voor elkaar!

Dit onderwerp valt onder het IBP domein 7: Changemanagement  en geeft invulling aan deze IBP- normen.

• CH.01 Procedures voor wijzigingen
• CH.02 Impactassessment, prioriteren en autoriseren
• CH.03 Noodwijzigingen doorvoeren
• CH.04 Testomgeving
• CH.05 Testen van wijzigingen
• CH.06 Overzetten naar productieomgeving

Dit onderwerp heeft een verbinding met de GRC Optimus omgeving en is terug te vinden onder taak: Beoordelen wijzigingsverzoeken die impact hebben op de ICT-omgeving.

• Alle wijzigingsaanvragen (binnen de beschreven scope) zijn vooraf geregistreerd en geclassificeerd.  
• Standaardwijzigingen worden zonder CAB uitgevoerd, conform werkinstructie en volledig gelogd.  
• Niet-standaard of spoedwijzigingen zijn vooraf geautoriseerd door de CAB (en zo nodig CvB).  
• Voor niet-standaard/spoed is test, terugvalplan, communicatie en registratie aantoonbaar op orde. 
• Grote of beleidswijzigingen hebben een expliciet CvB-besluit en restrisico-acceptatie.
• Wijzigingsvensters worden gerespecteerd; in kritieke onderwijsperiodes alleen met spoedautorisatie.
• Na afloop is de evaluatie afgerond en zijn verbeterpunten geborgd.

• Kerninfrastructuur: netwerk/wifi, internet, identity & toegang (HelloID/Azure AD), centrale configuraties.

• Digitale middelen, gegevens en leveranciers: systemen en data (incl. vertrouwelijke/bijzondere persoonsgegevens) en koppelingen/API’s met middel/hoog risico of impact op meerdere scholen/teams.

• Dagelijks gebruik, kleine eigen instellingen, standaardbeheer en incidentafhandeling zonder risico of impact op anderen.

• Aanvraag registreren & classificeren (standaard / niet-standaard / spoed).

• Impact & risico bepalen (beveiliging, privacy, continuïteit/onderwijs).

• Besluitvorming: CAB; CvB bij grote of beleidswijzigingen.

• Voorbereiden: testen, terugvalplan, planning & communicatie.

• Uitvoeren volgens plan/venster; wijzigingen vastleggen.

• Evalueren & borgen: werking controleren, incidenten/klachten noteren, verbeterpunten doorvoeren.

Binnen standaard en geen ketenimpact = géén CAB. Afwijking/risico of grote/spoedwijziging = wél CAB (en soms CvB).

Verantwoordelijk voor:

• Beoordeelt en classificeert wijzigingen (standaard / niet-standaard / spoed)
• Bij niet- standaard of spoed het registreren van de wijziging in het Changeregister.
• Ondersteunt bij aanvragen, testen en uitvoeren van wijzigingen.
• Voert de wijziging technisch uit. (installatie, configuratie)
• Stelt terugvalplan op samen met domeinbeheerder.
• Is eerste aanspreekpunt voor testen, communicatie en evaluatie.
• Voert noodprocedures uit als dat nodig is.
• Voert evaluatie uit en meldt bevindingen aan CAB (Change Advisory Board )

Taken: (dit moet je doen)

Verantwoordelijk voor:

• Voert risicoanalyse uit (impact op beveiliging, privacy, onderwijsproces)
• Geeft goedkeuring aan standaard wijzigingen. (eventueel samen met CvB)
• Beoordeel niet- standaard wijzigingen en adviseert CvB.
• Communiceert wijzigingen naar betrokkenen.
• Evalueert de wijziging na uitvoering.
• Het CAB komt minimaal 4x per jaar bij elkaar. CAB deelnemers zijn: Privacy & Security Officer,Coördinator ICT,lid Onderwijsdienst, I-Coach

Taken: (dit moet je doen)

• Risicoanalyse uitvoeren (impact op beveiliging, privacy en onderwijsproces).

• Goedkeuring geven aan standaardwijzigingen (eventueel samen met het CvB).

• Niet-standaard wijzigingen beoordelen en advies geven aan het CvB.

• Wijzigingen communiceren naar betrokkenen.

• Wijzigingen evalueren na uitvoering.

Specifiek: Taken: Changemanager (voorzitter CAB): regie op proces, volledigheid aanvragen, (laten) uitvoeren impactanalyse, CAB samenstellen, besluitvorming faciliteren, borging test/terugvalplan, logging & verantwoording, spoedafhandeling + review.

Verantwoordelijk voor:

• Keurt grotere wijzigingen of beleidswijzigingen goed (indien van toepassing)
• Is eindverantwoordelijk voor risicoafwegingen bij ingrijpende of spoedeisende veranderingen.

Taken: (dit moet je doen)

Voor CvB zijn geen afzonderlijke taken vastgelegd.