Home » Informatiebeveiliging » Domein 3: Risicomanagement » Norm RM.03

Norm RM.03 Plan voor behandeling en beperking van risico’s

Beheersactiviteiten worden op alle niveaus geprioriteerd en gepland om de benodigde mitigerende maatregelen te implementeren, inclusief het bepalen van kosten en baten en de verantwoordelijkheid voor de uitvoering. Goedkeuring wordt verkregen voor aanbevolen acties en er wordt voor gezorgd dat uitgevoerde acties onder verantwoordelijkheid van betrokken proceseigenaar(s) vallen. De uitvoering van plannen wordt bewaakt en eventuele afwijkingen worden gerapporteerd aan het schoolbestuur of de schoolleiding.

Waarom is het nodig?

Met beheersactiviteiten verklein je de kans en impact van risico’s. Als je risico’s prioriteert en maatregelen doorvoert die risico’s beperken, verminder je hoge kosten en andere negatieve gevolgen.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen plan voor het aanpakken of mitigeren van risico’s.
Als een risico wordt geïdentificeerd, worden de risicobeperkende maatregelen inconsistent toegepast, afhankelijk van individuele competenties.

2 Herhaalbaar

Plannen voor het aanpakken en mitigeren van risico’s zijn gemaakt, maar niet formeel vastgelegd.
Risicobeperkende maatregelen zijn onvolledig en niet geformaliseerd/goedgekeurd, en eigenaarschap is slechts gedeeltelijk toegewezen aan risicomaatregelen of geaccepteerde risico’s.

3 Bepaald (streefniveau)

Er is een proces ingevoerd om risico’s en maatregelen formeel vast te leggen en op te nemen in een risicoregister.
Overgebleven risico’s en maatregelen zijn geïdentificeerd, geanalyseerd en gedocumenteerd in een risicoregister of -actieplan.
De geïdentificeerde maatregelen of acceptatie van overgebleven risico’s zijn gedocumenteerd, goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding en toegewezen aan een (risico)eigenaar.
De voortgang van implementatie van risicobeperkende maatregelen en eventuele afwijkingen worden gemonitord.
Het risicoregister wordt onderhouden en aangepast indien nodig. Het schoolbestuur of de schoolleiding is eigenaar van het risicoregister.

4 Beheerst

Aanvullend op niveau 3:

Indien van toepassing wordt de prioritering van risicobeperkende maatregelen en argumenten voor risicoacceptatie heroverwogen.
Geïdentificeerde risicoreacties geven ook inzicht in de kosten en baten daarvan, inclusief bewaking van het budget.
De operationele effectiviteit van het risicomanagementproces wordt regelmatig geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Het documenteren, analyseren, bewaken en rapporteren van risicomanagementdata gebeurt (grotendeels) geautomatiseerd.
Strategieën voor het mitigeren van risico’s worden voortdurend door het schoolbestuur of de schoolleiding geëvalueerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Leg de geconstateerde risico’s uit de risicoanalyses vast in een register en benoem hierbij de risico-eigenaar.
Beschrijf per risico welke maatregelen worden genomen en wat het restrisico is. Het schoolbestuur of de schoolleiding geeft goedkeuring voor het al dan niet nemen van de maatregelen. Koppel aan elke maatregel een actiehouder die verantwoordelijk is voor de implementatie ervan.
Monitor het doorvoeren van de maatregelen en stuur waar nodig bij.

Gerelateerde wetten en normen

Norm RM.03 Plan voor behandeling en beperking van risico’s is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.

ISO 27001/2:2022

6.1.3

Privacynormen

BL.03 Risico’s verwerking persoonsgegevens

Afdrukken