We identificeren eigenaar (‘owner’), gedelegeerd eigenaar (‘delegate owner’) en uitvoerder (‘custodian’). In het organisatiemodel is een eigenaar aansprakelijk (‘accountable’) en zijn de gedelegeerd eigenaar en de uitvoerder verantwoordelijk (‘responsible’). Rollen worden toegewezen aan een uniek persoon op basis van zijn/haar organisatorische functie. Entiteiten zijn verantwoordelijk voor de autonome toewijzing van functies, rollen en verantwoordelijkheden binnen de eigen entiteit.
1.2.3.1.1. Eigenaar
Een eigenaar is aansprakelijk (‘accountable’) voor alle aspecten die te maken hebben met de kernactiviteiten van de entiteit en de hieraan verbonden processen, producten, diensten en ondersteunende infrastructuur. Het concept eigenaar is niet beperkt tot een toepassing alleen. In de context van informatieveiligheid is de eigenaar aansprakelijk voor de uitvoering van het informatieveiligheidsbeleid. Hij/zij is tevens aansprakelijk voor het beheer van de risico’s van de eigen kernactiviteiten en om het beleid, de afspraken en richtlijnen binnen de eigen entiteit te implementeren. Deze aansprakelijkheid beslaat technische, organisatorische, financiële en juridische aspecten. De eigenaar is altijd een directielid van de entiteit met budgetbevoegdheid die als enige een beslissing kan nemen over de risico's en de implicaties op de werking van hun entiteit specifiek en haar rol binnen de Vlaamse overheid in haar geheel. De eigenaar is echter niet degene die de dagelijkse beleidsvorming doet van informatieveiligheid. Dit is gedelegeerd aan bijvoorbeeld een veiligheidsconsulent of CISO. De rol van de eigenaar is om te faciliteren en te sturen.
1.2.3.1.2. Gedelegeerd eigenaar
Een gedelegeerd eigenaar rapporteert rechtstreeks aan een eigenaar en mag in diens naam beslissingen nemen over risico's, budgetten en de werking van de entiteit. Deze verantwoordelijkheid kan een gedelegeerd eigenaar niet nogmaals delegeren naar een lager niveau. Alle beslissingen die de gedelegeerde eigenaar neemt, communiceert hij/zij aan de eigenaar. Een typisch profiel hiervoor is een Afdelings- of Diensthoofd, maar dit kan verschillen per entiteit.
Deze rol mag niet toegewezen worden aan tijdelijke contractanten (bijvoorbeeld consultant) en mag enkel toegewezen worden aan een extern profiel na goedkeuring door hoger management, zoals bijvoorbeeld een Leidend Ambtenaar, Administrateur Generaal of Directeur Generaal. Een gedelegeerd eigenaar is verantwoordelijk, maar de eigenaar blijft aansprakelijk.
1.2.3.1.3. Uitvoerder
De uitvoerder is de persoon die het operationele beheer verzorgt. In de praktijk kan dit dezelfde persoon zijn als de (gedelegeerd) eigenaar, hoewel dat niet hoeft te zijn. Deze persoon heeft enkel beslissingsrecht over het "hoe", niet over het "wat". Hij/zij bepaalt niet wat er moet gebeuren en heeft enkel de mogelijkheid om een koers te bepalen over hoe dit invulling krijgt. Deze persoon mag een extern profiel zijn (bijvoorbeeld consultant).
1.2.3.1.4. Medewerker
Iedere medewerker (werknemers en contractanten tewerkgesteld in opdracht van de Vlaamse overheid) is verantwoordelijk voor het garanderen dat informatie enkel wordt gebruikt in relatie tot de opdracht en doelstellingen van de entiteit waarbinnen hij/zij tewerk is gesteld. Enkel en alleen binnen de beperkingen van deze afgelijnde opdracht en het informatieveiligheidsbeleid kan informatie ter beschikking worden gesteld, gedeeld, gewijzigd of verwijderd.