Logo Optimus Def

voor elkaar!

home
p
Informatie beveiliging
E
Startpagina
E
Optimus Onderwijs & Informatie beveiliging
E
Optimus onderwijs & Privacy (AVG)

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team

Changemanagement digitale middelen

Dit onderwerp valt onder het IBP domein 7: Changemanagement  en geeft invulling aan deze IBP- normen.

Waar gaat dit over? (Scope)

Dit onderwerp gaat over hoe we bij Optimus Onderwijs omgaan met middel tot grote wijzigingen in onze digitale omgeving. Denk daarbij aan nieuwe software, updates, koppelingen tussen systemen of grote aanpassingen in accounts en instellingen.

Wat valt binnen de Scope:

  • Kerninfrastructuur: netwerk/wifi, internet, identity & toegang (HelloID/Azure AD), centrale configuraties.

  • Digitale middelen, gegevens en leveranciers: systemen en data (incl. vertrouwelijke/bijzondere persoonsgegevens) en koppelingen/API’s met middel/hoog risico of impact op meerdere scholen/teams.

Wat valt buiten de Scope:

  • Dagelijks gebruik, kleine eigen instellingen, standaardbeheer en incidentafhandeling zonder risico of impact op anderen.

🐴 Ezelsbruggetje

Binnen standaard en geen ketenimpact = géén CAB. Afwijking/risico of grote/spoedwijziging = wél CAB (en soms CvB).

ProcesScope (aanpak)

  • Aanvraag registreren & classificeren (standaard / niet-standaard / spoed).

  • Impact & risico bepalen (beveiliging, privacy, continuïteit/onderwijs).

  • Besluitvorming: CAB; CvB bij grote of beleidswijzigingen.

  • Voorbereiden: testen, terugvalplan, planning & communicatie.

  • Uitvoeren volgens plan/venster; wijzigingen vastleggen.

  • Evalueren & borgen: werking controleren, incidenten/klachten noteren, verbeterpunten doorvoeren.

Speerpunten

  • Alle wijzigingsaanvragen (binnen de beschreven scope) zijn vooraf geregistreerd en geclassificeerd.  
  • Standaardwijzigingen worden zonder CAB uitgevoerd, conform werkinstructie en volledig gelogd.  
  • Niet-standaard of spoedwijzigingen zijn vooraf geautoriseerd door de CAB (en zo nodig CvB).  
  • Voor niet-standaard/spoed is test, terugvalplan, communicatie en registratie aantoonbaar op orde. 
  • Grote of beleidswijzigingen hebben een expliciet CvB-besluit en restrisico-acceptatie.
  • Wijzigingsvensters worden gerespecteerd; in kritieke onderwijsperiodes alleen met spoedautorisatie.
  • Na afloop is de evaluatie afgerond en zijn verbeterpunten geborgd.

Rollen, taken en verantwoordelijkheden

Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

Domeinbeheerder- ICT en facilitaire dienstverlening

Verantwoordelijk voor:

  • Beoordeelt en classificeert wijzigingen (standaard / niet-standaard / spoed)
  • Ondersteunt bij aanvragen, testen en uitvoeren van wijzigingen.
  • Voert de wijziging technisch uit. (installatie, configuratie)
  • Stelt terugvalplan op samen met domeinbeheerder.
  • Is eerste aanspreekpunt voor testen, communicatie en evaluatie.
  • Voert noodprocedures uit als dat nodig is.
  • Voert evaluatie uit en meldt bevindingen aan CAB (Change Advisory Board )

Taken: (dit moet je doen)

  • Wijzigingen beoordelen en indelen (standaard, niet-standaard, spoed).

  • Helpen bij aanvragen, testen en uitvoeren van wijzigingen.

  • Wijzigingen technisch uitvoeren (installatie, configuratie).

  • Terugvalplan opstellen samen met de domeinbeheerder.

  • Aanspreekpunt zijn voor testen, communicatie en evaluatie.

  • Noodprocedures uitvoeren indien nodig.

  • Evaluatie uitvoeren en bevindingen doorgeven aan de CAB.

Change Advisory Board (CAB)

Verantwoordelijk voor:

  • Voert risicoanalyse uit (impact op beveiliging, privacy, onderwijsproces)
  • Geeft goedkeuring aan standaard wijzigingen. (eventueel samen met CvB)
  • Beoordeel niet- standaard wijzigingen en adviseert CvB.
  • Communiceert wijzigingen naar betrokkenen.
  • Evalueert de wijziging na uitvoering.
  • Het CAB komt minimaal 4x per jaar bij elkaar. CAB deelnemers zijn: Privacy & Security Officer,Coördinator ICT,lid Onderwijsdienst, I-Coach

Taken: (dit moet je doen)

  • Risicoanalyse uitvoeren (impact op beveiliging, privacy en onderwijsproces).

  • Goedkeuring geven aan standaardwijzigingen (eventueel samen met het CvB).

  • Niet-standaard wijzigingen beoordelen en advies geven aan het CvB.

  • Wijzigingen communiceren naar betrokkenen.

  • Wijzigingen evalueren na uitvoering.

 

Specifiek: Taken: Changemanager (voorzitter CAB): regie op proces, volledigheid aanvragen, (laten) uitvoeren impactanalyse, CAB samenstellen, besluitvorming faciliteren, borging test/terugvalplan, logging & verantwoording, spoedafhandeling + review.

College van Bestuur (CvB)

Verantwoordelijk voor:

  • Keurt grotere wijzigingen of beleidswijzigingen goed (indien van toepassing)
  • Is eindverantwoordelijk voor risicoafwegingen bij ingrijpende of spoedeisende veranderingen.

Taken: (dit moet je doen)

Voor CvB zijn geen afzonderlijke taken vastgelegd.

Documentatie

Klik op hieronder voor toegang tot het materiaal:

 

Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.