Home » Informatiebeveiliging » Domein 3: Risicomanagement » Norm RM.01

Norm RM.01 Raamwerk voor informatierisicomanagement

Er is een raamwerk voor informatierisicomanagement opgesteld dat is afgestemd op de doelstellingen van de organisatie en het raamwerk voor organisatierisicomanagement.

Waarom is dit nodig?

Het raamwerkEen raamwerk is een structuur die als basis kan dienen om binnen een organisatie op een eenduidige manier te werken. Bijvoorbeeld als het gaat om risicomanagement. als basis voor het risicomanagementproces voor informatierisicomanagementHet beheersen van risico’s voor informatie, systemen, applicaties en processen langs de lijnen van de betrouwbaarheidskenmerken voor informatiebeveiliging (beschikbaarheid, vertrouwelijkheid en integriteit). Met andere woorden: het gaat hier om risicomanagement binnen het informatiebeveiligingsdomein. helpt je om analyses goed uit te voeren, risico’s te interpreteren en beheersmaatregelen op te stellen. Een gedegen risicomanagementproces zorgt ervoor dat risico’s geen onverwachte verstoring veroorzaken. Door de verantwoordelijkheden voor de verschillende stappen in het proces helder vast te leggen en de aanpak scherp te hebben, krijgt de organisatie grip op eventuele verstoringen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Informatierisico’s zijn niet of worden ad hoc bepaald.
Er is geen raamwerk voor informatierisicomanagement en geen informatierisicomanagementproces.

2 Herhaalbaar

(Informatie)risicomanagementbeleid en een informatierisicomanagementproces zijn opgesteld; meestal op een hoog abstractieniveau en worden alleen toegepast bij grote projecten of als reactie op problemen.
Er is een beknopt raamwerk voor informatierisicomanagement en de risicobereidheid is op een hoog niveau bepaald. Raamwerk en risicobereidheid zijn in beperkte mate in lijn met de organisatiedoelstellingen en bedrijfsrisico’s.

3 Bepaald (streefniveau)

Er is organisatiebreed (informatie)risicomanagementbeleid dat is vastgesteld door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
Het beleid en de procesbeschrijving geven aan hoe om te gaan met de essentiële elementen van risicomanagement (risicobereidheid/risicoprofiel, eigenaarschap, risicoproces, bepalen, mitigeren en accepteren).
Het kader voor informatierisico’s is in lijn met het kader voor organisatiebreed risicomanagement en omvat componenten als strategie, programma’s, projecten en uitvoering.
Classificatie van informatierisico’s gebeurt op basis van een set van algemeen geldende karakteristieken vanuit het organisatiebrede raamwerk voor risicomanagement en getroffen maatregelen voor informatierisico’s zijn gestandaardiseerd en geprioriteerd, waarbij rekening gehouden wordt met kans, impact en restrisico’s.
Training in het kader van dit risicokader is ingevoerd.

4 Beheerst

Het raamwerk voor informatierisicomanagement en hoe de daaraan verbonden processen in de praktijk functioneren, worden periodiek geëvalueerd.
Periodiek wordt gerapporteerd over (het raamwerk voor) informatierisicomanagement, waardoor het schoolbestuur risico’s kan monitoren en op basis daarvan overwogen besluiten kan nemen over welke risico’s het accepteert.

5 Continu verbeteren

Het raamwerk voor informatierisicomanagement focust ook op efficiëntieaspecten van primaire bedrijfsvoering.
Informatierisicomanagement is volledig geïntegreerd in alle it- en bedrijfsvoering, wordt volledig geaccepteerd en betrekt hierin medewerkers en leveranciersAanbieders van ict- of leermiddelen..
Het raamwerk voor informatierisicomanagement en de daaraan verbonden processen worden voortdurend verbeterd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Zorg ervoor dat risicomanagement onderdeel uitmaakt van het informatiebeveiligingsbeleid. Zie hiervoor ook norm GO.02 Beleid informatiebeveiliging.
Stel een risicomanagementproces op voor de verdere invulling van risicomanagement binnen de kaders van het informatiebeveiligingsbeleid.
Draag als IBP-verantwoordelijkeIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, ict-coördinator, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. bij aan het kennisniveau over risicomanagement van medewerkers en leidinggevenden, bijvoorbeeld door het geven van voorlichting of training.

Gerelateerde wetten en normen

Norm RM.01 Raamwerk voor informatierisicomanagement is gerelateerd aan de ISO-standaard 27001/2:2022, het certificeringsschema ROSA en aan privacynormen.

ISO 27001/2:2022

4.4
6.1.1
6.1.2

Certificeringsschema ROSA

Vertrouwelijkheid/Omgaan met kwetsbaarheden

Privacynormen

BL.03 Risico’s verwerking persoonsgegevens

Afdrukken