voor elkaar!

Dit onderwerp gaat over het vaststellen en behandelen van risico’s met mogelijke grote impact op onze digitale infrastructuur en vertrouwelijke (gevoelige/bijzondere) persoonsgegevens.

Dit onderwerp heeft een verbinding met de GRC Optimus omgeving en is terug te vinden onder taken:

• Actualisatie ICT-risico-inventarisatie hoog-risico (kern)middelen
• Brede risicobeoordeling Interne en externe gevaren.

• Risico’s worden beoordeeld op kans × impact.
• Elk risico heeft een verantwoordelijke (risico- eigenaar)
• Risicoklasse bepaalt of actie nodig is.
• Hoge risico’s vragen om directe maatregelen.
• Jaarlijkse herbeoordeling verplicht.

• Kerninfrastructuur: netwerk/wifi, internet, identity & toegang (HelloID/Azure AD), centrale configuraties.

• Digitale middelen, gegevens en leveranciers: systemen en data (incl. vertrouwelijke/ bijzondere persoonsgegevens) en koppelingen/ API’s met middel/hoog risico.

• ARBO/BHV/gebouwveiligheid en andere niet-digitale (fysieke) risico’s.

• Incidenten/storingen op één werkplek zonder ketenimpact → servicedesk/incidentmanagement.

• Dagelijks gebruik en eigen, risicoloze instellingen (wifi-code invoeren, lettertype, eigen mappen).

• Kleine werkplekhandelingen zonder ketenimpact (printer kiezen, beamer aansluiten, lokale driver).

• Standaard beheer/incidenten: wachtwoord/2FA-reset, account deblokkeren, licentie toewijzen binnen bundel, 1-op-1 devicevervanging, patches binnen patchbeleid.

• Risico’s identificeren, scoren (kans × impact) en registreren.

• Risico-eigenaar toekennen.

• Maatregelen kiezen: vermijden, verminderen, overdragen (bijv. verzekering) of accepteren.

• Hoge risico’s direct behandelen: maatregelen + plan van aanpak + rapportage.

• Jaarlijkse herbeoordeling; CvB besluit en accepteert (rest)risico’s.

Raakt het kerninfrastructuur of (bijzondere) persoonsgegevens, of heeft het impact op meerdere teams/scholen/systemen → valt onder deze scope. Anders: servicedesk/standaardproces.

Verantwoordelijk voor:

• Bij signaleren van nieuwe risico’s deze delen met de facilitaire dienst en/of ICT-dienstverlening.
• Zo nodig bijdragen aan de beoordeling van kans en impact van een risco.

Taken: (dit moet je doen)

Voor medewerkers zijn geen specifieke taken vastgelegd.

 Verantwoordelijk voor:

• Draagt verantwoordelijkheid voor het specifieke risico.
• Beoordeelt risico’s en komt indien nodig met mitigerende maatregelen.
• Informeert de Privacy- Security Officer bij een middel of hoog risico.
• Houdt de risico’s actueel.

Taken: (dit moet je doen)

Verantwoordelijk voor:

• Toezicht en Beheersing: Het uitoefenen van toezicht op en het uitvoeren van controle van de Informatiebeveiliging en Privacy (IBP)-risico’s.

• Documentbeheer: Het beheren van het Risicoregister, de Risico-inventarisaties (zoals Risico’s Optimus breed matrix en Risico kern ICTmiddelen)  en de periodieke IBP-risicorapportages.

• Bestuurlijke Rapportage: Het verzorgen van advies en rapportage over IBP-risico’s ten behoeve van het College van Bestuur (CvB) en de toezichthoudende instanties.

• Risicobehandeling: Het ondersteunen van het gehele proces van risicoanalyse en -behandeling bij de signalering van hoge risico’s.

Taken: (dit moet je doen)

• Procesondersteuning bij Hoog Risico: Het bieden van ondersteuning aan de risico-eigenaar bij de risicoanalyse in geval van een hoog risico.

• Documentmonitoring: Het actief monitoren en opvolgen van de documenten IBP Risicoregister en Risico-inventarisaties om de actualiteit en volledigheid te waarborgen.

• Advies bij een midden of hoog Risico: Het verstrekken van gericht advies aan de risico-eigenaar bij de signalering van een hoog risico.

• Bestuurlijke Communicatie: Het periodiek rapporteren over en adviseren van het College van Bestuur met betrekking tot de geïdentificeerde en behandelde IBP-risico’s.

Verantwoordelijkheden:

• Accepteert resterende risico’s via Verklaring van Toepasselijkheid.
• Keurt behandelingsplannen goed.

Taken: (dit moet je doen)
Voor de CvB zijn geen afzonderlijke taken vastgelegd.