1.2.3.2.2.3. Assetmanager
Iedere organisatie kent een mix van processen, systemen, producten en/of diensten. Voor al deze assets is er iemand verantwoordelijk. In de context van de rolbeschrijving wordt deze hier “assetmanager” genoemd, maar in de praktijk is er diversiteit in functietitels zoals procesmanager, servicemanager, delivery manager, systeemeigenaar, product owner, etc. Deze groep is onder andere verantwoordelijk voor de uitvoering van het informatieveiligheidsbeleid voor hun specifieke asset. Dit kan allerlei soorten activiteiten omvatten gerelateerd aan beheerprocessen en beheersmaatregelen. Dit is sterk afhankelijk van het type asset, de scope en hoe de verantwoordelijkheden zijn verdeeld.
Afhankelijk van de precieze asset, kunnen zij volgende verantwoordelijkheden hebben:
(Toezien op de) uitvoering, en actualisering wanneer nodig, van informatieklassebepaling en risicoanalyse conform de methodiek van de entiteit;
(Toezien op) implementatie, operatie en onderhoud van gepaste beheersmaatregelen in lijn met de vastgestelde klasse, het risicoprofiel en het informatieveiligheidsbeleid van de entiteit;
(Toezien op) monitoring en beoordeling van de effectiviteit van beheersmaatregelen, en bijsturing indien nodig, als integraal onderdeel van kwaliteitsborging van proces/product/dienst;
(Toezien op) adequate reactie op en beheersing van veiligheidsincidenten en storingen op het proces/product/dienst;
(Toezien op) uitvoering van verbeterplannen voor informatieveiligheid van de asset;
Optioneel, afhankelijk van de positie van de assetmanager:
Tonen van leiderschap aan het team of afdeling om het belang van informatieveiligheid te benadrukken;
Competenties en training van medewerkers beoordelen en beheren, zodat ze hun taken op het gebied van informatiebeveiliging effectief kunnen vervullen;
Stimuleren van eigenaarschap van risico’s en beheersmaatregelen binnen het team of afdeling;
Stimuleren van de noodzaak om veiligheidsincidenten te melden en op te volgen;
Alloceren van voldoende budget voor informatieveiligheid van het proces/product/dienst.