Norm RM.02 Risicobeoordeling
Waarom is dit nodig?
Risicobeoordelingen ondersteunen de school om tijdig en juist actieplannen op te stellen en beheersmaatregelen in te voeren. Met een risicobeoordeling breng je de risico’s voor de school in kaart en kijk je in hoeverre deze risico’s impact hebben op de doelstellingen van de school. Alleen als de doelstellingen in het geding zijn, spreken we van een risico. Risico’s worden beoordeeld op hun potentiële impact op die doelstellingen.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Risicoanalyses worden zelden gedaan en zijn afhankelijk van individuen.
- Soms worden risicoanalyses uitgevoerd als onderdeel van een projectplan.
2 Herhaalbaar
- Risicoanalyses worden uitgevoerd als onderdeel van het risicomanagementproces en risico’s worden kwalitatief of kwantitatief geïdentificeerd.
- De kans en/of impact wordt vooral bepaald op basis van algemene criteria, niet volledig in lijn met de organisatiedoelen.
- Risicoanalyses worden (als onderdeel van een project) beknopt gedocumenteerd.
3 Bepaald (streefniveau)
- Dankzij duidelijke en passende instructies vinden risicoanalyses consistent en herhaaldelijk plaats, als onderdeel van het risicomanagementproces.
- De risicoanalysemethode is in lijn met behoeften van de organisatie en identificeert belangrijke risico’s (inclusief kroonjuwelenDe kroonjuwelen van je organisatie zijn de gegevens waarvan het bijzonder schadelijk zou zijn als ze zouden worden gestolen, vernietigd of op een andere manier zouden verdwijnen. Voor scholen gaat het bijvoorbeeld om gegevens van leerlingen. Maar ook gegevens over medewerkers of financiële gegevens kunnen onder de kroonjuwelen worden geschaard.).
- De geïdentificeerde risico’s worden kwalitatief en kwantitatief beoordeeld, gebruikmakend van het risicomanagementproces of good practice-bronnen.
- Afwijkingen ten opzichte van het risicoprofiel worden gerapporteerd aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
4 Beheerst
Aanvullend op niveau 3:
- De correlatie tussen de geïdentificeerde risico’s wordt geanalyseerd en gedocumenteerd. Zo kunnen de resultaten van de risico of dreigingsanalyse worden opgenomen in de overkoepelende risk heat map.
- De risicoanalysemethodiek wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De risicoanalysemethodiek wordt ondersteund door geautomatiseerde tools, workflowprocessing en geïntegreerde dashboards.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een standaard risicoanalyseproces vast waarin het gebruik van een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. template is opgenomen.
- Bespreek de belangrijkste risico’s periodiek met het schoolbestuur of de schoolleiding.
Gerelateerde wetten en normen
Norm RM.02 Risicobeoordeling is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- 4.4
- 6.1.2
- 6.1.3