Studentnaam:
Studentnummer:
Versiedatum:
Instituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica (met subsidie)
Module: IT-Risicomanagement
Onderwerp: Moduleopdracht Docent:
,Voorwoord
Geachte lezer,
Graag stel ik me kort voor en geef de reden van deelname aan deze module weer. Mijn naam is XXXX
en ik ben werkzaam voor XXXX te XXXX.
Ik heb altijd de behoefte gehad om een HBO-studie te volgen en een bachelor status te behalen. Ik
volg dan nu ook de opleiding ‘HBO Bachelor Informatica (met subsidie)’ bij Hogeschool NCOI naast
mijn huidige baan in de IT. De gewenste bachelor status zal mij verder ondersteunen in de
competitieve IT-markt. Daarnaast biedt me dit mogelijk verdere doorgroeimogelijkheden in mijn
carrière bij XXXX of een latere werkgever.
Dit document bevat het eindresultaat van de moduleopdracht ‘IT-risicomanagement’. Het schrijven en
aanbieden van deze moduleopdracht is de afsluitende opdracht van deze fase.
Middels deze weg wil ik graag mijn werkgever en betrokken collega’s van harte bedanken voor de
mogelijkheden en bijdrage aan deze moduleopdracht. Een speciaal dankwoord gaat uit naar de
docent, XXXX.
Met vriendelijke groet,
XXXX
Document: XXXX Pagina: 2 van 23
Versie: 1.0
,Samenvatting
Deze moduleopdracht bestaat uit het schrijven van een adviesplan IT-Risicomanagement ten behoeve
van het management van XXXX en hanteert hiervoor aantal relevante plannen. Dit adviesplan
beschrijft het bestaande en het streefgedrag, de verbeterpunten en een aanbevolen aanpak.
Scope en inhoud
De scope van deze moduleopdracht omvat de volgende deelplannen:
• Risicoverbeterplan
• Risicocommunicatieplan
• Risicomaatregelplan
De scope van deze moduleopdracht is gericht op het proces van klantprojecten IT-infrastructuur
binnen de afdeling XXXX van XXXX. Dit proces omvat alle activiteiten, verantwoordelijkheden en
resultaten gedurende de uitvoer van deze projecten binnen het klantendomein van XXXX.
Uitvoering deelplannen
De inhoud van dit document is tot stand gekomen aan de hand van het reeds goedgekeurd
risicobeleid van XXXX en met het oog om het IT-risicomanagement binnen XXXX te verbeteren.
Ter ondersteuning van deze opdracht is gebruik gemaakt van de volgende methodieken/frameworks:
• Capability Maturity Model;
• M_o_R framework;
• PDA-cyclus;
• Kwantitatieve risicoanalyse.
Deze methodieken/frameworks zijn toegepast om het huidige en gewenste niveau van IT-
risicomanagement vast te stellen, een risicoanalyse en communicatieplan te kunnen opstellen en
maatregelen te definiëren op basis van de scope.
Goedkeuring en gewenst IT-Risicomanagement volwassenheidsniveau
Dit adviesplan is afgestemd met en beoordeeld door de XXXX Security Officer. De uiteindelijke
goedkeuring en het verlenen van mandaat aan deze plannen, zijn door de CFO (Chief Financial
Officer) gegeven op 10 augustus 2018.
Aanbevelingen, planning en kosten
Uit het uitgevoerd kwantitatief risicoanalyse onderzoek is naar voren gekomen dat XXXX wel een IT-
Risicomanagement proces toepast, echter dat deze redelijk statisch is en er geen verdere
ontwikkeling op dat vlak wordt toegepast. XXXX graag qua volwassenheidsniveau doorgroeien naar
“level 4 Kwantitatief beheerst”, waarmee IT-Risicomanagement verder ontwikkeld kan worden,
meetbaar en meer beheersbaar wordt. De PDCA-cyclus zal worden gebruikt om dit
volwassenheidsniveau te kunnen behalen en daar waar nodig bij te kunnen sturen.
Om IT-Risicomanagement verder te kunnen ontwikkelen, is de volgende planning opgesteld:
De kosten welke moeten zorgdragen voor bovenstaande aanpak, worden opgenomen als onderdeel
van het projectbudget. Een algemene raming per project is als volgt en kan per project afwijken:
• Urenraming Projectmanagement: ongeveer 2% van het totaal aan Projectmanagement uren.
• Post onvoorzien: bij escalerende situaties kan deze post worden aangesproken welke
ongeveer 5% van het projectbudget zal bedragen.
Document: XXXX Pagina: 3 van 23
Versie: 1.0
, Inhoudsopgave
Voorwoord ............................................................................................................................................... 2
Samenvatting ........................................................................................................................................... 3
Inhoudsopgave ........................................................................................................................................ 4
1 Inleiding ............................................................................................................................................ 6
1.1 Scope ....................................................................................................................................... 6
1.2 Onderbouwing proceskeuze .................................................................................................... 6
1.3 Beoordeling en mandaat ......................................................................................................... 6
1.4 Overzicht behandelde onderwerpen in het adviesplan ........................................................... 6
1.5 Leeswijzer ................................................................................................................................ 6
2 Risicoverbeterplan ............................................................................................................................ 7
2.1 Beoordeling en vastlegging ..................................................................................................... 7
2.2 Categorie doelgroep en doelstelling ........................................................................................ 7
2.2.1 Projectorganisaties klantprojecten XXXX ............................................................................ 7
2.3 Aanpak en planning ................................................................................................................. 7
2.3.1 Capability Maturity Model .................................................................................................... 7
2.3.2 M_o_R-framework ............................................................................................................... 8
2.3.3 PDCA-cyclus ........................................................................................................................ 8
2.3.4 Kwantitatieve Risicoanalyse ................................................................................................ 8
2.3.5 Planning ............................................................................................................................... 8
2.4 Gedrag en maatstaf ................................................................................................................. 9
2.4.1 Bestaand gedrag (huidige volwassenheidsniveau) ............................................................. 9
2.4.2 Streefgedrag (gewenste volwassenheidsniveau) ................................................................ 9
3 Risicocommunicatieplan................................................................................................................. 10
3.1 Communicatie: rollen en verantwoordelijkheden ................................................................... 10
3.2 Inhoud communicatie en planning ......................................................................................... 10
3.3 Overzicht stakeholders en informatiebehoefte ...................................................................... 10
3.4 Communicatiekanalen ........................................................................................................... 10
3.5 Feedback proces ................................................................................................................... 10
4 Risicomaatregelplan ....................................................................................................................... 11
4.1 Kwantitatieve Risicoanalyse .................................................................................................. 11
4.1.1 Overzicht geïdentificeerde risico’s ..................................................................................... 11
4.2 Maatregelplan ........................................................................................................................ 12
4.2.1 Projectbeheersbaarheid .................................................................................................... 12
4.2.2 Verantwoordelijkheden informatiebeveiliging .................................................................... 13
4.2.3 Projectdata ......................................................................................................................... 13
4.3 Kosten .................................................................................................................................... 13
Literatuurlijst .......................................................................................................................................... 15
Bijlage: Overzicht behandelde onderwerpen ......................................................................................... 16
Document: XXXX Pagina: 4 van 23
Versie: 1.0
Studentnummer:
Versiedatum:
Instituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica (met subsidie)
Module: IT-Risicomanagement
Onderwerp: Moduleopdracht Docent:
,Voorwoord
Geachte lezer,
Graag stel ik me kort voor en geef de reden van deelname aan deze module weer. Mijn naam is XXXX
en ik ben werkzaam voor XXXX te XXXX.
Ik heb altijd de behoefte gehad om een HBO-studie te volgen en een bachelor status te behalen. Ik
volg dan nu ook de opleiding ‘HBO Bachelor Informatica (met subsidie)’ bij Hogeschool NCOI naast
mijn huidige baan in de IT. De gewenste bachelor status zal mij verder ondersteunen in de
competitieve IT-markt. Daarnaast biedt me dit mogelijk verdere doorgroeimogelijkheden in mijn
carrière bij XXXX of een latere werkgever.
Dit document bevat het eindresultaat van de moduleopdracht ‘IT-risicomanagement’. Het schrijven en
aanbieden van deze moduleopdracht is de afsluitende opdracht van deze fase.
Middels deze weg wil ik graag mijn werkgever en betrokken collega’s van harte bedanken voor de
mogelijkheden en bijdrage aan deze moduleopdracht. Een speciaal dankwoord gaat uit naar de
docent, XXXX.
Met vriendelijke groet,
XXXX
Document: XXXX Pagina: 2 van 23
Versie: 1.0
,Samenvatting
Deze moduleopdracht bestaat uit het schrijven van een adviesplan IT-Risicomanagement ten behoeve
van het management van XXXX en hanteert hiervoor aantal relevante plannen. Dit adviesplan
beschrijft het bestaande en het streefgedrag, de verbeterpunten en een aanbevolen aanpak.
Scope en inhoud
De scope van deze moduleopdracht omvat de volgende deelplannen:
• Risicoverbeterplan
• Risicocommunicatieplan
• Risicomaatregelplan
De scope van deze moduleopdracht is gericht op het proces van klantprojecten IT-infrastructuur
binnen de afdeling XXXX van XXXX. Dit proces omvat alle activiteiten, verantwoordelijkheden en
resultaten gedurende de uitvoer van deze projecten binnen het klantendomein van XXXX.
Uitvoering deelplannen
De inhoud van dit document is tot stand gekomen aan de hand van het reeds goedgekeurd
risicobeleid van XXXX en met het oog om het IT-risicomanagement binnen XXXX te verbeteren.
Ter ondersteuning van deze opdracht is gebruik gemaakt van de volgende methodieken/frameworks:
• Capability Maturity Model;
• M_o_R framework;
• PDA-cyclus;
• Kwantitatieve risicoanalyse.
Deze methodieken/frameworks zijn toegepast om het huidige en gewenste niveau van IT-
risicomanagement vast te stellen, een risicoanalyse en communicatieplan te kunnen opstellen en
maatregelen te definiëren op basis van de scope.
Goedkeuring en gewenst IT-Risicomanagement volwassenheidsniveau
Dit adviesplan is afgestemd met en beoordeeld door de XXXX Security Officer. De uiteindelijke
goedkeuring en het verlenen van mandaat aan deze plannen, zijn door de CFO (Chief Financial
Officer) gegeven op 10 augustus 2018.
Aanbevelingen, planning en kosten
Uit het uitgevoerd kwantitatief risicoanalyse onderzoek is naar voren gekomen dat XXXX wel een IT-
Risicomanagement proces toepast, echter dat deze redelijk statisch is en er geen verdere
ontwikkeling op dat vlak wordt toegepast. XXXX graag qua volwassenheidsniveau doorgroeien naar
“level 4 Kwantitatief beheerst”, waarmee IT-Risicomanagement verder ontwikkeld kan worden,
meetbaar en meer beheersbaar wordt. De PDCA-cyclus zal worden gebruikt om dit
volwassenheidsniveau te kunnen behalen en daar waar nodig bij te kunnen sturen.
Om IT-Risicomanagement verder te kunnen ontwikkelen, is de volgende planning opgesteld:
De kosten welke moeten zorgdragen voor bovenstaande aanpak, worden opgenomen als onderdeel
van het projectbudget. Een algemene raming per project is als volgt en kan per project afwijken:
• Urenraming Projectmanagement: ongeveer 2% van het totaal aan Projectmanagement uren.
• Post onvoorzien: bij escalerende situaties kan deze post worden aangesproken welke
ongeveer 5% van het projectbudget zal bedragen.
Document: XXXX Pagina: 3 van 23
Versie: 1.0
, Inhoudsopgave
Voorwoord ............................................................................................................................................... 2
Samenvatting ........................................................................................................................................... 3
Inhoudsopgave ........................................................................................................................................ 4
1 Inleiding ............................................................................................................................................ 6
1.1 Scope ....................................................................................................................................... 6
1.2 Onderbouwing proceskeuze .................................................................................................... 6
1.3 Beoordeling en mandaat ......................................................................................................... 6
1.4 Overzicht behandelde onderwerpen in het adviesplan ........................................................... 6
1.5 Leeswijzer ................................................................................................................................ 6
2 Risicoverbeterplan ............................................................................................................................ 7
2.1 Beoordeling en vastlegging ..................................................................................................... 7
2.2 Categorie doelgroep en doelstelling ........................................................................................ 7
2.2.1 Projectorganisaties klantprojecten XXXX ............................................................................ 7
2.3 Aanpak en planning ................................................................................................................. 7
2.3.1 Capability Maturity Model .................................................................................................... 7
2.3.2 M_o_R-framework ............................................................................................................... 8
2.3.3 PDCA-cyclus ........................................................................................................................ 8
2.3.4 Kwantitatieve Risicoanalyse ................................................................................................ 8
2.3.5 Planning ............................................................................................................................... 8
2.4 Gedrag en maatstaf ................................................................................................................. 9
2.4.1 Bestaand gedrag (huidige volwassenheidsniveau) ............................................................. 9
2.4.2 Streefgedrag (gewenste volwassenheidsniveau) ................................................................ 9
3 Risicocommunicatieplan................................................................................................................. 10
3.1 Communicatie: rollen en verantwoordelijkheden ................................................................... 10
3.2 Inhoud communicatie en planning ......................................................................................... 10
3.3 Overzicht stakeholders en informatiebehoefte ...................................................................... 10
3.4 Communicatiekanalen ........................................................................................................... 10
3.5 Feedback proces ................................................................................................................... 10
4 Risicomaatregelplan ....................................................................................................................... 11
4.1 Kwantitatieve Risicoanalyse .................................................................................................. 11
4.1.1 Overzicht geïdentificeerde risico’s ..................................................................................... 11
4.2 Maatregelplan ........................................................................................................................ 12
4.2.1 Projectbeheersbaarheid .................................................................................................... 12
4.2.2 Verantwoordelijkheden informatiebeveiliging .................................................................... 13
4.2.3 Projectdata ......................................................................................................................... 13
4.3 Kosten .................................................................................................................................... 13
Literatuurlijst .......................................................................................................................................... 15
Bijlage: Overzicht behandelde onderwerpen ......................................................................................... 16
Document: XXXX Pagina: 4 van 23
Versie: 1.0
