bron: https://www.HS.nl/utrecht/home
Adviesrapport:
“Focus op verbeteren”
Student : LH NCOI Opleidingsgroep
Studentnummer: 419765 HBO Business IT & Management
Datum : 3 oktober 2019 Module IT risicomanagement
Docent: Dhr. W. Muller
,Voorwoord
In het kader van de moduleopdracht IT-risicomanagement heb ik ervoor gekozen om een advies-
rapport te schrijven voor de vrijwilligersorganisatie HS. Zelf ben ik als vrijwilliger actief geweest en ben
van mening dat ook mijn kennis op het gebied van IT-risicomanagement de organisatie verder kan
optimaliseren met betrekking tot haar informatie-huishouding.
LH
Oktober 2019
Bladzijde 2-19
, Samenvatting
Voor u ligt de managementsamenvatting van het adviesrapport “Focus op verbeteren” voor HS
Utrecht. Deze vrijwilligersorganisatie biedt gezinsondersteuning bij lichte, alledaagse opvoedvragen.
Met betrekking tot het beheren van haar informatie-huishouding zijn er weinig tot geen afspraken
gemaakt en heeft tot nu toe geen hoge prioriteit. Dit geldt voor iedere regio van HS in Nederland. Voor
haar bedrijfsvoering maakt HS Utrecht gebruik van ICT-middelen o.a. voor de Client-registratie. Naar
aanleiding van een issue is duidelijk geworden dat er geen inzicht is in de aanwezige risico`s en welke
impact deze hebben.
In deze moduleopdracht wordt aan de hand van de “Management Of Risk” methodiek (M_O_R)
onderzocht welke IT-risico`s dit zijn. Om zodoende IT-risicomanagement te “embedden” binnen de
organisatie. Op onderstaande vragen geeft dit rapport antwoord:
1. Welke risico’s zijn er?
2. Wat is de impact van de risico’s op de huidige ICT-infrastructuur, en meer specifiek op de
client-registratie?
3. Welke beheersmaatregelen zijn er nodig?
4. Op welke manier kan risicomanagement worden geïntroduceerd binnen de organisatie?
De doelstelling van dit adviesrapport is om aan te geven welke maatregelen benodigd zijn om de
risico`s te minimaliseren en te bepalen welke de meeste impact hebben op de bedrijfsvoering en
informatie-huishouding van HS Utrecht. Zo is bijvoorbeeld eerst de context bepaald waarin HS zich
bevindt. Ook is er gekeken naar de volwassenheid van risicomanagement binnen de organisatie.
Vervolgens is hier van een risicoanalyse opgesteld. Deze is verder gebaseerd op gesprekken met
medewerkers. Op basis hiervan zijn de risico`s geïdentificeerd, ingeschat en geëvalueerd.
Conclusie
Uit de analyse blijken de hiaten op het gebied van IT-risicomanagement en Informatiebeveiliging. Ook
blijkt duidelijk dat HS medewerkers zich niet geheel bewust zijn van de risico`s en nog onvoldoende
stil staat bij de consequenties. Het personeel is overwegend positief m.b.t. een geborgde
informatiebeveiliging en het beter beheren van de risico`s.
Het opgestelde risicoverbeterplan geeft inzicht in de manier waarop risicomanagement en
informatiebeveiliging wordt geoptimaliseerd. Door gebruik te maken van de PDCA 1 cyclus worden de
verbeteringen stapsgewijs doorgevoerd en geborgd. Er kunnen daarnaast kosten (centrale inkoop
ICT) worden bespaard door meer optimale afspraken met de huidige leverancier.
Aanbevelingen
Het implementeren van de verbeteringen zal gecommuniceerd moeten worden met de stakeholders
van HS. Daarvoor is er een communicatieplan opgesteld waarmee alle noodzakelijke informatie tijdig
en volledig wordt gecommuniceerd. Bij de implementatie van de beheersmaatregelen wordt weerstand
verwacht onder het personeel. Passende tegenmaatregelen zijn daarvoor opgesteld. Bij de
implementatie van de maatregelen worden de risico`s op een juiste wijze gemanaged. De impact op
schade kan daarmee tot een minimum beperkt worden. De cliënten van HS kunnen erop vertrouwen
dat persoonlijke gegevens veilig beheerd en geborgd worden (en blijven).
1
PDCA => PLAN (Plan), DO (Implement), CHECK (Identify) en ACT (Assess)
Bladzijde 3-19
Adviesrapport:
“Focus op verbeteren”
Student : LH NCOI Opleidingsgroep
Studentnummer: 419765 HBO Business IT & Management
Datum : 3 oktober 2019 Module IT risicomanagement
Docent: Dhr. W. Muller
,Voorwoord
In het kader van de moduleopdracht IT-risicomanagement heb ik ervoor gekozen om een advies-
rapport te schrijven voor de vrijwilligersorganisatie HS. Zelf ben ik als vrijwilliger actief geweest en ben
van mening dat ook mijn kennis op het gebied van IT-risicomanagement de organisatie verder kan
optimaliseren met betrekking tot haar informatie-huishouding.
LH
Oktober 2019
Bladzijde 2-19
, Samenvatting
Voor u ligt de managementsamenvatting van het adviesrapport “Focus op verbeteren” voor HS
Utrecht. Deze vrijwilligersorganisatie biedt gezinsondersteuning bij lichte, alledaagse opvoedvragen.
Met betrekking tot het beheren van haar informatie-huishouding zijn er weinig tot geen afspraken
gemaakt en heeft tot nu toe geen hoge prioriteit. Dit geldt voor iedere regio van HS in Nederland. Voor
haar bedrijfsvoering maakt HS Utrecht gebruik van ICT-middelen o.a. voor de Client-registratie. Naar
aanleiding van een issue is duidelijk geworden dat er geen inzicht is in de aanwezige risico`s en welke
impact deze hebben.
In deze moduleopdracht wordt aan de hand van de “Management Of Risk” methodiek (M_O_R)
onderzocht welke IT-risico`s dit zijn. Om zodoende IT-risicomanagement te “embedden” binnen de
organisatie. Op onderstaande vragen geeft dit rapport antwoord:
1. Welke risico’s zijn er?
2. Wat is de impact van de risico’s op de huidige ICT-infrastructuur, en meer specifiek op de
client-registratie?
3. Welke beheersmaatregelen zijn er nodig?
4. Op welke manier kan risicomanagement worden geïntroduceerd binnen de organisatie?
De doelstelling van dit adviesrapport is om aan te geven welke maatregelen benodigd zijn om de
risico`s te minimaliseren en te bepalen welke de meeste impact hebben op de bedrijfsvoering en
informatie-huishouding van HS Utrecht. Zo is bijvoorbeeld eerst de context bepaald waarin HS zich
bevindt. Ook is er gekeken naar de volwassenheid van risicomanagement binnen de organisatie.
Vervolgens is hier van een risicoanalyse opgesteld. Deze is verder gebaseerd op gesprekken met
medewerkers. Op basis hiervan zijn de risico`s geïdentificeerd, ingeschat en geëvalueerd.
Conclusie
Uit de analyse blijken de hiaten op het gebied van IT-risicomanagement en Informatiebeveiliging. Ook
blijkt duidelijk dat HS medewerkers zich niet geheel bewust zijn van de risico`s en nog onvoldoende
stil staat bij de consequenties. Het personeel is overwegend positief m.b.t. een geborgde
informatiebeveiliging en het beter beheren van de risico`s.
Het opgestelde risicoverbeterplan geeft inzicht in de manier waarop risicomanagement en
informatiebeveiliging wordt geoptimaliseerd. Door gebruik te maken van de PDCA 1 cyclus worden de
verbeteringen stapsgewijs doorgevoerd en geborgd. Er kunnen daarnaast kosten (centrale inkoop
ICT) worden bespaard door meer optimale afspraken met de huidige leverancier.
Aanbevelingen
Het implementeren van de verbeteringen zal gecommuniceerd moeten worden met de stakeholders
van HS. Daarvoor is er een communicatieplan opgesteld waarmee alle noodzakelijke informatie tijdig
en volledig wordt gecommuniceerd. Bij de implementatie van de beheersmaatregelen wordt weerstand
verwacht onder het personeel. Passende tegenmaatregelen zijn daarvoor opgesteld. Bij de
implementatie van de maatregelen worden de risico`s op een juiste wijze gemanaged. De impact op
schade kan daarmee tot een minimum beperkt worden. De cliënten van HS kunnen erop vertrouwen
dat persoonlijke gegevens veilig beheerd en geborgd worden (en blijven).
1
PDCA => PLAN (Plan), DO (Implement), CHECK (Identify) en ACT (Assess)
Bladzijde 3-19
