Norm RM.01 Raamwerk voor informatierisicomanagement

Er is een raamwerk voor informatierisicomanagement opgesteld dat is afgestemd op de doelstellingen van de organisatie en het raamwerk voor organisatierisicomanagement.

Waarom is dit nodig?

Het raamwerk als basis voor het risicomanagementproces voor informatierisicomanagement helpt je om analyses goed uit te voeren, risico’s te interpreteren en beheersmaatregelen op te stellen. Een gedegen risicomanagementproces zorgt ervoor dat risico’s geen onverwachte verstoring veroorzaken. Door de verantwoordelijkheden voor de verschillende stappen in het proces helder vast te leggen en de aanpak scherp te hebben, krijgt de organisatie grip op eventuele verstoringen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Informatierisico’s zijn niet of worden ad hoc bepaald.
  • Er is geen raamwerk voor informatierisicomanagement en geen informatierisicomanagementproces.
2 Herhaalbaar
  • (Informatie)risicomanagementbeleid en een informatierisicomanagementproces zijn opgesteld; meestal op een hoog abstractieniveau en worden alleen toegepast bij grote projecten of als reactie op problemen.
  • Er is een beknopt raamwerk voor informatierisicomanagement en de risicobereidheid is op een hoog niveau bepaald. Raamwerk en risicobereidheid zijn in beperkte mate in lijn met de organisatiedoelstellingen en bedrijfsrisico’s.
3 Bepaald (streefniveau)
  • Er is organisatiebreed (informatie)risicomanagementbeleid dat is vastgesteld door het schoolbestuur of de schoolleiding.
  • Het beleid en de procesbeschrijving geven aan hoe om te gaan met de essentiële elementen van risicomanagement (risicobereidheid/risicoprofiel, eigenaarschap, risicoproces, bepalen, mitigeren en accepteren).
  • Het kader voor informatierisico’s is in lijn met het kader voor organisatiebreed risicomanagement en omvat componenten als strategie, programma’s, projecten en uitvoering.
  • Classificatie van informatierisico’s gebeurt op basis van een set van algemeen geldende karakteristieken vanuit het organisatiebrede raamwerk voor risicomanagement en getroffen maatregelen voor informatierisico’s zijn gestandaardiseerd en geprioriteerd, waarbij rekening gehouden wordt met kans, impact en restrisico’s.
  • Training in het kader van dit risicokader is ingevoerd.
4 Beheerst
  • Het raamwerk voor informatierisicomanagement en hoe de daaraan verbonden processen in de praktijk functioneren, worden periodiek geëvalueerd.
  • Periodiek wordt gerapporteerd over (het raamwerk voor) informatierisicomanagement, waardoor het schoolbestuur risico’s kan monitoren en op basis daarvan overwogen besluiten kan nemen over welke risico’s het accepteert.
5 Continu verbeteren
  • Het raamwerk voor informatierisicomanagement focust ook op efficiëntieaspecten van primaire bedrijfsvoering.
  • Informatierisicomanagement is volledig geïntegreerd in alle it- en bedrijfsvoering, wordt volledig geaccepteerd en betrekt hierin medewerkers en leveranciers.
  • Het raamwerk voor informatierisicomanagement en de daaraan verbonden processen worden voortdurend verbeterd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Zorg ervoor dat risicomanagement onderdeel uitmaakt van het informatiebeveiligingsbeleid. Zie hiervoor ook norm GO.02 Beleid informatiebeveiliging.
  • Stel een risicomanagementproces op voor de verdere invulling van risicomanagement binnen de kaders van het informatiebeveiligingsbeleid.
  • Draag als IBP-verantwoordelijke bij aan het kennisniveau over risicomanagement van medewerkers en leidinggevenden, bijvoorbeeld door het geven van voorlichting of training.

Gerelateerde wetten en normen

Norm RM.01 Raamwerk voor informatierisicomanagement is gerelateerd aan de ISO-standaard 27001/2:2022, het certificeringsschema ROSA en aan privacynormen.

ISO 27001/2:2022

  • 4.4
  • 6.1.1
  • 6.1.2

Certificeringsschema ROSA

  • Vertrouwelijkheid/Omgaan met kwetsbaarheden

Privacynormen

Afdrukken

Op deze pagina