null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Rollen

Orignisatie-eenheid

Naam

Afkorting

Verantwoordelijkheden

Team Informatieveiligheid (TIV)

Information Security Architect

ISA

  • Beheer van de lijst van bedrijfsprocessen

  • Herziening van de lijst van bedrijfsprocessen

  • Beheer van het informatieasset-register

  • Herziening van het informatieasset-register

  • Bepaling van het domein van de risicobeoordeling

  • Selectie van dreigingen uit de dreigingscataloog

  • Identificatie van specifieke dreigingen

  • Berekening van de impact van een dreiging

  • Berekening van het inherent risico van een dreiging

  • Bepaling van kwetsbaarheden en het restrisico

  • Beheer van het informatieveiligheid-risicoregister

  • Rapportering van het informatieveiligheid-risicoregister

  • Beheer van het informatieveiligheid-risicoregister

Team Informatieveiligheid (TIV)

Information Security Officer

ISO

  • Herziening van de lijst van bedrijfsprocessen

  • Herziening van het informatieasset-register

  • Herziening van het risicobehandelplan

  • Herziening van het informatieveiligheid-risicoregister

Team Informatieveiligheid (TIV)

Chief Information Security Officer

CISO

  • Goedkeuring van het informatieasset-register

  • Goedkeuring van het risicobehandelplan

  • Goedkeuring van het informatieveiligheid-risicoregister

Portfoliobeheer

Portfoliomanager

PM

  • Bijdrage tot de lijst van bedrijfsprocessen

Afdeling andere dan TIV

Afdelingshoofd

-

  • Bijdrage tot de lijst van bedrijfsprocessen

  • Herziening van het informatieasset-register

  • Identificatie van Information Asset Owners

  • Goedkeuring van het risicobehandelplan

Afdeling andere dan TIV

Product Owner

PO

  • Herziening van het informatieasset-register

Afdeling andere dan TIV

Information Asset Owner

IAO

  • Start van een risicobeoordeling (*)

  • Bepaling van de waarschijnlijkheid van een dreiging (*)

  • Berekening van het inherent risico van een dreiging (*)

  • Identificatie van implementatiemaatregelen (*)

  • Bepaling van de effectiviteit van implementatiemaatregelen (*)

  • Voorstelling van het risicobehandelplan (*)

  • Opvolging van het risicobehandelplan (*)

Digitaal Vlaanderen

Risicomanager

-

  • Bijdrage tot de lijst van bedrijfsprocessen

  • Herziening het centrale risicoregister op basis van het informatieveiligheid-risicoregister

Digitaal Vlaanderen

Directiecomité

DC

  • Goedkeuring van het informatieveiligheid-risicoregister

Verantwoordelijkheden in RACI tabel

  • De verantwoordelijke (R van “Responsible”) is de persoon die ervoor zorg draagt dat een activiteit daadwerkelijk wordt uitgevoerd. In de praktijk kan dit dezelfde persoon zijn als de (gedelegeerde) eigenaar, maar ook iemand anders. In de context van risicobeheer, kan deze persoon een rol vervullen in de beoordeling en behandeling van risico’s, maar heeft in de meeste gevallen geen beslissingsrecht.

  • De aansprakelijke (A van “Accountable”) is de persoon die eigenaar is van de activiteit en moet zorg dragen dat er voldoende bedrijfsmiddelen worden vrijgemaakt voor de uitvoering. In de context van informatieveiligheid en risicobeheer is de eigenaar aansprakelijk voor de uitvoering van het informatieveiligheidsbeleid en het beheer van de risico’s, al kan de R (uitvoering) worden gedelegeerd naar een andere persoon. Binnen Digitaal Vlaanderen is de aansprakelijke in de regel lid van het Directie Comité (DC). De aansprakelijke heeft steeds beslissingsrecht en moet het resultaat van een activiteit goedkeuren.

  • De persoon die geraadpleegd wordt (C van “Consulted”) om een activiteit uit te voeren, en informatie aanreikt om een activiteit tot een goed einde te brengen.

  • De persoon die geinformeerd wordt (I van “Informed”) over de resulaten van een activiteit, ten einde deze resultaten verder te verwerken in andere processen.

Activiteit

Verantwoordelijk

(R=Responsible)

Aansprakelijk

(A=Accountable)

Geraadpleegd

(C=Consulted)

Geinformeerd

(I=Informed)

Identificatie van bedrijfsprocessen

ISA (*)

DC

PM

Afdelingshoofd

Risicomanager

ISO

Identificatie van informatieassets

ISA (*)

Afdelingshoofd

PO

ISO

Beheer van informatieassets

ISA (*)

CISO

IAO

ISO

PO

Risicomanager

DC

Risico-identificatie

ISA (*)

IAO

-

-

Risicoanalyse

ISA (*)

IAO

-

-

Risico-evaluatie

ISA (*)

IAO

-

ISO

CISO

Opstellen van een behandelplan

ISA (*)

IAO

-

ISO

CISO

Goedkeuring en rapportering

ISA (*)

IAO

-

DC

Risicobeheerder

(*) Toelichting van de verantwoordelijkheid van de ISA:

Vanuit een tweedelijnsrol is Team Informatieveiligheid verantwoordelijk voor beleid, advies, faciliteren, monitoring en beoordeling. Dit dient drie belangrijke doelen:

  1. Zorgdragen voor een correcte uitvoering van risicobeheer door eigenaren,

  2. Aggregatie van risico’s naar een overkoepelend overzicht van het informatieveiligheidrisicolandschap

  3. Vertaling van informatieveiligheidsrisico’s naar bedrijfsrisico’s voor strategische rapportering

Zodoende wordt vanuit Team Informatieveiligheid ondersteuning geboden aan de eigenaren bij het uitvoeren van risicobeheer, zoals het faciliteren van risicoanalyses en het adviseren van controlemaatregelen. De risicoanalist is niet verantwoordelijk voor de risicoanalyse zelf, de implementatie van maatregelen of de acceptatie van restrisico.

  • No labels

null

Dit is een document voor publiek gebruik.