Document toolboxDocument toolbox

A. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging


Norm

RationaleDeze maatregel borgt dat bij (dreiging van) calamiteiten door alle partijen daadkrachtig kan worden gereageerd. Zie ook A.12.4.1 Gebeurtenissen registreren en A.16.1.1 Verantwoordelijkheden en procedures.
Implementatie

De (eind)verantwoordelijkheid voor informatiebeveiliging MOET belegd zijn. Deze functionaris(sen) dient/dienen mandaat te hebben om bij (een dreiging van) een crisis spoedbesluiten te nemen ten aanzien van MedMij en deze besluiten met spoed te kunnen (laten) realiseren.

De verantwoordelijke en operationele functionaris(sen) (inclusief eventuele onderaannemers) dient/ dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. 

ToelichtingConform de betreffende Deelnemersovereenkomsten.
NEN 7510-1:2017A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging
NEN 7510:2011

A.6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging

A.8.1.1 Rollen en verantwoordelijkheden

Beoordeling

Auditmethode

  • Stel op basis van evidence vast dat de genoemde  functionaris(sen) is/zijn aangewezen.
  • Stel vast dat een procedure is ingericht zodat de genoemde beschikbaarheid, tijdens kantooruren binnen een uur en buiten kantooruren binnen drie uur, te allen tijde gegarandeerd is op dit onderwerp. Indien van toepassing dient deze procedure onderaannemers te omvatten.
  • De beschikbaarheid dient tevens gegarandeerd te zijn bij geplande en ongeplande afwezigheid.
  • Stel door middel van interviews vast dat de functionaris(sen) op de hoogte is/zijn van hun taken en verantwoordelijkheden t.a.v. de beschikbaarheid en het juiste mandaat hebben.

Verificatie

  • In welke documentatie de verantwoordelijkheden en bevoegdheden zijn belegd.
  • Welke procedure (incl. versienummer) is ingezien m.b.t. de beschikbaarheid.
  • Met wie gesproken is ter bevestiging van de implementatie.


Rollen

DVP

(tick)

DVA

(tick)

BO

(tick)

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie