Norm RM.03 Plan voor behandeling en beperking van risico’s
Beheersactiviteiten worden op alle niveaus geprioriteerd en gepland om de benodigde mitigerende maatregelen te implementeren, inclusief het bepalen van kosten en baten en de verantwoordelijkheid voor de uitvoering. Goedkeuring wordt verkregen voor aanbevolen acties en er wordt voor gezorgd dat uitgevoerde acties onder verantwoordelijkheid van betrokken proceseigenaar(s) vallen. De uitvoering van plannen wordt bewaakt en eventuele afwijkingen worden gerapporteerd aan het schoolbestuur of de schoolleiding.
Waarom is het nodig?
Met beheersactiviteiten verklein je de kans en impact van risico’s. Als je risico’s prioriteert en maatregelen doorvoert die risico’s beperken, verminder je hoge kosten en andere negatieve gevolgen.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen plan voor het aanpakken of mitigeren van risico’s.
- Als een risico wordt geïdentificeerd, worden de risicobeperkende maatregelen inconsistent toegepast, afhankelijk van individuele competenties.
2 Herhaalbaar
- Plannen voor het aanpakken en mitigeren van risico’s zijn gemaakt, maar niet formeel vastgelegd.
- Risicobeperkende maatregelen zijn onvolledig en niet geformaliseerd/goedgekeurd, en eigenaarschap is slechts gedeeltelijk toegewezen aan risicomaatregelen of geaccepteerde risico’s.
3 Bepaald (streefniveau)
- Er is een proces ingevoerd om risico’s en maatregelen formeel vast te leggen en op te nemen in een risicoregister.
- Overgebleven risico’s en maatregelen zijn geïdentificeerd, geanalyseerd en gedocumenteerd in een risicoregister of -actieplan.
- De geïdentificeerde maatregelen of acceptatie van overgebleven risico’s zijn gedocumenteerd, goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding en toegewezen aan een (risico)eigenaar.
- De voortgang van implementatie van risicobeperkende maatregelen en eventuele afwijkingen worden gemonitord.
- Het risicoregister wordt onderhouden en aangepast indien nodig. Het schoolbestuur of de schoolleiding is eigenaar van het risicoregister.
4 Beheerst
Aanvullend op niveau 3:
- Indien van toepassing wordt de prioritering van risicobeperkende maatregelen en argumenten voor risicoacceptatie heroverwogen.
- Geïdentificeerde risicoreacties geven ook inzicht in de kosten en baten daarvan, inclusief bewaking van het budget.
- De operationele effectiviteit van het risicomanagementproces wordt regelmatig geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het documenteren, analyseren, bewaken en rapporteren van risicomanagementdata gebeurt (grotendeels) geautomatiseerd.
- Strategieën voor het mitigeren van risico’s worden voortdurend door het schoolbestuur of de schoolleiding geëvalueerd.
Voorbeelddocument
Gerelateerde wetten en normen
Norm RM.03 Plan voor behandeling en beperking van risico’s is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- 6.1.3