richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Inleiding leveranciersmanagement HK.md

3.3 KiB
Raw Permalink Blame History

Inleiding

Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.

Dit document is een eerste aanzet daartoe. De inhoud moet getoetst worden aan, en aangevuld worden op basis van, beleid en managementstructuren die al in de organisatie aanwezig zijn.

Voor de rolverdeling m.b.t. het sturen op informatieveiligheid heb ik mij gebaseerd op het document Architectuurprincipes Humankind uit 2024. Hierin worden enkele aanwijzingen gegeven voor de verdeling van verantwoordelijkheden op ICT gebied, en een gesprek dat ik op 27 augustus 2024 gevoerd heb met Robin Alma.

Hieruit heb ik afgeleid:

  • De Bestuurder is aansprakelijk voor adequate informatiebeveiliging, cf. wet- en regelgeving;
  • Het Directieteam is risico-eigenaar, en in die rol neemt het besluiten over de acceptatie van restrisico's (d.w.z. of de risicobeheersende maatregelen voldoende zijn);
  • Het Directieteam stelt het beleid vast, en laat zich hierbij adviseren door de ICT Consultants, de Functionaris Gegevensbescherming en het Privacyteam, en externe adviseurs;
  • Proceseigenaren zijn verantwoordelijk voor de beschikbaarheid en integriteit van gegevens (de verantwoordelijkheid voor de implementatie van risicobeperkende maatregelen daarvoor ligt bij de afdeling I&A). De Proceseigenaren zijn de opdrachtgever van het Architectuurboard;
  • Het Architectuurboard is verantwoordelijk voor compliance met principes en beleid op ICT gebied (en dus ook op het gebied van informatiebeveiliging), en laat zich hierbij adviseren door de ICT-consultants. Afwijkingen moeten worden goedgekeurd door de Proceseigenaren;
  • Het Projectmanagement Office (PMO) bewaakt het toepassen van het beleid in projecten;
  • De afdeling Informatie & Automatisering (I&A) is, onder leiding van de Manager Informatiemanagement (Manager IM), verantwoordelijk voor het beheer van de ICT middelen en diensten en het leveranciersmanagement;
  • De Functioneel Beheerders zijn verantwoordelijk voor de configuratie van applicaties conform het vastgestelde beleid, en adviseren de Proceseigenaren hierover. Proceseigenaren zijn verantwoordelijk voor de correcte inrichting van het functioneel beheer.;
  • Medewerkers ('gebruikers') zijn verantwoordelijk voor correct gebruik van de ICT middelen, in lijn met relevant beleid.

Uit de risico inventarisatie is naar voren gekomen dat er bij Humankind nauwelijks beleid is voor het beheer van informatiebeveiliging en risicobeheersing. Om een begin te maken, dat meteen meerwaarde kan hebben voor de organisatie, heb ik in overleg met Francis Willemsen gekozen voor het onderdeel leveranciersmanagement. Het sturen op informatieveiligheid in de relatie met leveranciers is een essentieel onderdeel voor een organisatie die de levering van ICT voorzieningen grotendeels heeft uitbesteed aan externe partijen in een 'cloud first' strategie. Bovendien staan hierin verschillende grote veranderingen op stapel vanuit de Roadmap ICT.

De in dit document voorgestelde maatregelen zijn gebaseerd op best practice frameworks (specifiek ISO 27001), de Governancecode Kinderopvang, de Risico-inventarisatie en de pen-test (beiden uitgevoerd in december 2024).

Richard Kranendonk, 5 februari 2024