De (eind)verantwoordelijkheid voor informatiebeveiliging MOET belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van MedMij en deze besluiten met spoed te kunnen (laten) realiseren.
De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/ dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur.
A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging
NEN 7510:2011
A.6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging
A.8.1.1 Rollen en verantwoordelijkheden
Beoordeling
Auditmethode
Stel op basis van evidence vast dat de genoemde functionaris(sen) is/zijn aangewezen.
Stel vast dat een procedure is ingericht zodat de genoemde beschikbaarheid, tijdens kantooruren binnen een uur en buiten kantooruren binnen drie uur, te allen tijde gegarandeerd is op dit onderwerp. Indien van toepassing dient deze procedure onderaannemers te omvatten.
De beschikbaarheid dient tevens gegarandeerd te zijn bij geplande en ongeplande afwezigheid.
Stel door middel van interviews vast dat de functionaris(sen) op de hoogte is/zijn van hun taken en verantwoordelijkheden t.a.v. de beschikbaarheid en het juiste mandaat hebben.
Verificatie
In welke documentatie de verantwoordelijkheden en bevoegdheden zijn belegd.
Welke procedure (incl. versienummer) is ingezien m.b.t. de beschikbaarheid.
Met wie gesproken is ter bevestiging van de implementatie.