Norm DM.01 Data- en systeemeigenaarschap
De organisatie beschikt over procedures en hulpmiddelen om de verantwoordelijkheid voor en eigenaarschap van informatie en informatiesystemen aan te wijzen. Eigenaren beslissen over het classificeren van informatie en informatiesystemen en beschermen ze in overeenstemming met deze classificatie.
Waarom is dit nodig?
Eigenaarschap bevordert de effectieve besluitvorming, de bescherming van gegevens en informatiesystemen en de controle over gegevensbeheer.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen formeel beleid voor data-eigenaarschap.
- (Informatie)systeemeigenaarschap wordt niet of informeel aangepakt.
- Er zijn geen rollen en verantwoordelijkheden voor data-eigenaarschap toegewezen.
2 Herhaalbaar
- Er is beleid voor (informatie)systeem- en data-eigenaarschap.
- Het beleid geeft een duidelijke omschrijving van rollen, verantwoordelijkheden en eigenaarschap.
- Niet voor alle data en (informatie)systemen zijn verantwoordelijkheden toegewezen.
3 Bepaald (streefniveau)
- Het goedgekeurde beleid geeft een duidelijke omschrijving van rollen, verantwoordelijkheden en eigenaarschap.
- Beleid en procedures ondersteunen de bescherming van informatiemiddelen, maken efficiënte levering en gebruik van applicaties mogelijk en zorgen voor effectieve besluitvorming over (informatie)beveiliging.
- Beleid en procedures worden naar de hele organisatie gecommuniceerd en toegepast op bedrijfskritische data en informatiesystemen.
4 Beheerst
Aanvullend op niveau 3:
- Beleid en procedures zijn ingevoerd in de organisatie en worden toegepast op alle applicatiesystemen, enterprisearchitectuur, interne en externe datacommunicatie.
- Eigenaarschap van belangrijke data (en systemen) wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het voldoen aan het datamanagementbeleid wordt periodiek aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding gerapporteerd.
- Het beleid wordt jaarlijks geëvalueerd, geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm DM.01 Data- en systeemeigenaarschap is gerelateerd aan ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- A5.2
- A5.9
- A5.10
- A5.12
- A5.13