Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Status
colourYellow
titleversie ICR 2.2

...

CISO als verplichte rol

...

De uitdagingen waarmee de Vlaamse overheid geconfronteerd wordt op gebied van informatieveiligheid, worden steeds groter, mede door de snelle digitalisering, geopolitieke veranderingen en de voortschrijdende technologische evoluties. Het is dan ook niet verwonderlijk dat de nood aan een adviserende, coördinerende en sturende rol in de organisatiestructuur toeneemt.

...

Er moet een centraal register  (onder toezicht van het Stuurorgaan) zijn voor de CISO’s, bijvoorbeeld in het kader van crisiscommunicatie.

Plaats van de CISO in de organisatie

Om optimale informatiebeveiliging mogelijk te maken is het raadzaam dat de CISO over het juiste mandaat, middelen en budget beschikt. De CISO heeft een mandaat nodig om beslissingen te kunnen nemen binnen het kader van zijn/haar werkzaamheden, en budget/middelen om activiteiten waar te maken.

...

Concreet houdt dit in dat de CISO hiërarchisch [1] (vanuit leidinggevende positie, inclusief personele en financiële aspecten) weliswaar onder een bepaalde afdeling kan ressorteren maar functioneel [2] (vanuit een specifieke vakinhoudelijke verantwoordelijkheid) rapporteert over informatieveiligheid aan het management waarbij deze persoon geen controle uitoefent op directe leidinggevende waar dit een belangenconflict kan geven. Bij de aanduiding van de CISO zorgt het management ervoor dat er geen onverenigbaarheden met andere rollen en/of afdelingen zijn.

...

(vertrouwelijkheidsclausules, continuïteit in de dienstverlening, aansprakelijkheid …)

CISO taakomschrijving

De CISO beweegt zich op strategisch en tactisch niveau. Dit veronderstelt een door het management gedocumenteerd en goedgekeurd informatieveiligheidsbeleid, inclusief de beschrijving van de rollen en verantwoordelijkheden en het nodige mandaat om de CISO rol te kunnen invullen. Naast een adviserende rol is hij/zij verantwoordelijk voor beleidsvorming en beleidstoezicht in het kader van informatieveiligheid.

...

  • Heeft een adviserende rol in informatieveiligheid, waaronder ICT en OT[3] security.

  • Definieert het informatiebeveiligingsbeleid en de informatieveiligheidsstrategie vanuit een op risico gebaseerde benadering, conform het veiligheidsbeleid van de Vlaamse overheid. Hierbij houdt hij rekening met een continu veranderend dreigingsbeeld en analyseert daarbij trends en organisatiebehoeften.

  • Richt de informatiebeveiligingsorganisatie in, definieert de daarvoor benodigde middelen en wijst ze toe.

  • Initieert en coördineert de implementatie van informatiebeveiliging voor de hele organisatie, houdt toezicht vanuit een tweedelijnsrol en rapporteert aan het topkader.

  • Zorgt voor een geschikt niveau van informatiebeveiliging en informatiebeveiligingsgedrag in de organisatie, gebaseerd op de behoeften en de risicobereidheid van de organisatie.

  • Neemt deel aan de vergaderingen van de Werkgroep Informatieveiligheid.

  • Wordt door interne en externe belanghebbenden gezien als de deskundige op het gebied van informatiebeveiligingsstrategie.

...

  • Het uitvoeren van informatieklassebepalingen of risicoanalyses.

  • Het opstellen en implementeren van informatieveiligheidsmaatregelen.

  • Operationele taken.

  • De uitvoering van het informatieveiligheidsplan.

CISO competenties

Gezien het takenpakket van de CISO moet hij/zij beschikken over een aantal technische en niet-technische vaardigheden:

  • Brede kennis op gebied van informatieveiligheid en -beveiliging alsook de wet- en regelgeving ter zake (helikopter view), zowel op technisch als organisatorisch domein.

  • Het vermogen om strategisch en tactisch te denken.

  • Diplomatieke en communicatieve vaardigheden: de CISO moet overtuigend communiceren over technische en niet-technische onderwerpen, zowel richting medewerkers als richting management en bestuur.

  • Goede rapporterings- en presentatie vaardigheden: vanuit zijn/haar adviserende rol is het belangrijk om zaken goed op papier te zetten (rapporteren) en te presenteren.

[1] Hiërarchisch: vanuit leidinggevende positie, inclusief personele en financiële aspecten.

[2] Functioneel: vanuit een specifieke vakinhoudelijke verantwoordelijkheid.

...

  • .