Norm IM.04 Problemmanagement
Waarom is dit nodig?
ProblemmanagementHet beheren van een reeks incidenten met onbekende hoofdoorzaak. draagt bij aan het verminderen van (beveiligings)incidenten, zowel in aantal als in impact ervan. Als je bij incidenten niet alleen kijkt naar een snelle oplossing, maar ook naar het achterliggende probleem, verklein je de kans dat soortgelijke incidenten zich herhalen.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid voor problemmanagement.
- Er zijn geen rollen en verantwoordelijkheden voor problemmanagement vastgesteld.
- Er zijn geen procedures om oorzaak en gevolg van incidenten te identificeren.
- Problemen zullen waarschijnlijk niet gedetecteerd worden.
2 Herhaalbaar
- Er is een informeel proces voor problemmanagement.
- Enkele deskundige medewerkers kunnen helpen met problemen die hun expertise betreffen, maar de verantwoordelijkheid voor problemmanagement is niet toegewezen.
- De registratie en documentatie van problemen en de bijbehorende oplossingen zijn gebrekkig en inconsistent binnen de responseteams.
3 Bepaald (streefniveau)
- Er is formeel beleid voor problemmanagement en dit is gecommuniceerd.
- Er zijn procedures om de oorzaak van problemen te identificeren.
- De rollen en verantwoordelijkheden van de organisatie en leveranciersAanbieders van ict- of leermiddelen. zijn duidelijk vastgesteld.
- Er is een formele plek in de organisatie waar problemen geregistreerd, gecommuniceerd, geanalyseerd en toegewezen worden aan verantwoordelijken.
- Problemen worden geprioriteerd en toegewezen aan responsteams volgens beleid.
- Informatie wordt proactief en op formele wijze gedeeld binnen responsteams.
- De managementanalyse van probleemidentificatie en -oplossing is beperkt en informeel.
- Bekende fouten worden geregistreerd en beheerst tot ze zijn opgelost.
4 Beheerst
Aanvullend op niveau 3:
- Problemen worden proactief geanalyseerd om oorzaken op te sporen.
- Externe bronnen (zoals leveranciers, gebruikersgroepen, conferenties) worden systematisch geraadpleegd om proactief problemen op te sporen.
- Voortgang van probleemdiagnose en -oplossing wordt bewaakt en structurele fouten worden geminimaliseerd.
- De meeste problemen worden geïdentificeerd, geregistreerd en gerapporteerd, en maatregelen worden genomen.
- Problemmanagement wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er worden tools gebruikt voor het documenteren, rapporteren en analyseren van problemen en oplossingen.
- Problemmanagement is geïntegreerd in configuratie- en changemanagementHet beheerst doorvoeren van wijzigingen in it..
- De meeste systemen beschikken over automatische detectie- en waarschuwingssystemen, die voortdurend gemonitord en beoordeeld worden.
- Problemmanagement wordt geanalyseerd met het oog op voortdurende verbetering.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een problemmanagementbeleid op. Je kunt hiervoor gebruikmaken van de pagina Inrichten van problemmanagement op de Aanpak IBP, het template Problemmanagementbeleid en het Problemmanagementproces, waarin de processtappen, de rollen en verantwoordelijkheden en de communicatielijnen zijn benoemd.
- Stel het problemmanagementbeleid vast.
- Neem problemen mee in de incidentenregistratie. Zie hiervoor norm IM.01 Incidentmanagement. Gebruik hier bijvoorbeeld het Problemregister voor.
- Neem problemen mee in de periodieke rapportage aan het management voor de belangrijkste incidenten. Zie voor meer informatie norm IM.01 Incidentmanagement.
Hulpmiddelen
Gerelateerde wetten en normen
Norm IM.04 Problemmanagement is gerelateerd aan de ISO-standaard 27001/2:2022.
ISO 27001/2:2022
- A5.2
- A5.24
- A6.8