- Maak een intentieverklaring voor in het IBP-beleid. Beschrijf hierin hoe het IBP-beleid bijdraagt aan de organisatiedoelen en op welke manier het in lijn is met de strategie. Het template IBP-beleid bevat een voorbeeld van een intentieverklaring.
Hulpmiddelen
Gerelateerde wetten en normen
Norm OR.01 Eigenaarschap, rollen, verantwoording en verantwoordelijkheid is gerelateerd aan ISO-standaard 27001/2:2022 en privacynormen.
ISO 27001/2:2022
- 5.3
- A5.2
- A5.4