Norm

Rationale	Deze maatregel borgt dat bij (dreiging van) calamiteiten door alle partijen daadkrachtig kan worden gereageerd. Zie ook A.12.4.1 Gebeurtenissen registreren en A.16.1.1 Verantwoordelijkheden en procedures.
Implementatie	De (eind)verantwoordelijkheid voor informatiebeveiliging MOET belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van MedMij en deze besluiten met spoed te kunnen (laten) realiseren. De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/ dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur.
Toelichting	Conform de betreffende Deelnemersovereenkomsten.
NEN 7510-1:2017	A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging
NEN 7510:2011	A.6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging A.8.1.1 Rollen en verantwoordelijkheden

Beoordeling

Auditmethode

Stel op basis van evidence vast dat de genoemde functionaris(sen) is/zijn aangewezen.
Stel vast dat een procedure is ingericht zodat de genoemde beschikbaarheid, tijdens kantooruren binnen een uur en buiten kantooruren binnen drie uur, te allen tijde gegarandeerd is op dit onderwerp. Indien van toepassing dient deze procedure onderaannemers te omvatten.
De beschikbaarheid dient tevens gegarandeerd te zijn bij geplande en ongeplande afwezigheid.
Stel door middel van interviews vast dat de functionaris(sen) op de hoogte is/zijn van hun taken en verantwoordelijkheden t.a.v. de beschikbaarheid en het juiste mandaat hebben.

Verificatie

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie