Programma Cyberveiligheid mbo

Keuzehulp GRC-applicatie

Scholen kiezen voor de GRC-applicatie een gebruiksscenario dat het best past bij hun huidige werkwijze én bij hun ambities op het gebied van cyberrisicomanagement. Op deze pagina geven we tips om tot de juiste keuze te komen.

Begin 2024 krijgen alle mbo-instellingen toegang tot hun eigen omgeving binnen de mbo-brede GRC-applicatie. Vanuit het programma Cyberveiligheid bieden we ondersteuning, zodat elke school de applicatie ook daadwerkelijk kan gebruiken. Dat begint bij hulp bij het kiezen van een van de drie voorgeprogrammeerde gebruiksscenario’s. We leggen hier de basis van de selectie uit, voor advies op maat kun je contact opnemen met  Henry Meutstege.

Functionaliteiten GRC-applicatie   Scenario 1
Basis 		 Scenario 2
Uitgebreid  		 Scenario 3
Volledig risicogebaseerd 
Vastleggen organisatiestructuur, taken, bevoegdheden en verantwoordelijkheden  Nee  Ja  Ja 

 
Vastleggen bedrijfsprocessen  Nee  Ja  Ja 
Asset register (incl. applicaties, vastleggen classificatie, SLA’s etc)  Nee  Nee  Ja 
Ondersteuning normen, frameworks (compliance management) w.o. NBA-kader  Ja  Ja  Ja 
Benchmark onderzoeken en GAP-analyse  Ja  Ja  Ja 
(Operationeel) Risicomanagement t.a.v. IB&P   Nee  Ja  Ja 
Geavanceerde risicobeoordeling en -management  Nee  Nee  Ja 
Leveranciersmanagement  Nee  Nee  Ja 
Beheersmaatregelen   Ja  ja  Ja 
Koppelen uiteenlopende documenten en commentaar aan risico’s en beheersmaatregelen  Ja  Ja  Ja 
Taken koppelen aan beheersmaatregelen (NBA-kader en aan operationele risico’s)  Nee  Ja  Ja 
Rapportage (volwassenheid en benchmark [1-3], risico’s [2-3], voortgang [2-3])  Ja  Ja  Ja 
Toewijzen rollen Beheerder, Hoofdgebruiker, Taakgebruiker, Auditor.  Ja  Ja  Ja 
Auditing (intern en extern)  Ja  Ja  Ja 

Wegwijs in de gebruiksscenario’s 

Onderstaand schema wijst jou als IBP’er de weg in de mogelijkheden van de GRC-applicatie voor mbo-scholen. Door de vragen te beantwoorden, kom je uit bij het gebruiksscenario dat past bij de manier van werken van jouw instelling. We adviseren om in de GRC-applicatie te starten met dit scenario, zodat jullie goed leren werken met de applicatie voor jullie specifieke situatie. In een later stadium kan je binnen de applicatie overstappen naar een volgend scenario. Op deze manier helpt het schema om een passende ontwikkelingsroute binnen de GRC-applicatie te kiezen. 

Rekening houden met ambitie 

Vanuit de nulmeting IB uit 2022 weten we dat de meeste mbo-scholen nog in het beginstadium van risicogericht werken zitten. Gebruiksscenario 1 van de mbo-brede GRC-applicatie zou daarom op dit moment het best aansluiten bij de werkwijze van de school. Maar als IBP’er wil je soms sneller groeien naar een meer risicogebaseerde werkwijze. Daarom is ook van belang om mee te wegen hoe je school de komende jaren zou willen werken. Zo weten we dat er instellingen zijn die nu nog werken volgens scenario 1, maar ook deels aansluiten bij scenario 2. Bijvoorbeeld omdat ze risico’s willen koppelen aan organisatieonderdelen. Als IBP’er van zo’n school kan je dan beter kiezen voor scenario 2.  

We adviseren wel om niet meer dan één niveau boven het eigen scenario te kiezen. Een grotere stap maakt het werken met de GRC-applicatie onnodig ingewikkeld. Zodra je instelling toe is om meer aan risicomanagement te doen, kan je alsnog overschakelen naar scenario 3. 

Contactpersoon

Neem contact op met Henry Meutstege voor meer informatie.