Beheerprocessen

gepubliceerd op 14 maart 2024

Het Normenkader IBP noemt in domeinen 5, 6, 7 en 11 beheerprocessen. Een beheerproces is een formele beschrijving van het beheren van een deel van je ict. Deze beheerprocessen grijpen in elkaar. Beheer je je ict zelf, dan zul je de beheerprocessen ook zelf uitvoeren. Besteed je je ict uit, dan ligt die verantwoordelijkheid vaak bij je leveranciers, al heb je zelf ook soms een rol.

Ieder beheerproces draagt bij aan het zorgvuldig beheren van je ict-omgeving en de continuïteit van de ict-omgeving (en het onderwijs). Beheer wordt vaak ingericht volgens een procesgerichte aanpak, bijvoorbeeld via ITIL (Information Technology Infrastructure Library). Het normenkader definieert verschillende beheerprocessen:

  • Changemanagement is een proces om op gestructureerde wijze wijzigingen door te voeren in ict-middelen en diensten en zo onnodige verstoringen en fouten te voorkomen. Bijvoorbeeld het toevoegen van een nieuwe functionaliteit in een applicatie om online huiswerk te maken.
  • Incidentmanagement is een proces om verstoringen van de continuïteit eenduidig en gestructureerd op te lossen. Bijvoorbeeld het afhandelen van een incident waarbij de netwerkverbinding op een locatie niet beschikbaar is en applicaties niet toegankelijk zijn.
  • Problemmanagement is het proces van identificeren en oplossen van oorzaken van (potentiële) incidenten en problemen. Bijvoorbeeld het achterhalen en wegnemen van de oorzaak van steeds terugkerende haperingen in de netwerkverbinding op een locatie.
  • Patchmanagement is een proces om updates te implementeren voor kwetsbaarheden in software en andere systemen, zodat misbruik van kwetsbaarheden voorkomen wordt. Bijvoorbeeld het updaten van je Microsoft-omgeving.
  • Threat- en Vulnerabilitymanagement is een proces om bedreigingen te identificeren en kwetsbaarheden tijdig te detecteren en te verhelpen. Bijvoorbeeld door scans uit te voeren die kwetsbaarheden opsporen in de servers waar je belangrijkste applicaties op draaien.
  • Configuratiemanagement is het proces van bijhouden van alle informatie van en over ict-componenten binnen de organisatie. Bijvoorbeeld het registreren van nieuw uitgegeven laptops aan docenten.

Wat zegt het Normenkader IBP? 

Het Normenkader Informatiebeveiliging en Privacy beschrijft in verschillende domeinen de normen voor de beheerprocessen. Bijvoorbeeld in domein 5 de normen voor configurationmanagement, in domein 6 de normen voor incidentmanagement en problemmanagement, in domein 7 de normen voor changemanagement, en in domein 11 de normen voor patchmanagement en threat- & vulnerabilitymanagement.

Wie doet wat? 

Bij het inrichten van beheerprocessen zijn verschillende rollen betrokken met elk hun eigen taken. Deze kunnen variëren per proces.

Als beheerprocessen uitbesteed worden blijft er altijd een bepaalde verantwoordelijkheid liggen bij het schoolbestuur. Dit kan verschillen per beheerproces, en is sterk afhankelijk van de afspraken met leveranciers. Denk bijvoorbeeld aan het uitvoeren van specifieke werkzaamheden in het changeproces (testen, impact op processen bepalen) of het updaten van een configuratiemanagementregister. Om aan je verantwoordelijkheid als schoolbestuur te kunnen voldoen is het belangrijk om afspraken vast te leggen, bijvoorbeeld in een Service Level Agreement (SLA) als onderdeel van contracten. Hierbij moet ook duidelijk zijn welke verplichting het schoolbestuur zelf heeft in een proces.

Beheerprocessen staan niet op zich

De zes beheerprocessen hangen nauw met elkaar samen. De afbeelding toont het verband tussen de verschillende processen door middel van pijlen met een korte beschrijving.

  • Het threat- en vulnerabilitymanagementproces levert input voor het patchmanagementproces.
  • Het patchmanagementproces volgt het changemanagementproces.
  • Het incidentmanagementproces kan mogelijk input leveren voor het patchmanagementproces, en leidt tot werkzaamheden in het changemanagementproces.
  • Ook problemmanagement leidt tot werkzaamheden binnen het changemanagementproces.
  • Analyses of evaluaties van incidenten in het incidentmanagementproces kunnen leiden tot werkzaamheden binnen het problemmanagementproces, terwijl het problemanagementproces het incidentmanagementproces weer ondersteunt.
  • Incidentmanagement wordt daarnaast ook ondersteund door configuratiemanagement.
  • Changes in het changemanagementproces kunnen leiden tot werkzaamheden in het configuratiemanagementproces, terwijl het configuratiemanagementproces weer de analyses in het changemanagementproces ondersteunt.
  • Ook kan het configuratiemanagementproces ondersteunend zijn aan het problemmanagementproces.

Daarnaast hebben ook andere activiteiten en processen binnen informatiebeveiliging raakvlakken met deze beheerprocessen. Bijvoorbeeld crisismanagement, dat een escalatie is van het incidentmanagementproces.

De zes beheerprocessen hangen nauw met elkaar samen. De afbeelding toont het verband tussen de verschillende processen door middel van pijlen met een korte beschrijving. • Het threat en vulnerability managementproces levert input voor het patchmanagementproces. • Het patchmanagementproces volgt het changemanagementproces. • Het incidentmanagementproces kan mogelijk input leveren voor het patchmanagementproces, en leidt tot werkzaamheden in het changemanagementproces. • Ook problemmanagement leidt tot werkzaamheden binnen het changemanagementproces. • Analyses of evaluaties van incidenten in het incidentmanagementproces kunnen leiden tot werkzaamheden binnen het problemmanagementproces, terwijl het problemanagementproces het incidentmanagementproces weer ondersteunt. • Incidentmanagement wordt daarnaast ook ondersteund door configuratiemanagement. • Changes in het changemanagementproces kunnen leiden tot werkzaamheden in het configuratiemanagementproces, terwijl het configuratiemanagementproces weer de analyses in het changemanagementproces ondersteunt. • Ook kan het configuratiemanagementproces ondersteunend zijn aan het problemmanagementproces.

Vergroot de afbeelding door erop te klikken.

Aan de slag 

  1. Maak inzichtelijk welke beheerprocessen je intern hebt geregeld en welke je hebt uitbesteed.
  2. Gebruik de beschikbare templates voor de specifieke beheerprocessen om processen verder uit te werken en te implementeren.

Verdieping

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar  ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

 

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave