Dit hoofdstuk geeft een globaal overzicht van de belangrijkste rollen en verantwoordelijkheden voor goed governance en inbedding van informatieveiligheid. De rolbeschrijvingen zijn een richtsnoer en mogen niet worden gezien als een volledige functiebeschrijving. Iedere entiteit dient rollen zelf te definiëren en in te passen in de context van de entiteit. Sommige rollen kunnen bijvoorbeeld gecombineerd worden in één functie. Operationele rollen en verantwoordelijkheden voor specifieke veiligheidstaken zijn buiten scope van dit document. Dit zijn bijvoorbeeld netwerk security specialisten, firewall beheerders, et cetera. Ten slotte bevatten de beschrijvingen geen andere vormen van verantwoordelijkheid (bijvoorbeeld leidinggevende, technische, financiële, etc).
1.2.3.2.1. Overzicht
Op het hoogste niveau identificeren we het volgende voor de ontwikkeling, het beheer en de uitvoering van informatieveiligheidsbeleid Vo-breed en lokaal binnen de entiteiten.
| Verantwoordelijk | Aansprakelijk | Raadplegen | Informeren |
| (Responsible) | (Accountable) | (Consulted) | (Informed) |
Ontwikkeling en beheer van beleid op Vo niveau (ICR) | Voorzitter Werkgroep Informatie | Voorzitter Stuurorgaan Vlaams Informatie en ICT-beleid | Leden van de Werkgroep Informatie | Toezichthouders |
Ontwikkeling en beheer van beleid op entiteitniveau | CISO van entiteit* | Leidend Ambtenaar van de entiteit | Voorzitter Werkgroep Informatie | Toezichthouders, Stuurorgaan, Werkgroep Informatie |
Classificatie van informatie | (Gedelegeerd) Eigenaar of Uitvoerder | Eigenaar | CISO van entiteit* DPO van entiteit* |
Stuurorgaan Vlaams Informatie en ICT-beleid** |
Toepassen van beheersmaatregelen |
(Gedelegeerd) Eigenaar of Uitvoerder
Uitbesteding aan externe leverancier(s) mogelijk mits expliciet overeengekomen en toezicht en controle door eigenaar | Eigenaar | CISO van entiteit* DPO van entiteit* | Stuurorgaan Vlaams Informatie en ICT-beleid** |
(*) CISO: Chief Information Security Officer, DPO: Data Protection Officer
delegatie aan een veiligheidsconsulent of is mogelijk
(**) Stuurorgaan kan geïnformeerd worden middels geaggregeerde rapportering over diverse onderwerpen, zoals informatieclassificatie, uitkomst van self-assessments, de mate van compliance, etc.
De belangrijkste rollen worden verder uitgewerkt op de volgende pagina’s:
1.2.3.2.3. Functionaris voor informatiebeveiliging
1.2.3.2.4. Functionaris voor gegevensbescherming
1.2.3.2.10. Eindverantwoordelijkheid in geval van overlap
1.2.3.2.11. Functiescheiding (nog niet gepubliceerd)
De governance wordt verder uitgewerkt in paragraaf 1.2.3.3. Governance