Programma Cyberveiligheid mbo
GRC-applicatie: drie scenario’s
De mbo-brede GRC-applicatie heeft uitgebreide mogelijkheden en bevat veel functies. We weten dat niet elke mbo-school alle functionaliteiten nodig heeft. Daarom laten we de GRC-applicatie inrichten volgens drie gebruiksscenario’s: basis, uitgebreid en volledig risicogebaseerd. Na implementatie toont de applicatie enkel de functies die behoren tot het scenario dat de school heeft gekozen. Indien gewenst, kan de instelling de GRC-applicatie vervolgens extra functies inschakelen. Zo kunnen ze de applicatie optimaal afstemmen op gebruik binnen de eigen organisatie.
Voorgedefineerde gebruiksscenario’s
De scenario’s verschillen in mogelijkheden die de GRC-applicatie biedt. Kiest een school voor het basisscenario, dan toont de GRC-applicatie enkel de functies die nodig zijn voor een basaal gebruik volgens het NBA-kader. Het uitgebreidere scenario bevat daarnaast taakbeheer en beperkt risicomanagement. In het geavanceerde scenario hebben scholen met de GRC-applicatie de beschikking over een uitgebreide tool voor risicomanagement. Benieuwd welk gebruiksscenario past bij jouw instelling? Gebruik dan onze keuzehulp voor de GRC-applicatie.
Groeien naar risicogebaseerd werken
In elk scenario kunnen instellingen de mogelijkheden van de GRC-applicatie makkelijk en kosteloos uitbreiden (of verkleinen). Daarvoor kunnen ze in het instellingenscherm van de applicatie andere dan de voorgeprogrammeerde functies in- (of uit)schakelen. Op die manier ondersteunt de GRC-applicatie instellingen ook bij hun stapsgewijze groei van compliancegebaseerd werken naar een meer risicogebaseerde aanpak.
Functionaliteit per gebruiksscenario’s
Onderstaand overzicht geeft aan welke functionaliteiten standaard aanwezig zijn in de drie gebruiksscenario’s van de mbo-brede GRC-applicatie.
| Functionaliteiten GRC-applicatie | Scenario 1 Basis |
Scenario 2 Uitgebreid |
Scenario 3 Volledig risicogebaseerd |
| Vastleggen organisatiestructuur, taken, bevoegdheden en verantwoordelijkheden | Nee | Ja | Ja |
| Vastleggen bedrijfsprocessen | Nee | Ja | Ja |
| Asset register (incl. applicaties, vastleggen classificatie, SLA’s etc) | Nee | Nee | Ja |
| Ondersteuning normen, frameworks (compliance management) w.o. NBA-kader | Ja | Ja | Ja |
| Benchmark onderzoeken en GAP analyse | Ja | Ja | Ja |
| (Operationeel) Risicomanagement t.a.v. IB&P | Nee | Ja | Ja |
| Geavanceerde risicobeoordeling en -management | Nee | Nee | Ja |
| Leveranciersmanagement | Nee | Nee | Ja |
| Beheersmaatregelen | Ja | ja | Ja |
| Koppelen uiteenlopende documenten en commentaar aan risico’s en beheersmaatregelen | Ja | Ja | Ja |
| Taken koppelen aan beheersmaatregelen (NBA-kader en aan operationele risico’s) | Nee | Ja | Ja |
| Rapportage (volwassenheid en benchmark [1-3], risico’s [2-3], voortgang [2-3]) | Ja | Ja | Ja |
| Toewijzen rollen Beheerder, Hoofdgebruiker, Taakgebruiker, Auditor. | Ja | Ja | Ja |
| Auditing (intern en extern) | Ja | Ja | Ja |