Programma Cyberveiligheid mbo
Governance-nulmeting
Een duidelijke governance voor informatieveiligheid is belangrijk. Want alleen als je alle risico’s in kaart hebt, kun je de juiste beslissingen nemen. In een governance-structuur hebben instellingen de drie volgende onderdelen helder vastgelegd:
- Taken, bevoegdheden en verantwoordelijkheden.
- Een organisatorisch managementsysteem voor het omgaan met risico’s.
- Procedures over sturing en rapportage inzake informatieveiligheid.
Governance in kaart
Met de governance-nulmeting brengen we in kaart hoe mbo-instellingen de governance van informatiebeveiliging hebben ingericht. De uitkomsten van dit onderzoek zijn binnen de organisatie een interessante gesprekstarter. En sectorbreed geven ze een goed beeld van hoe governance op het gebied van informatieveiligheid binnen het mbo is georganiseerd.
Vragen voor bestuurders en IBP’ers
Voor de governance-nulmeting ontvangen zowel de bestuurder als de IBP-functionaris vragenlijsten, die zij elk vanuit hun eigen perspectief invullen. Op basis van de antwoorden ontvangen instellingen een schoolspecifieke rapportage met de bevindingen.
Voorbeelden van de (multiplechoice)vragen:
- Hoe is het CvB of het Management Team betrokken bij het vaststellen van beleid ten aanzien van informatieveiligheid en privacy?
- Hoe zijn taken, bevoegdheden en verantwoordelijkheden ten aanzien van informatiebeveiligingen privacy gedocumenteerd en bekend bij het CvB?
- Hoe is het CvB betrokken bij beheersen van risico’s rond informatiebeveiliging?
Ondersteuning vanuit programma Cyberveiligheid
De uitkomsten van de governance-nulmeting geven een goed beeld van hoe governance op het gebied van informatieveiligheid in de mbo-sector is georganiseerd. Vanuit het programma Cyberveiligheid starten we op basis van de inzichten overkoepelend activiteiten op om instellingen te helpen bij het optimaliseren van de sturing van informatieveiligheid. Denk hierbij aan gerichte hulp vanuit ons initiatief CISO-as-a-service of ondersteuning bij het vastleggen van taken en bevoegdheden in de mbo-brede GRC-applicatie.
Zo gaat de governance-nulmeting in zijn werk
Voor de governance-nulmeting hebben we de volgende werkwijze opgesteld:
- Inschrijving: Uitvragen contactgegevens door het invullen van bovenvermelde formulier.
- Informeren bestuurder: Met de informatie uit het formulier informeert MBO Digitaal de bestuurder over de governance-nulmeting. Daarbij geven we aan dat de (via het formulier opgegeven) IB-functionaris de bestuurder benadert om de vragenlijst in te vullen.
- Uitsturen enquête: Tot slot verzoeken we de IB-functionaris om zelf de vragenlijst voor de IB-functionaris in te vullen, en de bestuurder te vragen om de versie voor de bestuurder in te vullen. In de uitnodiging zullen beide enquêtes worden bijgevoegd.
- Retourneren vragenlijsten: Na het invullen van de vragenlijsten stuurt de IB’er beide ingevulde vragenlijsten terug naar MBO Digitaal.
- Rapportage: MBO Digitaal verzamelt de antwoorden van alle instellingen en stelt de instellingsrapportages op. De verzamelde gegevens verwerken we geanonimiseerd in een mbo-breed sectorrapport.
De informatievoorziening verloopt verder via e-mail en het (besloten) netwerk IBP in het mbo.
Planning governance-nulmeting