Home » Informatiebeveiliging » Domein 7: Changemanagement » Norm CH.02

Norm CH.02 Impactassessment, prioriteren en autoriseren

Alle wijzigingsverzoeken worden op een gestructureerde manier beoordeeld om de impact te bepalen voor operationele systemen en functionaliteit. Alle wijzigingen zijn gecategoriseerd, geprioriteerd en geautoriseerd.

Waarom is dit nodig?

Met een structurele aanpak voor het beoordelen van wijzigingsverzoeken en hun mogelijke impact, verminder je het risico op verstoring, ongeoorloofde wijziging of verlies van (vertrouwelijke) data.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er is geen procedure voor assessment, prioritering en autorisatie van wijzigingen.
Rollen en verantwoordelijkheden zijn niet vastgesteld.
Impact assessments voor wijzigingsverzoeken worden op ad-hocbasis uitgevoerd en er kunnen ongeautoriseerde wijzigingen plaatsvinden.
Het proces voor categoriseren en prioriteren van wijzigingen is niet gestandaardiseerd.

2 Herhaalbaar

Er wordt een analyse gedaan van de impact van it-wijzigingen.
Criteria voor de analyse zijn in ontwikkeling.
Er is een informeel proces voor categoriseren, prioriteren en autoriseren van wijzigingen.
Rollen en verantwoordelijkheden zijn gedeeltelijk vastgesteld.
Bij het goedkeuringsproces worden vooral de proceseigenaren betrokken.

3 Bepaald (streefniveau)

Er is een formele procedure voor categoriseren, prioriteren en autoriseren van wijzigingen en deze is gecommuniceerd.
Voorafgaand aan de wijziging wordt een impactassessment uitgevoerd. Implicaties op het gebied van (cyber)veiligheid, juridische zaken, contracten en wet- en regelgeving worden in dit proces meegenomen.
Er is een formele procedure voor het autoriseren van wijzigingen.
Elk wijzigingsverzoek wordt formeel goedgekeurd door de proceseigenaar en de stakeholders.
Prioritering en categorisering zijn gebaseerd op vooraf vastgestelde criteria.

4 Beheerst

Aanvullend op niveau 3:

De procedure voor assessment, categorisering, prioritering en autorisatie van wijzigingen wordt consistent uitgevoerd.
Alle wijzigingen worden gedegen gepland en beoordeeld op impact om de kans op post-productie problemen te minimaliseren.
Het aantal verstoringen en datafouten ten gevolge van verkeerde specificaties en/of incomplete impact assessment is beperkt tot een minimum.
De operationele effectiviteit van de procedures wordt periodiek geëvalueerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De assessmentprocedure wordt regelmatig geëvalueerd en geactualiseerd.
De prestatie-indicatoren worden regelmatig geëvalueerd.
Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. ontvangt regelmatig rapportages die als input kunnen dienen voor verbeterplannen.
Rapportage-eisen worden regelmatig geëvalueerd en geactualiseerd.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een procedure op voor changemanagementHet beheerst doorvoeren van wijzigingen in it.. Zorg dat hierin de processtappen, de rollen en verantwoordelijkheden, impactbeoordelingen, noodprocedures, testplannen en de promotie naar productie zijn benoemd.
Stel de changemanagementprocedure vast. Bewaar de documentatie rondom wijzigingen, zodat herleidbaar is welk proces is gevolgd.

Hulpmiddelen

Inrichten van changemanagement (Aanpak IBP)

Gerelateerde wetten en normen

Norm CH.02 Impactassessment, prioriteren en autoriseren is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

8.1
A8.32

Afdrukken