Norm DM.01 Data- en systeemeigenaarschap
De organisatie beschikt over procedures en hulpmiddelen om de verantwoordelijkheid voor en eigenaarschap van informatie en informatiesystemen aan te wijzen. Eigenaren beslissen over het classificeren van informatie en informatiesystemen en beschermen ze in overeenstemming met deze classificatie.
Waarom is dit nodig?
Eigenaarschap bevordert de effectieve besluitvorming, de bescherming van gegevens en informatiesystemen en de controle over gegevensbeheer.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen formeel beleid voor data-eigenaarschap.
- (Informatie)systeemeigenaarschap wordt niet of informeel aangepakt.
- Er zijn geen rollen en verantwoordelijkheden voor data-eigenaarschap toegewezen.
2 Herhaalbaar
- Er is beleid voor (informatie)systeem- en data-eigenaarschap.
- Het beleid geeft een duidelijke omschrijving van rollen, verantwoordelijkheden en eigenaarschap.
- Niet voor alle data en (informatie)systemen zijn verantwoordelijkheden toegewezen.
3 Bepaald (streefniveau)
- Het goedgekeurde beleid geeft een duidelijke omschrijving van rollen, verantwoordelijkheden en eigenaarschap.
- Beleid en procedures ondersteunen de bescherming van informatiemiddelen, maken efficiënte levering en gebruik van applicaties mogelijk en zorgen voor effectieve besluitvorming over (informatie)beveiliging.
- Beleid en procedures worden naar de hele organisatie gecommuniceerd en toegepast op bedrijfskritische data en informatiesystemen.
4 Beheerst
Aanvullend op niveau 3:
- Beleid en procedures zijn ingevoerd in de organisatie en worden toegepast op alle applicatiesystemen, enterprisearchitectuur, interne en externe datacommunicatie.
- Eigenaarschap van belangrijke data (en systemen) wordt periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het voldoen aan het datamanagementbeleid wordt periodiek aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding gerapporteerd.
- Het beleid wordt jaarlijks geëvalueerd, geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Zorg ervoor dat data- en systeemeigenaarschap onderdeel uitmaken van het informatiebeveiligingsbeleid. Maak je gebruik van het template IBP-beleid uit de norm GO.02 Beleid informatiebeveiliging? Dan geef je invulling aan de eisen die gesteld worden aan het beleid in volwassenheidsniveau 3. Geef invulling aan dataclassificatieHet labelen van informatie op basis van kenmerken van de informatie naar een standaardindeling, zodat bepaald kan worden welk beschermingsniveau van toepassing is en welke beheersmaatregelen toegepast dienen te worden. op basis van het certificeringsschema IBP ROSA.
Hulpmiddelen
Gerelateerde wetten en normen
Norm DM.01 Data- en systeemeigenaarschap is gerelateerd aan ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- A5.2
- A5.9
- A5.10
- A5.12
- A5.13