De rol van een informatiebeveiligings functionaris

In één oogopslag: de rol van de informatiebeveiligingsfunctionaris

De Informatiebeveiligingsfunctionaris (IBF) is verantwoordelijk voor het beveiligen van informatie binnen een organisatie. Taken omvatten onder meer beleidsontwikkeling, het uitvoeren van risicoanalyses, compliance met wet- en regelgeving zoals ISO 27001 en NEN 7510, en het vergroten van bewustzijn.

Wat doet een Informatiebeveiligingsfunctionaris?

In een wereld waarin data onmisbaar is geworden, neemt ook de dreiging toe. Denk aan cyberaanvallen, datalekken en wetgeving zoals de AVG en NEN 7510. De informatiebeveiligingsfunctionaris is verantwoordelijk voor het beheersen van deze risico’s, met name binnen zorginstellingen en organisaties die gevoelige persoonsgegevens verwerken.

Functieomschrijving: taken en verantwoordelijkheden

De verantwoordelijkheden van een informatiebeveiligingsfunctionaris (IBF) in de zorg en andere sectoren zijn onder andere:

• Beleidsontwikkeling: Het opstellen en onderhouden van informatiebeveiligingsbeleid volgens bijvoorbeeld de Algemene Verordening Gegevensbescherming, de BIO, ISO 27001 en/of NEN 7510.
• Risicoanalyse: Het uitvoeren van risico-inventarisaties, identificeren van risico’s en bijbehorende prioriteiten stellen.
• Implementatie van maatregelen: Technische en organisatorische maatregelen invoeren en de compliance daarmee bewaken.
• Training & bewustwording: Medewerkers trainen in het geldende beleid, veilig datagebruik en het signaleren van incidenten.
• Incidentmanagement: Het reageren op en registreren van beveiligingsincidenten en datalekken.
• Leveranciersmanagement: Het beoordelen van de beveiliging bij cloud- en softwareleveranciers.
• Rapportage: Het rapporteren aan het management over de status, voortgang en risico’s ten aanzien van het managementsysteem.
• Compliance: Het toezien op naleving van normen en wetten zoals de NEN 7510, ISO 27001, AVG en BIO.

Checklist voor het inrichten van de functie:

Bij het inrichten van de functie van de informatiebeveiligingsfunctionaris is het belangrijk dat er structureel aandacht is voor ondersteuning, middelen en verankering binnen de organisatie. Hierbij dient onder meer het volgende geregeld te worden:

• Het borgen van een mandaat vanuit de directie.
• Zorg voor voldoende budget en tijd om het ISMS te onderhouden.
• Stel een jaarlijks audit- en trainingsplan op.
• Koppel het beleid aan concrete KPI’s en evaluatiemomenten.

Stappenplan: Hoe word je een Informatiebeveiligingsfunctionaris?

Wil je informatiebeveiligingsfunctionaris worden? Dit zijn de stappen om jezelf te kwalificeren:

1. Voltooi een HBO- of WO-opleiding in IT, cybersecurity of bedrijfskunde.
2. Behaal certificeringen zoals CISM, CRISC of ISO 27001 Lead Implementer.
3. Doe ervaring op in IT, risicomanagement of compliance.
4. Ontwikkel communicatieve, analytische en coördinerende vaardigheden.
5. Volg de ontwikkelingen binnen NIS2, AVG en NEN 7510 nauwgezet.

Concrete voorbeelden van dagelijkse werkzaamheden

De rol van IBF is veelzijdig en dynamisch. Dagelijkse werkzaamheden kunnen onder meer bestaan uit:

• Het beoordelen van nieuwe leveranciers op basis van hun ISO-certificeringen.
• Het adviseren of ondersteunen van collega’s op het gebied van informatiebeveiliging.
• Het geven van een security awareness training aan nieuwe medewerkers.
• Het analyseren van toegangsrechten binnen een zorgapplicatie.
• Het updaten van ISMS-documentatie na een interne of externe audit.

Verantwoordelijkheden binnen de organisatie

Een informatiebeveiligingsfunctionaris draagt op tactisch en operationeel niveau bij aan de borging van informatieveiligheid binnen de organisatie. Deze functionaris:

• Houdt overzicht over alle data en datastromen.
• Beoordeelt compliance met ISO 27001 en NEN 7510 eisen.
• Adviseert over beleidsaanpassingen en maatregelen.
• Signaleert risico’s en coördineert opvolging ervan.

Vergelijking met andere rollen

In de onderstaande tabel wordt een overzicht gegeven van de verschillen in focus en verantwoordelijkheden van gerelateerde functies:

Taken informatiebeveiligingsfunctionaris bij implementatie

Bij de implementatie van de ISO 27001 of NEN 7510 vervult de IBF een coördinerende rol. Denk aan:

• Het uitvoeren van een gap-analyse en risico-inventarisatie.
• Het ontwikkelen van een implementatieplan om de benodigde maatregelen in te voeren.
• Het coördineren, opzetten en opvolgen van audits, awareness campagnes en technische controles.

Veelgestelde vragen over de rol van een informatiebeveiligingsfunctionaris

In dit gedeelte beantwoorden we de meest gestelde vragen over de rol, taken en werkzaamheden van een informatiebeveiligingsfunctionaris.

Wat zijn typische eigenschappen of opleidingseisen?

Een achtergrond in IT, informatiebeveiliging of bedrijfskunde, met certificeringen als CISSP, CISM of ISO 27001 Lead Implementer. Daarnaast is ervaring met risicomanagement en beleidsontwikkeling belangrijk.

Is deze rol verplicht binnen NEN 7510?

De aanstelling van een informatie informatiebeveiligingsfunctionaris is niet een formele verplichting vanuit de normen, deze rol wordt doorgaans wel als best-practice belegd bij een of meer personen binnen de organisatie.

Kunt u deze rol niet zelf invullen?

Niet elke organisatie heeft een fulltime ISO nodig. BMGRIP biedt:

• Tijdelijke of parttime invulling van de ISO-rol
• Ondersteuning bij implementatie van de ISO 27001 en/of NEN 7510
• Training en bewustwordingscampagnes
• Ondersteuning bij audits en risicobeoordeling

Wilt u weten wat een informatiebeveiligingsfunctionaris voor uw organisatie kan betekenen? Neem vrijblijvend contact op met onze consultants.