Norm CH.01 Procedures voor wijzingen
Waarom is dit nodig?
Goede procedures rondom wijzigingen zorgen ervoor dat het beoordelen, autoriseren, testen, implementeren, documenteren en vrijgeven van voorgestelde wijzigingen eenduidig en gestructureerd gebeurt. Dat draagt bij aan de continuïteit en veiligheid van de bedrijfsvoering en het onderwijs. Anders kan het bijvoorbeeld voorkomen dat wijzigingen leiden tot verstoringen in de ict, en dat kan weer leiden tot verstoringen in het onderwijs of de bedrijfsvoering.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen beleid of procedure voor wijzigingsbeheer.
- (Verzoeken voor) wijzigingen worden niet op een gestandaardiseerde of consistente manier behandeld.
- Er zijn geen rollen en verantwoordelijkheden vastgesteld.
- Wijzigen worden niet formeel goedgekeurd.
- Wijzigingen worden niet of gebrekkig gedocumenteerd.
2 Herhaalbaar
- Er is beleid voor wijzigingsbeheer om kritische wijzigingen aan te pakken.
- Er is een wijzigingsbeheerprocedure die meestal wordt uitgevoerd bij een wijziging.
- Rollen en verantwoordelijkheden zijn gedeeltelijk vastgesteld.
- Het proces is informeel en er kunnen ongeautoriseerde wijzigingen doorgevoerd worden.
- Er is versiebeheer ingevoerd voor essentiële systeemparameters
3 Bepaald (streefniveau)
- Het beleid voor wijzigingsbeheer en de werkwijzen zijn gedocumenteerd, gestandaardiseerd en gecommuniceerd.
- Er is een formeel wijzigingsbeheerproces voor het wijzigen van applicaties, procedures, processen, systemen en diensten, en de onderliggende platformen en infrastructuren.
- Het proces omvat alle componenten van overzetten naar productie, inclusief autorisatie, impactanalyse, release van het management, bijhouden van wijzigingen en rollbackprocedures.
- Rollen en verantwoordelijkheden zijn vastgesteld en toegewezen. (Verzoeken voor) wijzigingen worden op een gestandaardiseerde manier behandeld.
- Wijzigingen worden gedocumenteerd. Documentatie is correct en actueel.
- Er is, of wordt een systeem voor versiebeheer ingevoerd.
4 Beheerst
Aanvullend op niveau 3:
- Het beleid voor wijzigingsbeheer is volledig opgenomen in de organisatie en wordt consequent toegepast voor alle wijzigingen.
- De kwaliteit en effectiviteit van het wijzigingsbeheerproces wordt periodiek geëvalueerd.
- Er wordt aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding gerapporteerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het beleid voor wijzigingsbeheer wordt regelmatig geëvalueerd en herzien.
- Rollen en verantwoordelijkheden worden voortdurend geëvalueerd.
- Uitzonderingen worden geanalyseerd en onderzocht.
- Tekortkomingen en trends worden regelmatig aan het management gerapporteerd. Op basis hiervan worden verbeterplannen gemaakt.
- De eisen aan rapportage worden regelmatig geëvalueerd en herzien.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure op voor changemanagementHet beheerst doorvoeren van wijzigingen in it.. Zorg dat hierin de processtappen, de rollen en verantwoordelijkheden, impactbeoordelingen, noodprocedures, testplannen en de promotie naar productie zijn benoemd.
- Stel de changemanagementprocedure vast.
- Bewaar de documentatie rondom wijzigingen, zodat herleidbaar is welk proces gevolgd is.
Hulpmiddelen
Gerelateerde wetten en normen
Norm CH.01 Procedures voor wijzingen is gerelateerd aan de ISO-standaard 27001/2:2022.
ISO 27001/2:2022
- 8.1
- A8.32