Profiel Security Officer

Wettelijk zijn er geen formele competentie-eisen vastgesteld om aan de slag te gaan als SO of (C)ISO. In de praktijk is het echter goed om de volgende competentie-eisen te hanteren:

• Medior / Senior consultant met minimaal 3 jaar ervaring op het gebied van informatiebeveiliging en privacy.
• Met bovengemiddelde vakkennis op het gebied van het implementeren en beheren van een ISMS.
• Met sterke affiniteit voor zowel organisatorisch-administratieve (AO) als administratie-technische aspecten van informatiebeveiliging.
• Met basiskennis over privacywetgeving en de praktijk van gegevensbescherming.
• Is in staat om op het niveau van bestuurders en directies te communiceren, overleggen en te overtuigen.
• Staat stevig in zijn schoenen. Immers, als coördinator, implementator en beheerder van het ISMS breng je soms ook minder populaire boodschappen.
• Is in staat bij de organisatie van de klant in de praktijk voorbeeldgedrag op het gebied van privacy te etaleren.
• Is zich terdege bewust van zijn geheimhoudingsplicht.
• Heeft de interne (C)ISO training gevolgd.
• Heeft een CISSP, CISA, CISM, RE-opleiding en examen doorlopen.
• Mag een hierbij behorende titel voeren.
• Heeft voldoende praktijkcases op het gebied van informatiebeveiliging geoefend (zie FAQ bijlage).

Zoals aangegeven is de (C)ISO in de eerste plaats de coördinator van het ISMS tijdens het implementeren en  beheren van informatiebeveiliging.

Dat wil zeggen dat de (C)ISO formeel een staffunctie is direct onder de Raad van Bestuur of Directie. De (C)ISO is nadrukkelijk niet gepositioneerd onder specifieke afdelingen zoals ICT, Facilitair, HR of Inkoop omdat dit slechts deelaspecten van informatiebeveiliging zijn.

De (C)ISO is verantwoordelijk voor:

• De integrale coördinatie van het ISMS van de organisatie.
• het onderhouden van periodiek contact met de portefeuillehouder informatiebeveiliging van Raad van Bestuur / directie over de ontwikkelingen, stand van zaken en verbeteractiviteiten op het gebied van informatiebeveiliging.
• het informeren, communiceren en adviseren over informatiebeveiliging gerelateerde onderwerpen en aspecten met de wet- en regelgeving, normen en standaarden, contractuele eisen en risicoanalyseresultaten als anker.
• het adviseren op het gebied van technische en organisatorische maatregelen op het gebied van informatiebeveiliging.
• het bespreken van incidenten, klachten en zorgen van managers en medewerkers over informatiebeveiliging gerelateerde zaken binnen de organisatie.
• Het formeel beoordelen en goedkeuren van verzoeken tot het werken buiten de vastgestelde informatiebeveiligingsprocedures en protocollen of tot het geven van toegangsrechten buiten de vastgestelde autorisatiematrices.

De (C)ISO is bevoegd om:

• Aanwijzingen te geven aan managers en medewerkers over het volgen van vastgestelde informatiebeveiligingsprocedures en protocollen.
• in gesprek te gaan met medewerkers over informatiebeveiliging gerelateerde aspecten zonder formele toestemming van leidinggevenden.
• vertrouwelijke gesprekken met managers, medewerkers of betrokkenen niet te delen met anderen.
• Zwaarwegende adviezen te geven (vaak in overleg met de FG en privacy officer) inzake (complexe) verzoeken tot:
  • (tijdelijke of permanente) afwijking van toegangsrechten en mandaten.
  • inzage, rectificatie, wissing, portabiliteit van persoonsgegevens.
  • het afwijken van privacy afspraken en procedures in de organisatie.

Gegeven de verantwoordelijkheden en bevoegdheden van de (C)ISO zijn drie zaken van het grootste belang:

• Om als (C)ISO effectief te kunnen functioneren en de verantwoordelijkheden en bevoegdheden inhoud te kunnen geven dient hij of zij zeer goed geïnformeerd te blijven over de stand van zaken, ontwikkelingen en events binnen en buiten de organisatie. Dat kan de (C)ISO bewerkstelligen door:
  • Externe ontwikkelingen op het gebied van informatiebeveiliging goed bij te houden en te vertalen naar consequenties voor de organisatie.
  • Intern een goede formele en informele communicatiestructuur op te bouwen (formele en informele overlegrondes met sleutelfunctionarissen, helder loket met telefoonnummer, emailadres enz., bewustwording bij functionarissen dat ze met specifieke informatiebeveiligingsvragen of events zich bij de (C)ISO dienen te melden).
  • Goed in de gaten te hebben bij welke events een (C)ISO zijn advies, oordeel of goedkeuring dient te geven en in de praktijk alert te zijn op dit type events. Voorbeelden: Afsluiten van een nieuw groot contract met een opdrachtgever, leverancier of partner, Start van een nieuw intern of extern project, Beslissing om een kritiek ICT-systeem te vervangen, enz.
• Het kan zijn dat zwaarwegende adviezen van de (C)iso niet door de RvB / Directie worden opgevolgd of overgenomen. Leg dit dan altijd vast in (mail, notulen, verslaglegging). Geef als (C)ISO helder aan wat de risico’s zijn die hieraan verbonden zijn. Indien e.e.a. een structureel karakter krijgt dan dient hierover in gesprek te worden gegaan met de RvB / Directie In het uiterste geval zal moeten worden besloten om de (C)ISO functie neer te leggen.
• Het is altijd van belang om met alle partijen in gesprek te blijven en in dialoog naar de beste informatiebeveiligingsoplossingen toe te werken. Autoritair optreden en formeel ingrijpen dient alleen te worden toegepast als laatste mogelijkheid.