Aanbesteding GRC-applicatie van start
De aanbesteding van de GRC-applicatie (governance, risk & compliance) is gestart. Mbo-scholen kunnen deze applicatie vanaf 2024 gebruiken om hun volwassenheid op het gebied van informatiebeveiliging en privacy (IBP) te documenteren en de benodigde maatregelen te plannen. Daarbij biedt de applicatie mogelijkheden voor een meer risicogebaseerde IBP-aanpak.
Met de applicatie wordt het werk simpeler en efficiënter, want Excel-bestanden en losse documenten in Onedrive zijn verleden tijd. Daarnaast gaan de scholen de applicatie gebruiken om gegevens uit te wisselen voor benchmarks, peer reviews en audits. Zo houden we mbo-breed zicht op risico’s en maatregelen, en kunnen we nog beter samenwerken op het gebied van IBP. De aanbesteding van de GRC-applicatie is onderdeel van het Programma Cyberveiligheid en wordt uitgevoerd door SURF. Een klankbordgroep met vertegenwoordigers vanuit verschillende mbo- en hbo-scholen en universiteiten denkt mee over het programma van eisen.
Een aantal feiten over de GRC-applicatie op een rij:
3 doelen
De drie doelen van de GRC-applicatie zijn:
- Instellingen concreet ondersteunen bij het inrichten van hun informatie-beveiligingsproces
- Standaardisatie van de aanpak om beter te kunnen samenwerken
- Instellingen stimuleren om vanuit de compliance-gebaseerde aanpak meer risico-gebaseerd te gaan werken
200 eisen
Het programma van eisen bevat meer dan 200 eisen die ingaan op de mogelijkheden en de werking van de applicatie. Drie belangrijke eisen voor de GRC-applicatie:
- moet overzichtelijk en intuïtief zijn in gebruik
- moet de standaarden en werkwijzen in het mbo goed ondersteunen
- moet praktisch zijn in het gebruik, passend bij de ambities en mogelijkheden van de instelling
3 user stories
Mbo-scholen kunnen instappen op drie niveaus van detaillering en complexiteit. De basis daarvoor zijn drie user stories:
- compliancebased: uitsluitend het actuele volwassenheidsniveau bijhouden, inclusief de bewijsvoering
- uitgebreid met workflow en beperkt risicomanagement
- volledig risico-gebaseerd met koppelingen richting assetmanagement
70% kiest eenvoudigste user story
De verwachting is dat 70% van de mbo-scholen zal werken met de meest eenvoudige user story die volledig compliance based is. Het is altijd mogelijk om naar een volgend niveau door te groeien als de instelling daar aan toe is. Daarbij kan de instelling zelf functionaliteiten aan- of uitzetten.
13 mensen in klankbordgroep
Het programma van eisen voor de GRC-applicatie wordt besproken in de klankbordgroep. Hierin zitten 13 medewerkers van verschillende mbo- en hbo-scholen, universiteiten en het Programma Cyberveiligheid van MBO Digitaal. Zij bekijken samen of alle wensen en eisen goed naar voren komen in de GRC-applicatie en denken na over de beste manier van implementatie.
6 belangrijke momenten
Uitgaande van goedkeuring door de SURF is de planning
- juni 2023: publiceren aanbesteding en uitnodigingen voor inschrijvingen
- augustus 2023: sluitingsdatum voor aanbestedingen en start beoordeling
- september 2023: voorlopige gunningsbeslissing en definitieve gunning
- september 2023: start Proof of Concept
- oktober 2023: start dienstverlening
- december 2023: instellingen gaan aan de slag met de GRC-applicatie
Over het Programma Cyberveiligheid
In oktober 2022 is het programma Cyberveiligheid mbo gestart. De eerste activiteiten zijn uitgevoerd: bijvoorbeeld de nulmeting Informatiebeveiliging waaraan 49 mbo-instellingen hebben meegedaan. De uitkomst hiervan was een volwassenheidsniveau van 2,1 kwam. De instellingen hebben de ambitie hebben om te groeien in informatiebeveiliging en willen dit jaar flinke stappen zetten. De GRC-applicatie help de instelling om daarbij in control te komen en meer risicogebaseerd te gaan werken. De GRC-applicatie helpt ons als sector om via benchmarks en audits beter in beeld te krijgen waar we staan en wat er nodig is om de volgende stappen te zetten.