null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

Rollen

Orignisatie-eenheid

Naam

Afkorting

Verantwoordelijkheden

Team Informatieveiligheid (TIV)

Information Security Officer

ISO

  • Initiatie van de risicobeoordeling indien het niet gaat over een product

  • Bepaling van het domein van de risicobeoordeling

  • Selectie van dreigingen uit de dreigingscataloog

  • Identificatie van specifieke dreigingen

  • Berekening van de impact van een dreiging (via beheer van het sjabloon)

  • Berekening van het inherent risico van een dreiging (via beheer van het sjabloon)

  • Bepaling van kwetsbaarheden en het restrisico

  • Aanpassen van het product-dashboard

Afdeling andere dan TIV

Afdelingshoofd en Team Coach

TC

  • Herziening van de risicobeoordeling

Afdeling andere dan TIV

Producteigenaar

PO

  • Start van een risicobeoordeling (*)

  • Bepaling van de waarschijnlijkheid van een dreiging (*)

  • Berekening van het inherent risico van een dreiging (*)

  • Identificatie van implementatiemaatregelen (*)

  • Bepaling van de effectiviteit van implementatiemaatregelen (*)

Verantwoordelijkheden in RACI tabel

  • De verantwoordelijke (R van “Responsible”) is de persoon die ervoor zorg draagt dat een activiteit daadwerkelijk wordt uitgevoerd. In de praktijk kan dit dezelfde persoon zijn als de (gedelegeerde) eigenaar, maar ook iemand anders. In de context van risicobeheer, kan deze persoon een rol vervullen in de beoordeling en behandeling van risico’s, maar heeft in de meeste gevallen geen beslissingsrecht.

  • De aansprakelijke (A van “Accountable”) is de persoon die eigenaar is van de activiteit en moet zorg dragen dat er voldoende bedrijfsmiddelen worden vrijgemaakt voor de uitvoering. In de context van informatieveiligheid en risicobeheer is de eigenaar aansprakelijk voor de uitvoering van het informatieveiligheidsbeleid en het beheer van de risico’s, al kan de R (uitvoering) worden gedelegeerd naar een andere persoon. Binnen Digitaal Vlaanderen is de aansprakelijke in de regel lid van het Directie Comité (DC). De aansprakelijke heeft steeds beslissingsrecht en moet het resultaat van een activiteit goedkeuren.

  • De persoon die geraadpleegd wordt (C van “Consulted”) om een activiteit uit te voeren, en informatie aanreikt om een activiteit tot een goed einde te brengen.

  • De persoon die geinformeerd wordt (I van “Informed”) over de resulaten van een activiteit, ten einde deze resultaten verder te verwerken in andere processen.

Activiteit

Verantwoordelijk

(R=Responsible)

Aansprakelijk

(A=Accountable)

Geraadpleegd

(C=Consulted)

Geinformeerd

(I=Informed)

Risico-identificatie

ISO (*)

PO

-

-

Risicoanalyse

ISO (*)

PO

-

-

Risico-evaluatie

ISO (*)

PO

-

ISO, TC

(*) Toelichting van de verantwoordelijkheid van de ISA:

Vanuit een tweedelijnsrol is Team Informatieveiligheid verantwoordelijk voor beleid, advies, faciliteren, monitoring en beoordeling. Zodoende wordt vanuit Team Informatieveiligheid ondersteuning geboden aan de eigenaren bij het uitvoeren van risicobeheer, zoals het faciliteren van risicoanalyses en het adviseren van controlemaatregelen. Team Informatieveiligheid is niet verantwoordelijk voor de risicoanalyse zelf, de implementatie van maatregelen of de acceptatie van restrisico.

  • No labels