Diensten

Verplichte rollen in informatiebeveiliging

Om grip te hebben en houden op security is het belangrijk om informatie beveiliging en privacy voldoende te borgen in uw
organisatie. Uitgangspunt hierbij is een duidelijke beschrijving van taken en verantwoordelijkheden. Wij hebben
vastgelegd wat de norm hier over voorschrijft. Samoerai heeft hier een beschrijving van en kan in afstemming
met u als klant, deze rollen op een pragmatische manier invullen in deze diensten-as-a-service.

PO as a service

  • Privacy Officer (PO)
  • Interne Auditor
  • Cyber Manager Desk

FG as a service

  • Functionaris Gegevensbescherming (FG)
  • Interne Auditor
  • Cyber Manager Desk

ISO as a service

  • Information Security Officer (ISO)
  • Technische Security Officer Security administrator
  • Interne Auditor

CISO as a service

  • Chief Information Security Officer (CISO)
  • Information Security Officer (ISO)
  • Technische Security Officer
  • Security administrator
  • Incident Management Support
  • Interne Auditor
  • Cyber Manager Desk

CISO + FG as a service

  • Chief Information Security Officer (CISO)
  • Information Security Officer (ISO)
  • Technische Security Officer
  • Security administrator
  • Incident Management Support
  • Privacy Officer (PO)
  • Functionaris Gegevensbescherming (FG)
  • Interne Auditor
  • Cyber Manager Desk

Weten hoe deze diensten jouw organisatie kunnen ondersteunen?

Onze ervaren consultants helpen je graag! Neem vrijblijvend contact op en ons team komt er binnen 24 uur op terug.

Vrijblijvend advies

Doel en toegevoegde waarde van deze diensten

Met het afnemen van deze diensten krijgt Opdrachtgever:

 

Pragmatische implementatie

Een pragmatische invulling aan de eisen vanuit de ISO27001, NEN7510, BIO en AVG… het gebied van Informatie Beveiliging en Privacy met de juiste competenties en skill, gebaseerd op de beschreven rollen en verantwoordelijkheden.

Continuïteit & PDCA

Beschikbaarheid en continuïteit van Informatie Beveiliging en Privacy kennis, ervaring, methoden en producten. Invulling van de PDCA cyclus om grip te houden op security en eventueel ook compliance (Niet het wiel opnieuw uitvinden).

Branche-specifieke Templates

Toegang tot alle beschikbare templates en kennis van Samoerai over informatiebeveiliging en privacy binnen de verschillende branches.

Analyse van Personeelsexpertise

Een duidelijker beeld van de expertise en wijze van inzet van eventueel op termijn aan te stellen eigen mensen.

Geen zorgen over resources

Door het inschakelen van gespecialiseerde externe ondersteuning wordt het mogelijk om de druk van de beperkte beschikbaarheid van interne resources te verlichten.

Kennisoverdracht

Kennisoverdracht over Informatie Beveiliging, Privacy en over compliance als proces.

Afhandeling van incidenten

Expertise en continuïteit bij de afhandeling van security en privacy incidenten en vragen.

Leveranciersmanagement

Expertise en ervaring bij de invulling van leveranciersmanagement en controle op security en privacy maatregelen van partners.

Bewustwording

De mogelijkheid om de organisatie zich nog bewuster te laten worden van het belang van informatie beveiliging en privacy.

De taken en verantwoordelijkheden van de rollen

De diensten dekken de uitvoering van alle (wettelijke) taken en rollen zoals zijn voorgeschreven in de ISO/NEN, BIO en AVG
inclusief richtinggevend advies en persoonlijke communicatie met key-functionarissen van de Opdrachtgever. In overleg bepalen
we welke taken en verantwoordelijkheden binnen de diensten vallen. Alle beschreven taken ondersteunen de jaarcyclus PDCA.

 

Chief Information Security Officer (CISO)

Verantwoordelijkheden:

De Chief Information Security Officer (CISO) is verantwoordelijk voor de beveiliging van gezondheidsinformatie binnen de organisatie (ref. NEN7510-2 6.1.1) en geeft als lid van het Management Team en als leidinggevende van de ISO op dagelijkse basis invulling aan een sturende rol. Dit door besluitvorming in het MT voor te bereiden en toe te zien op de uitvoering ervan. De CISO adviseert het MT over informatiebeveiliging en rapporteert de stand van zaken.

Taken en Bevoegdheden:

  • Adviseert het management over informatiebeveiliging.
  • Is eindverantwoordelijk voor de beveiliging van de gezondheidsinformatie binnen de organisatie. (zie NEN7510-2 6.1.1).
  • Stelt jaarlijks strategische doelen op voor informatiebeveiliging en legt deze voor aan het Management Team en de ISO.
  • Informeert het Management Team over de status van Audits, Compliance, ISMS en Incidenten.
  • Controleert en accepteert als Eindverantwoordelijke het management systeem (Hoofdstuk 1 en 2 van de maatregelen set).
  • Controleert en accepteert als Eindverantwoordelijke de inrichting van het ISMS (Stam bestanden: Organisatie onderdelen, Middelen, Processen, Projecten, Relaties).
  • Volgt uitgevoerde BIA’s, dreigingen assessments en baselines.
  • Controleert en accepteert als Eindverantwoordelijke de “Instellingen”
  • Stelt een E-Learning programma op voor security awareness.

Information Security Officer (ISO)

Verantwoordelijkheden:

De ISO is belast met het opstellen van beveiligingsbeleid en richtlijnen, en het invoeren en borgen van beheersmaatregelen binnen de organisatie. De ISO stuurt de Technische Security Officer en de Security administrator aan. Daarnaast speelt de ISO een cruciale rol bij het operationeel beheer van beveiligingsrisico’s en het informeren en adviseren op het gebied van informatiebeveiliging. De ISO heeft specialistische kennis op het gebied van Informatiebeveiliging en de ISO27001/NEN7510 normen. Een passende opleiding hiervoor is CISSP en daarbij “Lead implementer ISO27001”.

Taken en Bevoegdheden:

  • Geeft advies op het gebied van informatiebeveiligingsmaatregelen aan medewerkers
  • Concretiseert de strategische doelen van de CISO in doelstellingen voor uitbreiding/wijziging van het jaarplan en het ISMS.
  • Implementeert doelstellingen.
  • Stelt het beveiligingsbeleid op met implementatie richtlijnen en audit criteria en zorgt voor de invoering daarvan.
  • Stelt richtlijnen en procedures op en zorgt voor de invoering daarvan.
  • Volgt en controleert uitgevoerde BIA’s, dreigingen assessments en bewaakt de taken die daaruit voortvloeien.
  • Stelt (na goedkeuring door de risico eigenaar) periodiek en bij veranderingen baseline’s samen op basis van actuele dreigingen.
  • Volgt en controleert de verrichtingen voor risico behandelingen in het risico register en bewaakt de taken die daaruit voortvloeien.
  • Volgt en controleert uitgevoerde assessments en bewaakt de taken die daaruit voortvloeien.
  • Volgt en controleert de correcte afhandeling van waargenomen incidenten, en informeert de CISO wanneer incidenten niet tijdig afgehandeld worden.
  • Controleert en accordeert als Eindverantwoordelijke Risicomanagement en Baseline (Hoofdstuk 3) maatregelen.
  • Keurt op verzoek of bij afwezigheid van de Eindverantwoordelijke, de Business Impact Analyse goed.
  • Is betrokken bij certificerende audits
  • Keurt op verzoek of bij afwezigheid van de Eindverantwoordelijke, de Baseline goed.

Technische Security officer

Verantwoordelijkheden:

De Technische Security Officer is gespecialiseerd in de technische aspecten van information security en ontwerpt/implementeert technische beheersmaatregelen.

Taken en Bevoegdheden:

  • Is dagelijks op de hoogte van nieuwe technische dreigingen en kwetsbaarheden en beoordeelt of deze een risico zijn voor de organisatie.
  • Implementeert doelstellingen van de ISO.
  • Stelt technische beheersmaatregelen op met implementatie richtlijnen en audit criteria, en stuurt de invoering daarvan aan.
  • Is betrokken bij het afhandelen van beveiligingsincidenten.

Security administrator

Verantwoordelijkheden:

De security administrator beheert het Information Security management Systeem (ISMS) en de operationele agenda in de Cyber Manager.

Taken en Bevoegdheden:

  • Is key-user en applicatiebeheerder van de Cyber Manager.
  • Ondersteunt Cyber Manager gebruikers.
  • Beheert de Stam bestanden en Instellingen.
  • Zorgt voor de planning van periodieke assessments en audits.
  • Zorgt voor de periodieke planning van directie beoordelingen.
  • Beheert de documentatie van het ISMS en zorgt voor periodieke updates.
  • Voert E-Learning programma’s uit op het gebied van Security awareness.
  • Zorgt voor periodieke Cyber Manager reportages.
  • Biedt ondersteuning bij externe audits.

Risico Manager

Verantwoordelijkheden:

De risico manager is in de tweede lijn, als specialist, verantwoordelijk voor het uitvoeren van de risico behandeling op basis van eerder uitgevoerde BIVP assessments en dreigingen analyses. De Risico manager heeft specialistische kennis van informatiebeveiliging- en privacy dreigingen (threat intelligence) en specialistische kennis van de operationele beheersmaatregelen om risico’s te mitigeren.

Taken en Bevoegdheden:

  • Beheert het risico register.
  • Voert een risico analyse uit.
  • Voert een risico oorzaak- en gevolg analyse uit.
  • Behandelt onbehandelde risico’s.
  • Beheert de lijst van dreigingen en vult deze aan.
  • Bewaakt de afhandeling van taken als gevolg van risico behandeling.

Incident manager

Verantwoordelijkheden:

De incident manager handelt privacy- en beveiligingsincidenten af die door medewerkers, externen of detectiesystemen worden gerapporteerd. Beheer van privacy- en beveiligingsincidenten is het proces van het identificeren, beheren, vastleggen en analyseren van privacy- en beveiligingsdreigingen, -afwijkingen of -incidenten.

Taken en Bevoegdheden:

  • Beheert de lijst van incidenten.
  • Beoordeelt incident meldingen en coördineert de correcte en tijdige afhandeling hiervan volgens de incidenten- en meldlek procedure.
  • Analyseert incidenten en zorgt voor een correcte en volledige vastlegging.
  • Bewaakt de verdere afhandeling van incidenten

Interne Auditor

Verantwoordelijkheden:

De interne auditor (ref. 27001:9.2.e ) is betrokken bij het uitvoeren van interne audits. Deze medewerker heeft voldoende expertise van de beheersmaatregelen en de norm en kan op onafhankelijke wijze en objectief de audit uitvoeren.

Taken en Bevoegdheden:

  • Voert interne audits uit. Zowel op de maatregelen als op de norm.

Eigenaar van bedrijfsmiddelen

Verantwoordelijkheden:

De eigenaar van bedrijfsmiddelen (Ref. 27001: A.8.1.2.) heeft een (door de directie goedgekeurde) verantwoordelijkheid voor (de levenscyclus van) één of meerdere bedrijfsmiddelen. De eigenaar is het primaire (operationele) aanspreekpunt voor de classificatie en beveiliging van een bedrijfsmiddel. De eigenaar heeft een uitstekende kennis van het bedrijfsmiddel en opereert onder leiding van een directie vertegenwoordiger.

Taken en Bevoegdheden:

  • Beheert binnen de Cyber manager de registratie van het bedrijfsmiddel en zorgt dat de registratie overeenkomt met de actuele situatie.
  • Past de registratie aan bij wijzigingen.
  • Voert periodiek en bij veranderingen een BIVP assessment uit.
  • Is betrokken bij het definiëren van toegangsbeperkingen.
  • Is betrokken bij het veilig uitfaseren, verwijderen en/of vernietiging van het bedrijfsmiddel.

Privacy Officer (PO)

Verantwoordelijkheden:

PO is, verantwoordelijk voor het vormgeven, invoeren en bewaken van het privacybeleid binnen de organisatie. De PO beheert het verwerkingsregister en voert Data Protection Impact Assessments (DPIA) uit, adviseert en beantwoord vragen.

Taken en Bevoegdheden:

  • Stelt jaarlijks een “Jaarplan privacy” op.
  • Stelt privacy beleid en privacy richtlijnen op en voert deze in.
  • Houdt het register van verwerkingen bij.
  • Voert DPIA’s uit. Hiervoor worden bestaande assessments gebruikt.
  • Voert interne AVG compliance audits uit.
  • Ondersteunt de FG bij uitvoeren van de toezichtstaken
  • Geeft privacy informatie- en advies aan de eindgebruikers en privacy verantwoordelijken.
  • Handelt klachten af en verzoeken in het kader van rechten van betrokkenen.
  • Ondersteunt bij het afhandelen van privacy gerelateerde incidenten en voert tijdig datalek meldingen uit bij de AP.
  • Voert E-Learning programma’s uit op het gebied van awareness voor privacybescherming.

Functionaris Gegevensbescherming (FG)

Verantwoordelijkheden:

Functionaris Gegevensbescherming (FG) (ref. AVG:art. 39. ) is in een adviserende en controlerende rol binnen de organisatie verantwoordelijk voor naleving van de regelgeving die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG). De FG heeft zowel algemene kennis van informatiebeveiliging als specialistische kennis van de AVG.

Taken en Bevoegdheden:

  • Het adviseren van het Management Team en medewerkers op het gebied van privacy bescherming.
  • Controleert als verantwoordelijke FG de ingevoerde gegevens van Organisatie onderdelen, Middelen, Processen, Projecten en Relaties binnen “Stam bestanden”.
  • Controleert als verantwoordelijke FG het verwerkingsregister.
  • Volgt en controleert privacy gerelateerde incidenten en datalek meldingen. Indien gewenst wordt advies gegeven over de afhandeling van datalekken.
  • Beoordeelt de afhandeling van Interne privacy audits.
  • Controleert de actuele compliance status om naleving te beoordelen.
  • Controleert de uitvoering van DPIA’s.
  • Stelt een E-Learning programma op voor privacy awareness.

Directie

Verantwoordelijkheden:

Persoon of groep van personen die de organisatie op het hoogste niveau bestuurt en beheert (ref 27001: 5.1)

Taken en Bevoegdheden

  • Vast te stellen dat de information security doelstellingen en het beleid in overeenstemming zijn met de strategische doelen van de organisatie.
  • Het beschikbaar stellen van voldoende middelen voor het opzetten en beheren van een beveiligingssysteem, afhankelijk van de “risk appetite”.
  • Het communiceren van het belang van een effectief beveiligingssysteem en het belang om aan de eisen hiervan te voldoen.
  • Het bereiken van de gestelde doelen van het beveiligingssysteem.
  • Het aansturen en ondersteunen van mensen om bij te dragen aan de effectiviteit van het beveiligingssysteem.
  • Het ondersteunen van relevante lijn management rollen om aan hun beveiligings-verantwoordelijkheden te voldoen.Het toewijzen van gepaste verantwoordelijkheden en bevoegdheden zodat het beveiligingssysteem voldoet aan de gestelde eisen.
  • Het uitvoeren van directie beoordelingen.

Directie vertegenwoordiger

Verantwoordelijkheden:

De Directie Vertegenwoordiger (ref. 27001: par 5.1) is lid van het Management Team (MT), en Eindverantwoordelijke voor- zowel als Risico Eigenaar (ref. 27001:6.1.2, 6.1.3) van de bedrijfsmiddelen binnen zijn organisatorisch domein. De directie vertegenwoordiger geeft leiding aan de Eigenaren van bedrijfsmiddelen.

Taken en Bevoegdheden:

  • Stuurt de eigenaren van bedrijfsmiddelen aan en ondersteunt hen.
  • Stelt tijd beschikbaar tijd om classificatie van middelen en het samenstellen van een baseline mogelijk te maken.
  • Keurt als Eindverantwoordelijke Business Impact Analyses goed.
  • Keurt als Eindverantwoordelijke gegenereerde Baselines goed.
  • Controleert en accepteert binnen het risico register de risicobehandeling en rest risico’s.
  • Rapporteert de geaccepteerde risico’s binnen het Management Team.
  • Controleert en ziet er op toe dat To-do taken tijdig worden uitgevoerd.

Onze opdrachtgevers

Heeft u een vraag of wilt u aanvullende informatie over
de verschillende rollen en diensten?

Neem contact op via het onderstaande formulier en we komen er binnen 24 uur op terug.

"*" geeft vereiste velden aan

Naam*

Direct advies?

Neem contact met ons op