Marcel Dusink
IT-auditor
Een Security Officer is een informatiebeveiligingsexpert die ondersteunt bij het beheren en naleven van uw informatiebeveiligingsbeleid. Voor veel organisaties is één algemene rol van Information Security Officer voldoende. Voor andere, vaak grotere, organisaties is het nodig onderscheidende rollen toe te wijzen. Hieronder lichten wij toe in welke rollen wij u kunnen voorzien.
Information Security officer (ISO)
Een Information Security Officer houdt informatie binnen een bedrijf veilig en betrouwbaar. Het is zijn verantwoordelijkheid om te zorgen dat het informatiebeveiligingsbeleid actueel is en wordt nageleefd. Dit doet hij door procedures te ontwikkelen om gevoelige gegevens te beschermen, te beoordelen welke risico’s er zijn en maatregelen te nemen om bedreigingen te verminderen. Dit kan bijvoorbeeld door het beheren van autorisaties van systemen en geven van awareness trainingen aan medewerkers.
Het is mogelijk een ISO parttime in te huren. Afhankelijk van de tijd en uw wensen bespreken wij welke werkzaamheden de ISO zal uitvoeren.
Is een Information Security Officer vereist?
Binnen de normenkaders ISO 27001 en NEN 7510 is het verplicht de rol van Security Officer aan iemand toe te wijzen. Bij de NEN 7510 is het verplicht om de rol van security officer als volwaardige functie bij één persoon te beleggen.
Chief Information Security Officer (CISO)
De noodzaak voor een CISO komt vaker voor in grotere organisaties, waar er meerdere security officers zijn. In dat geval heeft de CISO een hoger leiderschapsniveau en vervult een meer strategische rol. De CISO is in de breedte verantwoordelijk voor de informatiebeveiliging, terwijl de ISO’s zich meer richten op het uitvoeren van specifieke operationele taken. Het is de taak van de CISO om het totaaloverzicht aan risico’s te bewaken en de beveiligingsstrategieën en resultaten te communiceren aan het management.
Het is mogelijk een CISO parttime in te huren. De invulling van zijn rol word bepaald aan de hand van de rollen die in uw organisatie al bestaan.
CISO inhurenPrivacy Officer (PO)
Een Privacy Officer is verantwoordelijk voor het actueel houden en naleven van het privacybeleid van een organisatie. Waar een ISO een brede kijk heeft op informatiebeveiliging, ligt de focus van een PO voornamelijk op persoonsgegevens en de privacy van individuen. Een PO houdt zich bijvoorbeeld bezig met de manier waarop persoonsgegevens worden verzameld en het voorkomen en melden van gegevenslekken.
Het is mogelijk de rol van PO bij een persoon binnen de organisatie te beleggen. Omdat het vaak geen primaire functie is, zien we in de praktijk vaak dat de rol niet naar behoren wordt vervuld. Het is ook mogelijk een PO parttime in te huren.
Privacy Officer inhurenFunctionaris Gegevensbescherming (FG/DPO)
Een Functionaris gegevensbescherming (FG) is de Nederlandse variant van een Data Protection Officer (DPO). Een FG zorgt ervoor dat de verwerking van persoonsgegevens in overeenstemming is met de geldende privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie. Deze rol lijkt veel op de rol van Privacy Officer. Het verschil is dat de Privacy Officer bezig is met de uitvoering van het privacybeleid, waar een FG meer acteert als toezichthouder. Het is niet wenselijk deze rollen te combineren. Het is aan te raden een FG te benoemen die geen andere rol binnen dezelfde organisatie vervult.
Is een Functionaris Gegevensbescherming vereist?
Een Functionaris Gegevensbescherming is vereist voor:
- Overheden en publieke organisaties;
- Organisaties die op grote schaal persoonsgegevens verwerken;
- Organisaties die regelmatig en stelselmatig op grote schaal observaties doen;
Gratis Cyber Security Scan
Weet u dat u iets aan informatiebeveiliging moet doen maar niet waar te beginnen? Doe dan onze Cyber Security Scan. Het opstellen van een beleid en maatregelen om risico’s te voorkomen verschilt veel per organisatie. Met onze scan brengen we in kaart welke risico’s en bedreigingen er zijn voor uw organisatie.
Meer over Cyber Security Scan