Handleiding Risico management

Vergelijkbare documenten
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Handleiding Risico management

Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo

Positionering informatiebeveiliging en privacy (enquête)

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Taskforce Informatiebeveiligingsbeleid.

Verantwoordingsdocument Informatiebeveiliging (IB) en Privacy in het MBO

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Competenties Informatiebeveiliging en Privacy

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Competenties Informatiebeveiliging en Privacy

Informatiebeveiliging: Hoe voorkomen we issues?

Risk & Compliance Charter Clavis Family Office B.V.

Informatiebeveiliging en Privacy; beleid CHD

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Energie Management Programma. InTraffic

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Informatiebeveiliging als proces

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Strategisch Risicomanagement

Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?

Cloud computing Helena Verhagen & Gert-Jan Kroese

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Compliance Charter. a.s.r

CERTIFICERING NEN 7510

Compliance Charter. Pensioenfonds NIBC

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Beleid Informatiebeveiliging InfinitCare

Stichting Achmea Algemeen Pensioenfonds

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014

Informatiebeveiligingsbeleid

MBO roadmap informatiebeveiligingsbeleid. privacy beleid

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Competenties informatiebeveiliging en privacy

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid

Nota Risicomanagement en weerstandsvermogen BghU 2018

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

IT Beleid Bijlage R bij ABTN

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Aan welke eisen moet het beveiligingsplan voldoen?

Informatiebeveiligingsbeleid

Compliancestatuut 2018

Interne audits, het rendement

Informatiebeveiligingsbeleid Zorgbalans

Doen of laten? Een dag zonder risico s is een dag niet geleefd

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Beveiligingsbeleid Stichting Kennisnet

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Energiemanagement Actieplan

Model Informatiebeveiligingsbeleid. voor de MBO sector op basis van ISO27001 en ISO27002 IBPDOC6

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

REGLEMENT RISK- EN AUDITCOMMISSIE N.V. NEDERLANDSE SPOORWEGEN

Concept NBA-handreiking Publicatie kwaliteitsfactoren 17 april 2015

Introductie OHSAS 18001

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Montae kennissessie 4 juli Rob Kragten

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Handleiding uitvoering ICT-beveiligingsassessment

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Informatiebeveiligingsbeleid

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Risicomanagement en NARIS gemeente Amsterdam

Checklist Beveiliging Persoonsgegevens

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Functieprofiel Functionaris Gegevensbescherming

Aantoonbaar in control op informatiebeveiliging

Generieke systeemeisen

1. FORMAT PLAN VAN AANPAK

MBO roadmap informatiebeveiligingsbeleid. privacy beleid

CYBERDREIGINGSBEELD 2015

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

AVG Routeplanner voor woningcorporaties

Nota Risicomanagement en Weerstandsvermogen

Actieplan Informatiebeveiligingsbeleid mbo

Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij

Informatiebeveiligingsbeleid

Transcriptie:

Handleiding Risico management IBPDOC29

Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit document geeft een handleiding voor de inrichting en uitvoering van risico management binnen de MBO Sector en handreiking voor de beoordeling van IT risico s. Het document is gemaakt in navolging op de 5 daagse MBO masterclasses. In dit document wordt allereerst ingegaan op de inrichting van de Governance omtrent risico management in het algemeen. Vervolgens wordt de uitvoering van de risico en controle cyclus verder toegelicht. In het laatste hoofdstuk wordt een aanzet gegeven tot het beoordelen van de IT risico s binnen de MBO sector. Auteurs Maurits Toet (Cerrix BV) Ludo Cuijpers (Leeuwenborgh) Esther van der Hei (Nimeto Utrecht) Mei 2015 Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC29, versie 0.1 Pagina 2 van 14

Inhoudsopgave Verantwoording... 2 1. Inleiding... Fout! Bladwijzer niet gedefinieerd. 1.1 Gebruik van het normenkader... Fout! Bladwijzer niet gedefinieerd. 1.2 Historie en beheer... Fout! Bladwijzer niet gedefinieerd. 1.3 Verantwoording... Fout! Bladwijzer niet gedefinieerd. 2. Samenstelling Normenkader Informatiebeveiliging MBO... Fout! Bladwijzer niet gedefinieerd. 2.1 ISO 27000 familie... Fout! Bladwijzer niet gedefinieerd. 2.2 Clustering... Fout! Bladwijzer niet gedefinieerd. 2.3 Motivatie keuze maatregelen... Fout! Bladwijzer niet gedefinieerd. 2.4 Volwassenheidsniveau... Fout! Bladwijzer niet gedefinieerd. 2.5 Toetsingskader... Fout! Bladwijzer niet gedefinieerd. 3. Het Normenkader... Fout! Bladwijzer niet gedefinieerd. 3.1 Beleid en organisatie... Fout! Bladwijzer niet gedefinieerd. 3.2 Personeel, studenten en gasten... Fout! Bladwijzer niet gedefinieerd. 3.3 Ruimtes en apparatuur... Fout! Bladwijzer niet gedefinieerd. 3.4 Continuïteit... Fout! Bladwijzer niet gedefinieerd. 3.5 Vertrouwelijkheid en integriteit... Fout! Bladwijzer niet gedefinieerd. 3.6 Controle en Logging... Fout! Bladwijzer niet gedefinieerd. 4. Ten slotte... Fout! Bladwijzer niet gedefinieerd. 4.1 Besluitvorming... Fout! Bladwijzer niet gedefinieerd. 4.2 Beheer van het normenkader informatiebeveiliging... Fout! Bladwijzer niet gedefinieerd. 4.3 Details Normenkader Informatiebeveiliging MBO en Toetsingskader... Fout! Bladwijzer niet gedefinieerd. 4.4 Publicatie... Fout! Bladwijzer niet gedefinieerd. 4.5 Referenties... Fout! Bladwijzer niet gedefinieerd. Bijlage 1: Samenhang ISO 27002 normenkader en HO-normenkader, inclusief nummering. Fout! Bladwijzer niet gedefinieerd. Bijlage 2: Framework MBO... 14 IBPDOC29, versie 0.1 Pagina 3 van 14

1. Governance van risico management. 1.1 Inleiding Voordat het risicomanagement proces adequaat kan worden uitgevoerd dienen eerst het risicobeleid te worden vastgelegd en gecommuniceerd. Het risicomanagement beleid omvat: Uitgangspunten omtrent risicomanagement; De risico appetite van de onderneming; De taken en verantwoordelijkheden omtrent risico management in uw organisatie. Hieronder worden achtereenvolgens de onderwerpen risico appetite en taken en verantwoordelijkheden verder beschreven. De uitgangspunten komen hier niet aan bod omdat deze voor elke organisatie anders kunnen zijn. 1.2 Risico appetite De risico appetite geeft de risicobereidheid van de organisatie weer. Vaak wordt dit uitgedrukt als een bedrag in EUR. Het betreft dan de totale risicoschade die de organisatie bereid is te accepteren. Daarnaast zijn er ook andere risico appetite varianten mogelijk zoals maximaal aantal keer negatief in media of aantal verloren mensenlevens (ziekenhuizen) Daarnaast wordt de risico appetite ook vaak gespecificeerd naar deelgebieden (voorbeeld voor het MBO: IT, bekostiging, examinering). In deze methode worden eerst de deelgebieden geïdentificeerd en wordt vervolgens per deelgebied een risico appetite gedefinieerd. Vervolgens wordt het totaal van de deelgebieden geconsolideerd tot een risico appetite op organisatie niveau. 1.3 Taken en verantwoordelijkheden Voor de inrichting van taken en verantwoordelijkheden rondom risicomanagement wordt vaak gebruik gemaakt van het 3 lines of defense model wat impliceert dat er binnen uw organisatie drie verdedigingslinies ingericht kunnen worden om risico s adequaat te managen. Binnen dit model heeft elke linie zijn eigen specifieke functie. In figuur 1 vindt u hiervan een conceptuele weergave. Toezichthouders Bestuur / directie Eindverantwoordelijk 1st line of defense 2nd line of defense 3rd line of defense Uitvoeren Verantwoordelijk voor managen van risico s. Faciliteren Adviseren Monitoren Rapporteren Controleren Accountant Figuur 1: 3 lines of defense model. IBPDOC29, versie 0.1 Pagina 4 van 14

1.3.1 1st line of defense De eerste verdedigingslinie betreft de operatie van uw organisatie. Dit zijn de werknemers die de dagelijkse operationele en ondersteunende processen binnen uw organisatie uitvoeren. Zij hebben dagelijks met potentiele risico s te maken en zijn dus ook als eerste verantwoordelijk voor het beheersen van de risico s die zich in de werkprocessen kunnen voordoen. Om de eerste lijn bewust te laten worden van deze verantwoordelijkheid speelt allereerst het overbrengen van basiskennis omtrent risicomanagement een rol. Vaak wordt dit gedaan middels training van werknemers door een expert. Met deze basiskennis leert de operatie anders (risicominded en afdelingsoverstijgend) tegen het dagelijks werkproces aan te kijken en wordt zodoende ook het risicobewustzijn van het personeel gestimuleerd. Vervolgens worden er periodiek risicoassessments uitgevoerd (in beginsel op de kernprocessen) door het personeel (eventueel gefaciliteerd door een risk manager) om de (key) risico s en beheersmaatregelen te identificeren en te beoordelen. Ook stelt de operatie Key Risico Indicatoren op die een voorspelling doen over het toekomstige risicoprofiel van uw organisatie. Een voorbeeld van een Key Risico Indicator binnen IT is het aantal prio 1 incidenten opgelost binnen de SLA. Als deze indicator maand op maand stijgt dan geeft dat een indicatie over de risico s en beheersing binnen het proces incident management. Door dit periodiek te doen krijgt uw organisatie goed inzicht in haar risicoprofiel. De operatie is dus primair voor het identificeren, beoordelen en managen van haar risico s In onderstaande tabel vindt u kort samengevat van de taken en verantwoordelijkheden van de eerste lijn: Taken en verantwoordelijkheden 1 ste lijn identificeert en beoordeelt periodiek de risico s en beheersmaatregelen. Voert beheersmaatregelen uit en legt evidence vast ter beoordeling door de risicomanager. Stelt Key Risk Indicators op en Uitvoeren van verbeteracties. 1.3.2 2nd line of defense. De tweede verdedigingslinie is de risico management functie binnen de organisatie. Deze functie staat los van de eerste lijn en is (vaak) onafhankelijk ingericht. Dit wil zeggen dat de risico management functie vaak direct onder het CvB valt en dus niet is gekoppeld aan een operationeel directielid. De risico management functie faciliteert, monitort en adviseert de operatie bij de uitvoering van het risico management en controleproces en heeft primair een signalerende functie richting het CvB en operatie. Tevens rapporteert de risico management periodiek over het risicoprofiel van de organisatie aan de CvB en management. De risico manager is een persoon die niet alleen veel kennis heeft van risico management maar is vooral ook een persoon die veel kennis heeft van het bedrijf waarin hij opereert. Het heeft immers weinig zin om ergens over te adviseren of iets te monitoren wat je niet begrijpt. Bij grotere ondernemingen zien we dat risico managers vaak gespecialiseerd zijn op een bepaald gebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de tweede lijn. Taken en verantwoordelijkheden 2 de lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Faciliteert het risicomanagement proces. (Voorbeeld: faciliteren workshop risico identificatie en beoordeling). Monitort de status van risico s, beheersmaatregelen en verbeteracties. Reviewt opzet, bestaan en werking van individuele beheersmaatregelen. Adviseert de operatie inzake te nemen beheersmaatregelen, verbeteracties, etc. Rapporteert over het risicoprofiel van de organisatie, de werking van beheersmaatregelen en status van verbeteracties. 1.3.3 3rd line of defense De derde verdedigingslinie betreft de interne audit functie binnen de organisatie. Deze functie is eveneens onafhankelijk ingericht en valt vaak direct onder het CvB en/of CvT. De interne audit functie heeft een controlerende rol richting operatie en risico manager. De primaire taak van de interne auditor is om te controleren of IBPDOC29, versie 0.1 Pagina 5 van 14

de organisatie haar operationele en ondersteunende processen beheerst uitvoert. Ook de uitvoering van het risicomanagement proces zelf wordt gecontroleerd door de interne auditor. Voor de interne auditor gelden dezelfde eisen als voor de risico manager. Naast dat hij veel kennis moeten hebben van audit-technieken dient hij veel kennis te hebben van het bedrijf waarin hij opereert. Het heeft immers weinig zin iets te controleren wat je niet begrijpt of waar je relatief weinig kennis van hebt. Ook hier zien we dat auditors bij grotere ondernemingen vaak gespecialiseerd zijn in een bepaald vakgebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de derde lijn. Taken en verantwoordelijkheden 3 de lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Heeft kennis van audit-technieken. Voert audits uit op de operationele en ondersteunende processen van de organisatie om vast te stellen dat deze processen beheerst worden uitgevoerd door de organisatie. Rapporteert bevindingen naar aanleiding van uitgevoerde audits aan de betreffende proceseigenaren Rapporteert over de algehele status van beheersing aan CvB en CvT. IBPDOC29, versie 0.1 Pagina 6 van 14

1.4 Advies bij inrichten governance Op basis van het risicomanagement beleid te kan gestart worden met de inrichting van de governance. Een advies is om te starten met de inrichting van de 1st line of defense. Dit is immers de belangrijkste verdedigingslinie. Er zijn daarbij 5 key inrichtingsstappen die van belang zijn: 1. Risicomanagement beleid is goedgekeurd door CvB en beschikbaar voor alle medewerkers; 2. De taken en verantwoordelijkheden inzake risicomanagement in de functieprofielen van de werknemers en maken onderdeel uit van de beoordelingscyclus; 3. Medewerkers worden getraind op basiskennis omtrent risicomanagement; 4. Vergroten risicobewustzijn door periodiek risico s, beheersmaatregelen en verbeteracties te identificeren en te beoordelen. Daarbij is het van belang breder te kijken naar je operatie en de dagelijkse processen / processtappen die je uitvoert (keten denken); 5. Communicatie over geconstateerde risico s en benodigde beheersing naar relevante stakeholders dient te worden gestimuleerd. Deze communicatie hoeft dus niet altijd tussen management te verlopen maar dient juist op de werkvloer te worden gestimuleerd. Daarbij hoort ook het aanspreken van je collega die eerder/later in het proces activiteiten uitvoert. Het is wel aan te raden om een project manager / eigenaar aan te wijzen die de verschillende inrichtingsstappen coördineert. Het onafhankelijk inrichten van de 2 e en 3 e lijns functies vindt vaak in een later stadium plaats. Vaak zien we dat de functie eerst binnen een afdeling wordt belegd (vaak bij teamleiders/managers of senior medewerkers) om later gecentraliseerd te worden in een onafhankelijke staffunctie. Indien de functie onafhankelijk wordt belegd dan is het van belang dat deze functies eerst het juiste mandaat krijgen van CvB en dat dit mandaat helder wordt gecommuniceerd naar de organisatie toe. Vervolgens dienen dan de risicomanagement en audit processen gedefinieerd te worden waarmee deze functies kunnen werken. IBPDOC29, versie 0.1 Pagina 7 van 14

2. Uitvoeren van de risico en controle cyclus. In dit hoofdstuk wordt een handleiding beschreven voor de uitvoering van het risico en controle cyclus. Het risicomanagement beleid vormt het uitgangspunt bij de uitvoering van de risico en controle cyclus. De cyclus bestaat uit verschillende fases, te weten: 1. Opstellen jaarplan (Plan); 2. Voorbereiden risico assessment (Plan); 3. Uitvoeren risico assessment (Do); 4. Vaststellen en uitvoeren van eventuele verbeteracties (Do); 5. Monitoren van risico s, beheersmaatregelen en verbeteracties (Check); 6. Rapporteren over status van risico s, beheersmaatregelen en verbeteracties en bijstellen (Act). De fases volgen de PDCA cyclus volgens het model van Demming. Door deze stappen in een cyclus uit voeren ontstaat de zogenaamde risico en controle cyclus. De hierboven genoemde stappen zullen in onderstaande paragrafen verder worden uitgewerkt. 2.1 Opstellen jaarplan Elk jaar stelt de risico manager in samenwerking met de proceseigenaren eerst het jaarplan voor risicomanagement op. In het jaarplan voor risico management worden de verschillende risico assessments, monitoring en rapportagemomenten vastgelegd voor dat jaar vastgelegd. Het jaarplan wordt geaccordeerd door het CvB en gecommuniceerd met alle stakeholders. 2.2 Voorbereiden risico assessment De voorbereiding van een risico assessment is een van de belangrijkste onderdelen van het risico assessment. Onder het voorbereiden van een risico assessment wordt verstaan: het vaststellen van de scope en doelstelling van het risico assessment, het plannen van een datum, het reserveren van een ruimte, het uitnodigen van de juiste personen, het juist, tijdig en volledig vaststellen en verspreiden van documentatie en het inhoudelijk voorbereiden van het assessment. Feitelijk is dit stap 1 bij de risico en controle cyclus uit de presentatie Risicomanagement inde praktijk welke gegeven tijdens de masterclasses. Doelstelling en scopebepaling: Elke proceseigenaar organiseert, in samenwerking met de risico manager, periodiek (meestal 1 keer per jaar) een risico assessment voor zijn/haar (IT) processen. Daarbij wordt eerst de doelstelling en scope van het risico assessment bepaald. De doelstelling gaat in op welke soort risico s en beheersmaatregelen er geïdentificeerd moeten worden. Voorbeeld: alleen IT risico s of ook andere risico soorten De scope gaat in op de reikwijdte van het risico assessment. Voorbeeld: Alleen proces risico s en key beheersmaatregelen of ook afdelingsrisico s en ondersteunende beheersmaatregelen. Plannen en uitnodigen: Advies is om niet meer dan 6 mensen uit te nodigen. Een te grote groep maakt het risico assessment minder efficiënt. Hou bij het plannen van een datum en tijd rekening dat een goede risico assessment 3 a 4 uur duurt. Voor een risico assessment worden minimaal de volgende personen uitgenodigd: Risico manager (heeft alleen een faciliterende / challengende rol) Proceseigenaar; Key specialisten van het proces (dit kan dus afdeling overstijgend zijn); IBPDOC29, versie 0.1 Pagina 8 van 14

Vaststellen en verspreiden documentatie: Naast het plannen van de datum en tijd is het van het grootste belang de juiste documentatie wordt opgesteld en verstuurd naar de deelnemers. Deze documentatie bestaat uit: beschrijving van doelstelling en scope van het risico assessment, het actuele risico management beleid, de actuele procesbeschrijving, een register met risico s en beheersmaatregelen van het vorige risico assessment, register met aan het proces gerelateerde incidenten, register met openstaande verbeteracties die invloed hebben op de beheersing van relevante risico s. Inhoudelijk voorbereiden: Met het inhoudelijk doornemen van de documentatie is elke deelnemer voldoende voorbereid voor het komende risico assessment. Het inhoudelijk voorbereiden houdt in het doornemen van de documentatie, het beschrijven van mogelijke risicogebeurtenissen en mogelijke beheersmaatregelen. Door deze voorbereiding komt de deelnemer goed beslagen ten ijs en kan tijdens het assessment een efficiënte en effectieve discussie gevoerd worden. 2.3 Uitvoeren risico assessment De uitvoering van het risico assessment zelf volgt de stappen 2 tot en met 6 bij de risico en controle cyclus zoals besproken in de presentatie risicomanagement in de praktijk vanuit de masterclass. Doelstelling bij de uitvoering van het risico assessment is het achterhalen en beoordelen van de relevante risico s, controledoelstellingen en beheersmaatregelen volgens de vastgestelde scope en doelstelling van het risico assessment. Bij de uitvoering van het risico assessment zelf zijn een aantal factoren van belang voor succes, te weten: Iedere deelnemer gaat voorbereid het risico assessment in; Iedereen respecteert elkaars mening, elke stem weegt even zwaar; De facilitator (risico-manager) heeft geen stemrecht maar faciliteert alleen. Voor het vaststellen van de IT risico s hanteren we de volgende risico categorieën: 1. Beleid en personeel; 1.1. Informatiebeveiliging; 1.2. Privacy; 2. Toegang tot applicaties en data; 3. IT infrastructuur en externe verbindingen; 4. Examinering. Deze categorieën staan vast en zullen door de gehele MBO sector gebruikt gaan worden. Bij het vaststellen van de risico s en beheersmaatregelen is het dus zaak deze categorieën te gebruiken. Voorbeeld: Bij het proces access management zullen de geïdentificeerde risico s hoofdzakelijk in de 2 e en 3 e categorie vallen. Ter verdere ondersteuning bij het uitvoeren van het risico assessment raden wij aan om het beoordelingskader IT risico s MBO sector (Zie bijlage 1 voor een voorbeeld) te gebruiken. Deze wordt samen met deze handleiding meegeleverd in een Excel sheet. Door gebruik te maken van dit beoordelingskader kunnen MBO s op gestructureerde wijze hun IT risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties definiëren. 2.4 Vaststellen en uitvoeren van eventuele verbeteracties Indien bij stap 6 uit de risico en controle cyclus vanuit de presentatie wordt vastgesteld dat het restrisico verder gemitigeerd moet worden omdat anders de controledoelstelling niet gehaald kan worden dan dienen hiervoor verbeteracties te worden gedefinieerd. Bij de vaststellen van de verbeteracties moeten aan een aantal voorwaarden voldoen: Elke verbeteractie heeft een eigenaar; Verbeteracties zijn SMART gedefinieerd; Elke actie heeft een duidelijk eindresultaat; Elke actie heeft een due date; IBPDOC29, versie 0.1 Pagina 9 van 14

De actie draagt actief bij aan het verkleinen van de kans en/of impact van het risico. De verbeteracties worden altijd in samenspraak met de verantwoordelijke manager opgesteld. Verbeteracties kunnen ook komen vanuit het monitoren van risico s en beheersmaatregelen (zie volgende paragraaf). 2.5 Monitoren van risico s, beheersmaatregelen en verbeteracties De monitoring van risico s, beheersmaatregelen en verbeteracties volgt stap 7 bij risico en controle cyclus zoals besproken in de presentatie risicomanagement in de praktijk vanuit de masterclass. Hieronder wordt per onderdeel ingegaan op monitoring. Monitoren van risico s Na het uitvoeren van het risico assessment is het zaak dat de 1 e lijn haar risico s monitort. Er zijn namelijk verschillende variabelen die van invloed kunnen zijn op het risicoprofiel van de organisatie. Denk bijvoorbeeld aan veranderende marktomstandigheden of nieuwe wet en regelgeving waardoor nieuwe risico s relevant worden en bestaande risico s wellicht niet meer relevant zijn. Maar ook manifestatie van bedrijfsincidenten kunnen bijdragen aan een ander risicobeeld. Bij monitoring is het dus zaak deze variabelen te identificeren en om te zetten in Key Risk Indicator. Twee voorbeelden van een KRI s: Het aantal prioriteit 1 IT-incidenten per maand. Het aantal prioriteit 1 IT-incidenten niet opgelost binnen de SLA. Als we deze KRI s monitoren en de aantallen maand op maand zien toenemen dan dient de kans en impact van het bijbehorende risico Het risico dat prio 1 IT incidenten niet tijdig worden opgelost als gevolg van onvoldoende resources waardoor business verstoringen plaatsvinden te worden opgeschaald. Monitoring brengt daarbij dus het inzicht om tot tijdige verbeteracties en additioneel beheersing te komen. Monitoren/testen van beheersmaatregelen De opgestelde beheersmaatregelen worden uitgevoerd door de 1 e lijn. Om opzet, bestaan en werking van de beheersmaatregelen te kunnen monitoren dient de 1 e lijn evidence vast te leggen van uitvoering van deze beheersmaatregelen. De 2 e lijn zal dan op basis van de gestelde controledoelstellingen en deze evidence een steekproef doen om te monitoren of opzet, bestaan en werking van de beheersmaatregelen is gewaarborgd. Indien er hiaten zijn geconstateerd door de 2 e lijn zullen deze moeten worden besproken met de verantwoordelijke manager/proces eigenaar en zullen er verbeteracties worden gedefinieerd (zie vorige paragraaf). Monitoren voorgang verbeteracties Ook de status van verbeteracties zelf moeten gemonitord worden ter bevordering van de risicobeheersing. De verantwoordelijke manager monitort vanuit zijn/haar 1 e lijns verantwoordelijkheid de voortgang van de verbeteracties. Dit doet hij/zij op basis van de lijst met verbeteracties en het opvragen van de status bij de verantwoordelijke uitvoerders. De risico manager zal vanuit zijn 2 e lijns verantwoordelijkheid de status monitoren en bij onvoldoende voortgang eerst in gesprek gaan met de verantwoordelijke lijnmanager om de oorzaak te achterhalen. Indien nodig kan de risico manager escaleren naar CvB. 2.6 Rapporteren over status van risico s, beheersmaatregelen en verbeteracties en bijsturen. De risico manager rapporteert, in samenwerking met de 1 e lijn, periodiek (Advies = minimaal 1 keer per kwartaal) aan het CvB en management over de status van risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties. De vorm van de rapportage zal hoofdzakelijk een dashboard zijn waarbij op organisatieonderdeel en/of risicocategorie wordt gerapporteerd over de status van risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties. IBPDOC29, versie 0.1 Pagina 10 van 14

De rapportage moet worden voorzien van commentaar door de 1 e lijn en de risico manager. Het commentaar van de 1 e lijn focust zich op de toelichting op de verschillende statussen. Het commentaar van de risicomanager focust zich op het geven van advies bij de verschillende statussen. Op basis van de rapportage kan het management of CvB besluiten bij te sturen door bijvoorbeeld meer resources beschikbaar te maken, activiteiten te outsourcen, etc. IBPDOC29, versie 0.1 Pagina 11 van 14

3. Tot slot. Het effectief inrichten van risico en controle cyclus in een organisatie is niet een kwestie van een maand werk en klaar. Het is een proces wat langzaam opgebouwd dient te worden en effectiever en efficiënter wordt naarmate het risicobewustzijn en de beheersing van de organisatie stijgt. IBPDOC29, versie 0.1 Pagina 12 van 14

Governance Bedreiging Beleid & Org Organisatie Bedreiging Beleid & Org Calamiteit Bedreiging Continuïteit Organisatie Bedreiging Continuïteit Organisatie Bedreiging Continuïteit Calamiteit Bedreiging Ruimten en apparatuur Organisatie Bedreiging Bedreiging Toegang & Integriteit Organisatie Toegang & Integriteit Organisatie Bedreiging Beleid & Org Status Risicogebied Bedreiging of kans? Cluster Toetsingskader Handleiding Risico management Risico Matrix Informatiebeveiliging Risico Identificatie Bruto Risico Controledoelstelling Monitoring & Control Netto Risico Restrisico Benodigde verbeteractie # Risico Oorzaak Gevolg Risico Matrix Soort Doelstelling Wie Wat Waarmee Hoe Hoe vaak (Cyclische Wanneer) Wat Als Risico Matrix Restrisico Wie: Wat: Verwacht eindresultaat: Wanneer klaar: 1 Het risico dat data onrechtmatig wordt opgeslagen en onvoldoende bescherming van persoonsgegevens. Onvoldoende scheiding van rechten over groepen van personen. Niet nakomen van privacywetgeving. M Er zijn voldoende maatregelen M L X genomen om de scheiding van Preventief L X L M H rechten over groepen van L M H personen mogelijk te maken. 2 Het risico op fraude of onrechtmatige invoer in Magister. Onvoldoende controles en functiescheiding. Identiteitsfraude, reputatieschade L X 3 Het risico op fraude bij Onjuiste beoordeling van invoer/mutatie van cijfers Laptop van docent niet gelockt. deelnemers, reputatieschade in Magister. L X 4 Het risico op uitval van het bedrijfsnetwerk. Onvoldoende brandbeveiliging van serverruimte. Geen beschikbaarheid, geen les door noodzakelijke evacuatie L X 5 Het risico dat informatiebeveiligingsgeb eurtenissen niet worden beoordeeld en/of over ze wordt besloten Het ontbreken van een classificatiesysteem voor incidenten Schade die veel hoger kan uitvallen dan vooraf geanticipeerd L X 6 Het risico dat er niet adequaat op beveiligingsincidenten gereageerd wordt Het ontbreken van een responsteam Imagoschade, financiële schade, data verlies L X 7 Het risico dat tijdens een ongunstige situaties geen informatiebeveiligingspro cedure is ingesteld Het ontbreken van een continuïteitsplan Dataverlies, financiële schade (hardware stuk), studenten en medewerkers die niet bij hun gegevens kunnen L X 8 Het risico dat er niet adequaat op beveiligingsincidenten gereageerd wordt Het ontbreken van informatiebeveiligingsbeleid Imagoschade, financiële schade, data verlies L X 9 Het risico dat vertrouwelijke informatie wordt gedeeld door medewerkers Het ontbreken van een classificatiesysteem voor informatie Imagoschade, financiële schade, data verlies L X IBPDOC29, versie 0.1 Pagina 13 van 14

MBO referentie architectuur (IBPDOC4) Privacy Compliance kader MBO (IBPDOC2B) Normenkader Informatiebeveiliging MBO (IBPDOC2A) Handleiding Risico management Bijlage 1: Framework MBO Verantwoordingsdocument informatiebeveiliging en privacy in het MBO onderwijs (IBPDOC1) MBO roadmap informatie beveiligingsbeleid en privacy beleid (IBPDOC5) Model Informatiebeveiligingsbeleid voor de MBO sector op basis van ISO27001 en ISO27002 (IBPDOC 6) Toetsingskader IB: clusters 1 t/m 6 (IBPDOC3) Model beleid verwerking persoonsgegevens op basis van Nederlandse wet- en regelgeving (IBPDOC18) Toetsingskader Privacy: cluster 7 (IBPDOC7) Toetsingskader Examinering Pluscluster 8 IBPDOC8 Toetsingskader Online leren Pluscluster 9 IBPDOC9 Toetsingskader VMBO-MBO Pluscluster 10 IBPDOC10 Handleiding Benchmark Coable IBPDOC11 Competenties Informatiebev. en Privacy IBPDOC12 Positionering Informatiebev. en Privacy IBPDOC13 Handleiding Risico management IBPDOC29 Handleiding BIV classificatie IBPDOC14 BIV classificatie Bekostiging IBPDOC15 BIV classificatie HRM IBPDOC16 BIV classificatie Online leren IBPDOC17 PIA Deelnemers informatie IBPDOC19 PIA Personeel Informatie IBPDOC20 PIA Digitaal Leren IBPDOC21 Starterkit Identity mngt MBO versie IBPDOC22 Starterkit BCM MBO versie IBPDOC23 Starterkit RBAC MBO versie IBPDOC24 Integriteit Code MBO versie IBPDOC25 Leidraad AUP s MBO versie IBPDOC26 Responsible Disclosure MBO versie IBPDOC27 Cloud computing MBO versie IBPDOC28 Implementatievoorbeelden van kleine en grote instellingen Technische quick scan (APK) IBPDOC30 Hoe? Zo! Informatiebeveiligingsbeleid in het MBO en Hoe? Zo! Privacy in het MBO Kaderdocumenten Taskforce IBP realisatie 2015 Taskforce IBP planning 2016 Taskforce IBP SURFibo SURFaudit IBPDOC29, versie 0.1 Pagina 14 van 14

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback