Programma Cyberveiligheid mbo
Keuzehulp GRC-applicatie
Begin 2024 krijgen alle mbo-instellingen toegang tot hun eigen omgeving binnen de mbo-brede GRC-applicatie. Vanuit het programma Cyberveiligheid bieden we ondersteuning, zodat elke school de applicatie ook daadwerkelijk kan gebruiken. Dat begint bij hulp bij het kiezen van een van de drie voorgeprogrammeerde gebruiksscenario’s. We leggen hier de basis van de selectie uit, voor advies op maat kun je contact opnemen met Henry Meutstege.
| Functionaliteiten GRC-applicatie | Scenario 1 Basis |
Scenario 2 Uitgebreid |
Scenario 3 Volledig risicogebaseerd |
| Vastleggen organisatiestructuur, taken, bevoegdheden en verantwoordelijkheden | Nee | Ja | Ja
|
| Vastleggen bedrijfsprocessen | Nee | Ja | Ja |
| Asset register (incl. applicaties, vastleggen classificatie, SLA’s etc) | Nee | Nee | Ja |
| Ondersteuning normen, frameworks (compliance management) w.o. NBA-kader | Ja | Ja | Ja |
| Benchmark onderzoeken en GAP-analyse | Ja | Ja | Ja |
| (Operationeel) Risicomanagement t.a.v. IB&P | Nee | Ja | Ja |
| Geavanceerde risicobeoordeling en -management | Nee | Nee | Ja |
| Leveranciersmanagement | Nee | Nee | Ja |
| Beheersmaatregelen | Ja | ja | Ja |
| Koppelen uiteenlopende documenten en commentaar aan risico’s en beheersmaatregelen | Ja | Ja | Ja |
| Taken koppelen aan beheersmaatregelen (NBA-kader en aan operationele risico’s) | Nee | Ja | Ja |
| Rapportage (volwassenheid en benchmark [1-3], risico’s [2-3], voortgang [2-3]) | Ja | Ja | Ja |
| Toewijzen rollen Beheerder, Hoofdgebruiker, Taakgebruiker, Auditor. | Ja | Ja | Ja |
| Auditing (intern en extern) | Ja | Ja | Ja |
Wegwijs in de gebruiksscenario’s
Onderstaand schema wijst jou als IBP’er de weg in de mogelijkheden van de GRC-applicatie voor mbo-scholen. Door de vragen te beantwoorden, kom je uit bij het gebruiksscenario dat past bij de manier van werken van jouw instelling. We adviseren om in de GRC-applicatie te starten met dit scenario, zodat jullie goed leren werken met de applicatie voor jullie specifieke situatie. In een later stadium kan je binnen de applicatie overstappen naar een volgend scenario. Op deze manier helpt het schema om een passende ontwikkelingsroute binnen de GRC-applicatie te kiezen.
Rekening houden met ambitie
Vanuit de nulmeting IB uit 2022 weten we dat de meeste mbo-scholen nog in het beginstadium van risicogericht werken zitten. Gebruiksscenario 1 van de mbo-brede GRC-applicatie zou daarom op dit moment het best aansluiten bij de werkwijze van de school. Maar als IBP’er wil je soms sneller groeien naar een meer risicogebaseerde werkwijze. Daarom is ook van belang om mee te wegen hoe je school de komende jaren zou willen werken. Zo weten we dat er instellingen zijn die nu nog werken volgens scenario 1, maar ook deels aansluiten bij scenario 2. Bijvoorbeeld omdat ze risico’s willen koppelen aan organisatieonderdelen. Als IBP’er van zo’n school kan je dan beter kiezen voor scenario 2.
We adviseren wel om niet meer dan één niveau boven het eigen scenario te kiezen. Een grotere stap maakt het werken met de GRC-applicatie onnodig ingewikkeld. Zodra je instelling toe is om meer aan risicomanagement te doen, kan je alsnog overschakelen naar scenario 3.