1.2.3.2.1 Overzicht verplichte rollen en verantwoordelijkheden binnen het ICR
Op het hoogste niveau identificeren we het volgende voor de ontwikkeling, het beheer en de uitvoering van informatieveiligheidsbeleid Vo-breed en lokaal binnen de entiteiten.
| Verantwoordelijk | Aansprakelijk | Raadplegen | Informeren |
| (Responsible) | (Accountable) | (Consulted) | (Informed) |
Ontwikkeling en beheer van beleid op Vo niveau (ICR)
| Voorzitter Werkgroep Informatie | Voorzitter Stuurorgaan Vlaams Informatie en ICT-beleid | Leden van het Stuurorgaan Vlaams Informatie en ICT-beleid Leden van de Werkgroep Informatie | Toezichthouders |
Ontwikkeling en beheer van beleid op entiteitniveau
| CISO van entiteit* | Leidend Ambtenaar van de entiteit | Voorzitter Werkgroep Informatie | Toezichthouders, Stuurorgaan, Werkgroep Informatie |
Classificatie van informatie | (Gedelegeerd) Eigenaar of Uitvoerder | Eigenaar | CISO van entiteit* DPO van entiteit* |
Stuurorgaan Vlaams Informatie en ICT-beleid** |
Toepassen van beheersmaatregelen |
(Gedelegeerd) Eigenaar of Uitvoerder
Uitbesteding aan externe leverancier(s) mogelijk mits expliciet overeengekomen en toezicht en controle door eigenaar | Eigenaar | CISO van entiteit* DPO van entiteit* | Stuurorgaan Vlaams Informatie en ICT-beleid** |
(*) CISO: Chief Information Security Officer, DPO: Data Protection Officer
(**) Stuurorgaan kan geïnformeerd worden middels geaggregeerde rapportering over diverse onderwerpen, zoals informatieclassificatie, uitkomst van self-assessments, de mate van compliance, etc.
De verplichte rollen worden verder uitgewerkt op de volgende pagina’s:
1.2.3.2.1.1. Leidend Ambtenaar
1.2.3.2.1.2. CISO als verplichte rol
1.2.3.2.1.3. Functionaris voor gegevensbescherming
De governance wordt verder uitgewerkt in paragraaf 1.2.3.3. Governance