richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Actielijst Risico inventarisatie Humankind.md

3.8 KiB
Raw Blame History

Acties liggen voor nu (12 december 2024) op het vlak van beleidsvorming.

Scope o.b.v. risico inventarisatie

  • Dataclassificatie en omgang met geclassificeerde data (Actielijst 3.3)
  • Beheer van van Teams groepen en SharePoint sites (Actielijst 3.1) m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
  • Toegangsverlening tot SaaS applicaties (Actielijst 2.6)
  • Beheer van admin-accounts op de verschillende applicaties en omgevingen (Actielijst 2.4)
  • Richtlijnen voor gebruik van niet-gemandateerde software (Actielijst 5.2)
  • Bedrijfscontinuïteit: BIA, IRP/DRP (Actielijst 6.1)

Aanpak

Starten met de basis: Dataclassificatie en omgang met gevoelige gegevens

Zie wellicht ook architectuurdocument

  1. Vaststellen van de verschillende niveaus o.b.v. impact op continuïteit, financiën, reputatie en compliance (wet- en regelgeving, intern beleid).
    • Richard, met Insiyah en Francis 3.3.1  3.3.2 WEEK3
  2. identificeren van voorbeelden van geclassificeerde informatie binnen Humankind
    • Voorbeelddocumenten verzamelen aan de hand van de ORGfit Informatiematrix en evt. screenshots van de belangrijkste applicaties
      • Gaston (voorbeelddocumenten) WEEK 6
    • Toekennen van classificatie (in overleg)
      • Richard doet voorzet WEEK 7
    • opstellen van algemene richtlijnen per classificatieniveau (voor gebruik, opslag, delen en verwijderen van informatie)
      • stelt Richard in algemeenheid op SESSIE WEEK 8
  3. vertalen in richtlijnen voor de verschillende applicaties en devices, te beginnen met Teams, SharePoint en de belangrijkste applicaties
    • Afstemmen met de FuBes en IT consultants, ook voor draagvlak
  4. Voorstel opleveren en besluit nemen
  5. Voorstel voor borgen van het beheer in de organisatie

Toegangsverlening tot SharePoint, Teams en SaaS applicaties

  1. Definiëren van de verschillende rollen m.b.t. informatie (data owner, data steward, applicatiebeheerder, IT beheerder, eindgebruiker) en hun taken/verantwoordelijkheden
    • Overkoepelend afspreken met Mendy, Roxanne obv architectuurprincipes uit governance werkgroep van Beter Sturen
  2. Bepalen need to know en need to edit voor de verschillende gegevensverzamelingen i.r.t. het functiehuis van Humankind (update van de ORGfit Informatiematrix?)
  3. Bepalen van de noodzakelijke beheersrechten op systemen (least privilege)
  4. Toewijzen van de informatie-rollen aan functies/rollen binnen Humankind
  5. Voorstel voor borgen van het beheer in de organisatie

Richtlijnen voor gebruik van niet-gemandateerde software

  • Op basis van best practices
  • Definiëren wat gemandateerde software is (white listing),
  • Ophalen welke niet gemandateerde software gebruikt worden (via Ilionx)
  • Tom levert lijst aan met white listing software 
  • Richard levert lijst van Universiteit van Leiden als voorbeeld. 
  • Richard neemt tablet-beleid van Mediawijsheid mee in beleid 
  • Gaston zoekt op wat er al is op het gebied van Mediabeleid (youtube etc)

Bedrijfscontinuïteit

  • Business Impact Analyse: organiseren workshop
    • Deelnemers workshop nodig
    • Francis vraagt : Is er al een impactanalyse voor de accountant? Back-up en recovery?
    • Plannen en uitnodigen workshop door Gaston, ondersteunt door Francis: Business controller, AMP, Manager finance &control, regiodirecteur, FB kidsvison, FB ouderapp, FB Mercash, Manager Faciltair, Manager IM, Manager HR,
    • Afstemmen met directeur bedrijfsvoering voor akkoord.
  • Disaster Recovery Procedure: organiseren workshop
    • Vervolg op eerdere workshop, plannen na de eerste.