In augustus 2016 is een handreiking IB-functieprofiel voor de Chief Information Security Officer (CISO) gepubliceerd door de Informatiebeveiligingsdienst (IBD), met het doel ondersteuning te geven bij het inrichten van de IB-functie binnen een gemeente. Voor het succesvol implementeren van informatiebeveiliging in een organisatie is de verdeling van verantwoordelijkheden en bevoegdheden voor het beslissen, adviseren en controleren van en over informatiebeveiligingsmaatregelen een basisvoorwaarde. Ontwikkelingen als de invoering van de overheidsbrede Baseline Informatiebeveiliging Overheid (BIO) en de introductie van een eenduidig verantwoordingsstelsel voor informatiebeveiliging (ENSIA) bij gemeenten zijn van invloed op de CISO-functie en rechtvaardigen een actualisatie van het functieprofiel. Daarnaast heeft de functie van CISO zich in het vakgebied informatiebeveiliging steeds meer ontwikkeld als beroep. Die ontwikkeling opent mogelijkheden tot professionalisering en kwalificatie, die we in deze handreiking verkennen.
Gemeenten verschillen van elkaar qua organisatie en daardoor in de wijze waarop de CISO functie wordt ingevuld. Met de invoering van de BIO en het verbindend verklaren van dit normenkader voor de hele overheid, is aanstelling van een CISO niet langer vrijblijvend, maar verplicht geworden. De aanstelling van een CISO is een belangrijke voorwaarde om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.
Hoe de functie wordt ingevuld beschrijft de BIO niet. In de praktijk is de rol van CISO soms ingevuld als onderdeel van een andere functie. Het komt ook voor dat de CISO een oriëntatie heeft op de meer technische aspecten van informatiebeveiliging (IB), of juist meer gericht is op de organisatie van IB. Toch is er op basis van de taken die in een beveiligingsorganisatie aan de CISO-functie zijn verbonden een basisprofiel op te stellen. Dit basisprofiel voldoet aan het geheel van taken dat op concernniveau aan de CISO-functie verbonden is. Het kan per gemeentelijke organisatie verschillen of deze taken integraal door de CISO worden uitgevoerd, dan wel gedeeltelijk zijn toegewezen aan andere IB-functies, dan wel als rol binnen een andere functie worden uitgevoerd.
Handreiking IB-functieprofiel Chief Information Security Officer (CISO) BIO (pdf)
Dit nieuwsbericht is ook te vinden in het dossier Informatiebeveiliging
