4.2 KiB
Nodig door vertrek John Keulen, komst Roxanne Kokol, benoeming Francis Willemsen tot Programmamanager ICT Roadmap.
Deliverables:
- Inhuizen Servicedesk
- Risicoanalyse Humankind
- Fit/gap analyse
- Implementatieplan
- Informatiebeveiligingsbeleid
Uit de oorspronkelijke opdracht resterende 10 dagen kunnen bijv. besteed kunnen worden aan:
- Risicomanagement bij de transities uit de Roadmap ICT
- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx
- Awareness training van medewerkers en management
- Borging van het beleid in de organisatie.
Document Herijking
Aanleiding
In juni 2024 is mij door het Bestuur van Humankind de opdracht gegund om de informatieveiligheid van de organisatie naar een hoger plan te brengen.
Mijn voorstel van destijds was gebaseerd op een uitvraag, en bijsturing daarop, van de Manager Informatie Management John Keulen.
De daarin gegeven aanpak was product gebaseerd, en bestond in hoofdlijnen uit:
- Een check op basisveiligheid door een onafhankelijke partij - Managementworkshops voor bewustwording en eigenaarschap - Workshops voor risico analyse - Het produceren van beleidsstukken op verschillende relevante onderwerpen.
Bijstelling opdracht
Naar aanleiding van verschillende ontwikkelingen in de organisatie (o.a. een wisseling van management) heb ik op 18 oktober jl. een overleg gehad met Roxanne Kokol, Francis Willemsen en Mendy Peeters, waarin mijn bijdrage op korte termijn als volgt gevraagd werd:
- Ondersteunen van Mendy bij het inrichten van de incidentenprocedure rond het inhuizen van de Servicedesk, en het verzorgen van een awareness training
- Helderheid scheppen m.b.t. een aantal eerder gesignaleerde risico’s door interviews met medewerkers
- Een notitie opstellen over de gevolgen van NIS 2 voor Humankind
- Uitvoeren van een fit/gap analyse tussen bestaande beleidsstukken en het ISO 27001 framework
- Opstellen van een implementatieplan o.b.v. de fit/gap analyse
Besloten is dat de deliverables uit Fase II[1] onderdeel worden van het op te stellen informatiebeveiligingsbeleid.
Het ontwikkelen van de benodigde capaciteiten in de organisatie (fase III) komt aan de orde in het implementatieplan.
Daarmee verandert de opdracht van karakter, nl. van “lever vastgestelde producten op een aantal thema’s”, naar:
“Help ons Humankind veiliger te maken.”
Dat doe ik met veel plezier en ik denk dat deze benadering uiteindelijk effectiever is bij de transities waar Humankind nu voor staat.
Invulling budget
Op verzoek van Francis Willemsen maak ik een inschatting van wat er binnen de huidige opdracht gerealiseerd kan worden.
In de oorspronkelijke aanbieding is €34.300 gebudgeteerd voor fase I t/m III[2]. Daarop is t/m oktober €6.050 gefactureerd, wat betekent dat de budgetruimte per 1 november €28.250 bedraagt, overeenkomend met ongeveer 26 dagen.
| Inschatting | |
| Inhuizen Servicedesk | 3 |
| Risico inventarisatie | 3 |
| Fit/gap analyse | 2 |
| Implementatieplan | 3 |
| Informatiebeveiligingsbeleid | 5 |
| TOTAAL | 16 |
Stand per 1 november, in dagen
Hiermee resteren er nog 10 dagen die bijv. besteed kunnen worden aan:
- Risicomanagement bij de transities uit de Roadmap ICT
- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx - Awareness training van medewerkers en management - Borging van het beleid in de organisatie.
[1] O.a. besturingsmodel, risicomanagement, incident response, leveranciersmanagement, sturing op informatieveiligheid en helderheid voor toezichthouders
[2] €3.500 + €14.300 + €16.500, excl. stelpost voor pentest