Document toolboxDocument toolbox

1.2.3.2.1.1. Leidend Ambtenaar

Van de hoogste bestuurder (Leidend Ambtenaar, Administrateur Generaal of Directeur Generaal) binnen een entiteit wordt, tezamen met directie/bestuur een sturende, faciliterende en controlerende rol verwacht ten aanzien van informatieveiligheid. De leidend ambtenaar heeft geen directe rol in de dagelijkse uitvoering van informatieveiligheidsbeleid, maar blijft wel aansprakelijk voor het beleid en de uitvoering met de volgende verantwoordelijkheden:

  • Erop toezien dat er regelmatig campagnes worden uitgevoerd en er trainingen beschikbaar zijn, gericht op alle medewerkers van de organisatie, om het bewustzijn van veiligheidsrisico’s te vergroten;

  • Bevorderen van een open en veilige cultuur waarin medewerkers zich vrij voelen om risico’s en incidenten te melden, zodat adequaat kan worden gereageerd en er een lerende organisatie ontstaat;

  • Bevorderen van eigenaarschap van informatieveiligheid op alle niveaus binnen de organisatie van management tot en met uitvoerende medewerkers;

  • Beschikbaar stellen van budget en voldoende middelen voor de ontwikkeling, het onderhoud en de uitvoering van het informatieveiligheidsbeleid;

  • Aanstellen van een gedelegeerd verantwoordelijke die de dagelijkse leiding heeft bij het uitvoeren van het informatieveiligheidsbeleid. Een Chief Information Security Officer (CISO), veiligheidsconsultent of equivalent;

  • Erop toezien dat informatieveiligheid en risicobeheer ingericht worden als een cyclisch, iteratief en terugkerend proces met duidelijke regels en hulpmiddelen voor risicoanalyses, de implementatie van beheersmaatregelen, de acceptatie van risico’s en rapportering;

  • Zorgen voor, of toezien op, regelmatige afstemming met samenwerkingspartners en leveranciers over informatieveiligheid en beheersmaatregelen om risico’s op een acceptabel niveau te brengen en te houden;

  • Uitvoeren van regelmatige controle en evaluatie op bestuurdersniveau om inzicht te verkrijgen in de mate waarop het informatieveiligheidsbeleid en risicobeheer is ingebed binnen de organisatie en om bij te sturen.

Related pages