58 lines
No EOL
3.8 KiB
Markdown
58 lines
No EOL
3.8 KiB
Markdown
|
||
|
||
Acties liggen voor nu (12 december 2024) op het vlak van beleidsvorming.
|
||
|
||
## Scope o.b.v. risico inventarisatie
|
||
- Dataclassificatie en omgang met geclassificeerde data (Actielijst 3.3)
|
||
- Beheer van van Teams groepen en SharePoint sites (Actielijst 3.1) – m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
|
||
- Toegangsverlening tot SaaS applicaties (Actielijst 2.6)
|
||
- Beheer van admin-accounts op de verschillende applicaties en omgevingen (Actielijst 2.4)
|
||
- Richtlijnen voor gebruik van niet-gemandateerde software (Actielijst 5.2)
|
||
- Bedrijfscontinuïteit: BIA, IRP/DRP (Actielijst 6.1)
|
||
|
||
## Aanpak
|
||
|
||
**Starten met de basis: Dataclassificatie en omgang met gevoelige gegevens**
|
||
|
||
Zie wellicht ook [architectuurdocument](OrgFit%20Architectuurprincipes%20Humankind.md)
|
||
|
||
1. Vaststellen van de verschillende niveaus o.b.v. impact op continuïteit, financiën, reputatie en compliance (wet- en regelgeving, intern beleid).
|
||
- [ ] Richard, met Insiyah en Francis 3.3.1 3.3.2 WEEK3
|
||
2. identificeren van voorbeelden van geclassificeerde informatie binnen Humankind
|
||
- Voorbeelddocumenten verzamelen aan de hand van de ORGfit Informatiematrix en evt. screenshots van de belangrijkste applicaties
|
||
- [ ] Gaston (voorbeelddocumenten) WEEK 6
|
||
- Toekennen van classificatie (in overleg)
|
||
- [ ] Richard doet voorzet WEEK 7
|
||
- opstellen van algemene richtlijnen per classificatieniveau (voor gebruik, opslag, delen en verwijderen van informatie)
|
||
- [ ] *stelt Richard in algemeenheid op* SESSIE WEEK 8
|
||
3. vertalen in richtlijnen voor de verschillende applicaties en devices, te beginnen met Teams, SharePoint en de belangrijkste applicaties
|
||
- Afstemmen met de FuBe’s en IT consultants, ook voor draagvlak
|
||
4. Voorstel opleveren en besluit nemen
|
||
5. Voorstel voor borgen van het beheer in de organisatie
|
||
|
||
**Toegangsverlening tot SharePoint, Teams en SaaS applicaties**
|
||
|
||
1. Definiëren van de verschillende rollen m.b.t. informatie (data owner, data steward, applicatiebeheerder, IT beheerder, eindgebruiker) en hun taken/verantwoordelijkheden
|
||
- [ ] Overkoepelend afspreken met Mendy, Roxanne obv architectuurprincipes uit governance werkgroep van Beter Sturen
|
||
2. Bepalen ‘need to know’ en ‘need to edit’ voor de verschillende gegevensverzamelingen i.r.t. het functiehuis van Humankind (update van de ORGfit Informatiematrix?)
|
||
3. Bepalen van de noodzakelijke _beheersrechten_ op systemen (‘least privilege’)
|
||
4. Toewijzen van de informatie-rollen aan functies/rollen binnen Humankind
|
||
5. Voorstel voor borgen van het beheer in de organisatie
|
||
|
||
**Richtlijnen voor gebruik van niet-gemandateerde software**
|
||
- Op basis van best practices
|
||
- Definiëren wat gemandateerde software is (white listing),
|
||
- Ophalen welke niet gemandateerde software gebruikt worden (via Ilionx)
|
||
- [ ] Tom levert lijst aan met white listing software
|
||
- [ ] Richard levert lijst van Universiteit van Leiden als voorbeeld.
|
||
- [ ] Richard neemt tablet-beleid van Mediawijsheid mee in beleid
|
||
- [ ] Gaston zoekt op wat er al is op het gebied van Mediabeleid (youtube etc)
|
||
|
||
**Bedrijfscontinuïteit**
|
||
- Business Impact Analyse: organiseren workshop
|
||
- [ ] Deelnemers workshop nodig
|
||
- [ ] Francis vraagt : Is er al een impactanalyse voor de accountant? Back-up en recovery?
|
||
- [ ] Plannen en uitnodigen workshop door Gaston, ondersteunt door Francis: Business controller, AMP, Manager finance &control, regiodirecteur, FB kidsvison, FB ouderapp, FB Mercash, Manager Faciltair, Manager IM, Manager HR,
|
||
- [ ] Afstemmen met directeur bedrijfsvoering voor akkoord.
|
||
- Disaster Recovery Procedure: organiseren workshop
|
||
- [ ] Vervolg op eerdere workshop, plannen na de eerste. |