Changemanagement

Changemanagement is een essentieel proces om de veranderende ict-omgeving veilig te houden. Door wijzigingen op een gestructureerde wijze door te voeren, voorkom je onnodige verstoringen en fouten tijdens of na de overgang naar de gewenste ict-omgeving.

Een wijziging in de ict-omgeving kan onverwacht leiden tot schade. Dit kan een kleine verstoring zijn, maar er kunnen ook serieuze incidenten ontstaan, zoals ransomware of datalekken. Mogelijk leiden die tot grote financiële schade en imagoschade. Het doel van changemanagement is om wijzigingen in de ict-omgeving door te voeren met zo min mogelijk verstoring voor het onderwijs en ondersteunende werkprocessen. Je kunt changemanagement inzetten bij de overgang naar een nieuwe ict-omgeving, als je oude software of hardware uitfaseert of als je beveiligingsmaatregelen implementeert in bijvoorbeeld het schoolnetwerk. Door changemanagement in te zetten, verhoog je de digitale weerbaarheid.  

Changemanagement is een proces binnen het ITIL-raamwerk. ITIL staat voor Information Technology Infrastructure Library, een verzameling best practice-processen voor ict-voorzieningen en het beheer daarvan. In het Normenkader IPB FO is een verplichting opgenomen om een procedure voor wijzigingsbeheer te hebben. Er zijn verschillende soorten wijzigingen, bijvoorbeeld: 

  • Standaardwijzigingen: routinematige beheertaken, die gestandaardiseerd worden uitgevoerd. Dit type wijziging is door changemanagement of de Change Advisory Board (CAB) eenmalig geautoriseerd en hoeft niet elke keer opnieuw te worden beoordeeld. 
  • Spoedwijzigingen: oplossingen voor situaties die de continuïteit van het onderwijs of belangrijke ondersteunende processen bedreigen. Ook een spoed aanpassing aan de ict-infrastructuur, zoals een beveiligingsupdate, valt hieronder. Spoedwijzigingen wijken af van de normale procedures, omdat voor dit soort wijzigingen de benodigde middelen meteen moeten worden vrijgemaakt.  
  • Reguliere wijzigingen: alle overige wijzigingsverzoeken om aanpassingen aan de ict-omgeving aan te brengen. Voor deze wijzigingen geldt het vastgestelde changemanagementproces.

Wat zegt het Normenkader IBP?

Het Normenkader Informatiebeveiliging en Privacy beschrijft in domein 7 de normen voor changemanagement.  

De normen CH.01 tot en met CH.06 geven aan wat je moet doen om het proces van changemanagement in te richten.

Volwassenheidsniveau 3 bij norm CH.01
  • Het beleid voor wijzigingsbeheer en de werkwijzen zijn gedocumenteerd, gestandaardiseerd en gecommuniceerd.
  • Er is een formeel wijzigingsbeheerproces voor het wijzigen van applicaties, procedures, processen, systemen en diensten, en de onderliggende platformen en infrastructuren.
  • Het proces omvat alle componenten van overzetten naar productie, inclusief autorisatie, impactanalyse, release van het management, bijhouden van wijzigingen en rollbackprocedures.
  • Rollen en verantwoordelijkheden zijn vastgesteld en toegewezen. (Verzoeken voor) wijzigingen worden op een gestandaardiseerde manier behandeld.
  • Wijzigingen worden gedocumenteerd. Documentatie is correct en actueel.
  • Er is, of wordt een systeem voor versiebeheer ingevoerd.
Volwassenheidsniveau 3 bij norm CH.02
  • Er is een formele procedure voor categoriseren, prioriteren en autoriseren van wijzigingen en deze is gecommuniceerd.
  • Voorafgaand aan de wijziging wordt een impactassessment uitgevoerd. Implicaties op het gebied van (cyber)veiligheid, juridische zaken, contracten en wet- en regelgeving worden in dit proces meegenomen.
  • Er is een formele procedure voor het autoriseren van wijzigingen.
  • Elk wijzigingsverzoek wordt formeel goedgekeurd door de proceseigenaar en de stakeholders.
  • Prioritering en categorisering zijn gebaseerd op vooraf vastgestelde criteria.
Volwassenheidsniveau 3 bij norm CH0.3
  • De noodwijzigingsprocedure is formeel vastgelegd, gedocumenteerd en gecommuniceerd.
  • (Verzoeken tot) noodwijzigingen worden op een gestandaardiseerde manier uitgevoerd.
  • Rollen en verantwoordelijkheden zijn helder gedefinieerd en toegewezen.
  • Noodwijzigingen zijn geautoriseerd en gedocumenteerd.
  • Controlestappen, inclusief goedkeuring, worden volgens procedure uitgevoerd na de noodwijziging.
  • Kritieke afwijkingen van het proces worden geëvalueerd.
Volwassenheidsniveau 3 bij norm CH.04
  • Formeel beleid is vastgesteld en ingevoerd voor de testomgeving.
  • Er is een veilige testomgeving gedefinieerd en ingericht.
  • De testomgeving representeert de productieomgeving en komt overeen in aspecten zoals workload of stress, besturingssystemen, applicatiesoftware, database, het management, netwerken en infrastructuur.
  • De testomgeving staat volledig los van de productieomgeving.
  • De testomgeving is beschermd tegen ongeautoriseerde toegang en gebruik.
  • Het eigenaarschap van de test- en productieomgeving is duidelijk toegewezen.
  • Er zijn richtlijnen voor het gebruik van data in de testomgeving, zodat aan privacywetgeving wordt voldaan.
Volwassenheidsniveau 3 bij norm CH.05
  • Formeel beleid voor het testen van wijzigingen is gedocumenteerd en gecommuniceerd.
  • Rollen en verantwoordelijkheden zijn vastgesteld en toegewezen.
  • Er worden testplannen gemaakt voordat de tests worden uitgevoerd.
  • Er zijn criteria vastgesteld om te zorgen dat belangrijke elementen, zoals beveiliging en prestatie, opgenomen zijn in het testplan.
  • Wijzigingen worden onafhankelijk volgens de testplannen getest.
  • Er is een beheerprocedure ingevoerd voor het bewaren en verwijderen van testresultaten.
  • Fallback– of backoutplannen worden voorbereid en getest voordat wijzigingen in productie worden genomen.
Volwassenheidsniveau 3 bij norm CH.06
  • Formeel beleid voor de overdracht van gewijzigde systemen is gedocumenteerd en gecommuniceerd.
  • Er zijn procedures voor het gebruik van OTAP (Ontwikkeling, Test, Acceptatie en Productie)-omgevingen. Er zijn ook goedkeuringsprocessen.
  • Het goedkeuringsproces bevat een formeel vastgelegde sign-off door belangrijke stakeholders.
  • Rollen en verantwoordelijkheden zijn gedefinieerd en toegewezen.
  • Toegangsregels voor de verschillende (OTAP-)omgevingen zijn gedefinieerd om functiescheiding te bewerkstellen.
  • Voor overdracht worden implementatieplannen gemaakt, en overdracht vindt plaats volgens deze plannen.
  • Waar nodig (op basis van impactanalyse) wordt het veranderde systeem enige tijd parallel aan het oude systeem gedraaid, waarbij gedrag en resultaat worden vergeleken.
  • Acceptatiecriteria worden bepaald en acceptatietests worden uitgevoerd en gelogd.
  • Er zijn beheersmaatregelen om te garanderen dat geaccepteerde wijzigingen daadwerkelijk onderdeel zijn van de overdracht naar productie (volledig).

Wie doet wat?

Bij het inrichten van changemanagement zijn verschillende rollen betrokken met elk hun eigen taken: 

  • Het schoolbestuur stelt het changemanagementbeleid vast en wijst een changemanager aan. Bij volledige uitbesteding van de ict-organisatie is dit een beperkte rol. De changemanager legt dan vooral vast wat het effect van veranderingen is op de ict-omgeving en autoriseert en beoordeelt deze veranderingen.
  • De changemanager en de IBP-verantwoordelijke zorgen ervoor dat het schoolbestuur en andere betrokkenen hun verantwoordelijkheden kennen en daarnaar kunnen handelen. Ook coördineren ze de uitvoering van de werkzaamheden.
  • De changemanager zorgt voor of coördineert de vastlegging en bewaking van wijzigingen. 
  • De ict-beheerder of degene die de wijziging behandelt, en de eventueel betrokken ict-leveranciers, leveren inhoudelijke expertise en zorgen dat wijzigingen worden doorgevoerd.
  • De changemanager is voorzitter van de Wijzigingsadviescommissie, ofwel Change Advisory Board (CAB). De leden van het CAB hebben gezamenlijk alle expertise om de wijzigingsvoorstellen op alle aspecten te beoordelen, autoriseren en de implementatie goed te keuren.

Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.

Hoe richt je changemanagement in?

  • Richt de processtappen voor changemanagement goed in. Deze stappen zijn: indienen, accepteren, classificeren, plannen, coördineren en evalueren. Deze processtappen zijn uitgewerkt in het template Changemanagementproces.
  • Gebruik een standaardformulier om Verzoeken Tot Wijziging (VTW) in te dienen. Elk wijzigingsverzoek wordt dan volgens een vast format aangeleverd en er ontbreekt geen essentiële informatie in de aanvraag. Ondersteuning door de IBP’er, de FG of een medewerker van de ict-afdeling kan gewenst zijn om de juiste informatie in te vullen. Een voorbeeldformulier VTW is onderdeel van het template Changemanagementproces.
  • Organiseer de Change Advisory Board (CAB) en zorg ervoor dat het CAB voldoende betrokken is bij het changemanagementproces. Is er nog geen goed functionerend CAB, richt dit dan alsnog in. Het CAB beoordeelt wijzigingsverzoeken op risico’s en onbedoelde gevolgen en adviseert de changemanager.
  • In het CAB is alle expertise aanwezig om wijzigingen goed te kunnen beoordelen. Denk daarbij aan een vertegenwoordiging van het bestuur of schoolmanagement, de ict-verantwoordelijke, leraren en gebruikers van ondersteunende toepassingen, en de ict-leverancier. Voorgestelde wijzigingen hebben altijd goedkeuring nodig van het CAB. Maak hier eenduidige afspraken over die binnen de school ook praktisch uitvoerbaar zijn en daadwerkelijk worden nageleefd. Weeg ook financiële, zakelijke en technische belangen mee in adviezen en beslissingen. Maak daarbij onderscheid in standaardwijzigingen waarvoor geen CAB-beslissing noodzakelijk is en niet-standaardwijzigingen waarover het CAB wel een beslissing moet nemen voordat de wijziging kan worden doorgevoerd. Gaat het om een wijziging via een spoedprocedure? Ook dan moet het CAB betrokken worden.
  • Classificeer wijzigingsverzoeken op een systematische manier. In het template Changemanagementproces vind je hoe je de wijzigingscategorie bepaalt. Dit doe je door de impact en urgentie ervan in te schatten. Door wijzigingsverzoeken goed te prioriteren, worden de belangrijkste verzoeken als eerste opgepakt en zet je tijd en middelen effectief in. Bij zeer urgente wijzigingsverzoeken kan een noodprocedure worden afgesproken.
  • Controleer minimaal jaarlijks of het changemanagementproces actueel en beschreven is en of verantwoordelijkheden juist zijn belegd. Dit voorkomt misverstanden. Waar nodig kun je het proces actualiseren.
  • Is je ict-beheer volledig uitbesteed? Maak dan contractuele afspraken met de leverancier dat de hiervoor beschreven stappen onderdeel zijn van hun proces. De changemanager blijft verantwoordelijk voor de vastlegging, beoordeling, autorisatie en gecontroleerde implementatie van de wijziging binnen de eigen school.

Aan de slag

Stel beleid vast

Leg beleidsuitgangspunten vast in een changemanagementbeleid. Hoe uitgebreid dit beleid is, hangt af van grootte en complexiteit van je onderwijsinstelling. Gebruik hiervoor het template Changemanagementbeleid. Deze kun je afstemmen op je eigen onderwijsinstelling. Leg realistische afspraken vast die in de praktijk ook daadwerkelijk kunnen worden nageleefd. 

Toets het proces

Toets het bestaande changemanagementproces of gebruik het template Changemanagementproces om het proces te beschrijven. 

Wijs een changemanager aan

Vaak heeft de changemanager een beperkte rol als coördinator en actief beheerder van wijzigingen.

Leg wijzigingen vast

Gebruik een standaardwijze om wijzigingen vast te leggen en rapporteren. Dit kan de servicedesk-applicatie zijn of een register in Excel, zoals het Register changes.

Rapporteer en evalueer

Evalueer wijzigingen achteraf. Is het doel bereikt? Zijn de gebruikers en belanghebbenden tevreden? Zijn er fouten of nevenverschijnselen opgetreden? Is het changemanagementproces gevolgd en passend ingericht? Is alles op tijd en binnen de financiële kaders doorgevoerd? Leer van gemaakte fouten en pas het changemanagementproces zelf aan waar dat nodig is.

Hou rekening met

Rollbackscenario’s

Denk vooraf na over rollbackscenario’s. Een activiteit, dienst of ander configuratie-item wordt dan teruggezet naar een eerder uitgangspunt als de wijziging niet het gewenste resultaat oplevert. Rollbackscenario’s horen als ‘plan B’ bij gecontroleerd wijzigingsbeheer.

Procesafspraken

Het changemanagementproces wordt meestal uitgevoerd door de ict-afdeling van de school of door een externe ict-dienstverlener. Zorg dat procesafspraken duidelijk zijn en verantwoordelijkheden zijn belegd. Spreek af dat nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen. Zorg dat deze pas geïmplementeerd worden nadat de opdrachtgever (vaak de proceseigenaar) en het CAB ze formeel heeft geaccepteerd en goedgekeurd. En documenteer de test en de testresultaten.

OTAP-omgevingen

Scheid de ontwikkel-, test- en productieomgeving(en) van elkaar. Daardoor hebben fouten in de ene omgeving geen gevolgen voor de productieomgeving. Je voorkomt dan ook corrupte gegevens of verstoringen in het wijzigingsbeheer. Deze scheiding wordt in de ict ook wel OTAP genoemd: Ontwikkeling, Test, Acceptatie en Productie. Soms is dit alleen een acceptatie- en een productieomgeving. Ook dan is het beter om beide omgevingen te scheiden en wijzigingen niet direct aan te brengen in de productieomgeving.

Testen

Bouw testmomenten in. Fouten in het proces worden dan op tijd opgemerkt. Wijzigingen worden dan met minder verstoringen en een grotere kans van slagen doorgevoerd.

Afspraken met ict-leveranciers

Leg afspraken voor wijzigingen contractueel vast, bijvoorbeeld in SLA’s. Maak goede afspraken met leveranciers of andere ketenpartners om wijzigingen gecontroleerd te kunnen doorvoeren.

Tips en adviezen

  • Patchmanagement
    Verbind het patchmanagement van de school met het changemanagementproces. Door security patches of software updates via het changemanagementproces door te voeren, weet je zeker dat dit gecontroleerd gebeurt met zo min mogelijk verstoringen.
  • Betrokkenheid
    Besef dat changemanagement een technische, maar ook een menselijke kant kent. Betrek de noodzakelijke medewerkers al vroeg in het proces bij de wijziging. Je kunt dan rekening houden met aspecten die van belang zijn voor de continuïteit van het onderwijs en de bedrijfsvoering op school. Dit leidt tot meer begrip en minder weerstand.
  • Communicatie
    Zorg altijd voor goede en tijdige communicatie over de wijziging. Bepaal daarbij in ieder geval wie in welk stadium geïnformeerd moeten worden. Voorkom dat medewerkers alleen worden geïnformeerd als de wijziging is doorgevoerd. Geef achteraf goed de mogelijke gevolgen van de wijziging aan. De geïnformeerde betrokkenen kunnen dan direct een melding doen bij vermoeden van fouten of problemen die zich na de wijziging voordoen.
  • Informatiebeveiliging en privacy
    Besteed extra aandacht aan wijzigingen en patches rondom informatiebeveiliging en privacy en zorg ervoor dat deze altijd via het changemanagementproces gerealiseerd worden. Denk aan de inrichting en het gebruik van virusscanners en het regelen van toegang tot privacygevoelige informatie.

Tools en voorbeelddocumenten

Heb je een vraag of opmerking over deze pagina? Stuur een mail naar  ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.

Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

 

Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.

Inhoudsopgave