CISO versus ISO, wie doet wat?


Als (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. Binnen de gemeente hebben we daarom de (verplichte) ‘CISO’ en/of ‘ISO’. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

De termen Chief Information Security Officer (CISO) en Information Security Officer (ISO) worden vaak door elkaar gebruikt. Is er een verschil tussen deze rollen? Jazeker. Het verschil zit in de taken en verantwoordelijkheden welke bij elke rol horen. In deze blog leg ik uit waar het verschil in zit en waarom het belangrijk is deze rollen beide goed te vervullen.

De Chief Information Security Officer (CISO)
Als gemeente ben je vanuit de Baseline Informatiebeveiliging Overheid (BIO) (6.1.1) verplicht een CISO aan te stellen. De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente en is vooral op strategisch/tactisch niveau bezig. Hij is verantwoordelijk voor het opstellen en implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. Daarnaast fungeert de CISO als sparringpartner voor de proceseigenaar, vaak de lijnmanager, die verantwoordelijk is voor de beveiliging van zijn/haar processen en/of informatiesystemen. Voor welke onderdelen uit de BIO de proceseigenaar verantwoordelijk is, heb ik onlangs onder elkaar gezet in de blog ‘Verantwoordelijkheden van de proceseigenaar binnen de BIO’. De CISO heeft hierin vooral een adviserende en ondersteunende rol. Om de rol van CISO goed in te vullen, moet je behoorlijk wat eigenschappen bezitten, zowel op technisch als op organisatorisch vlak. Wat die eigenschappen zijn, hebben we al in een eerdere blog beschreven.

Takenpakket CISO
De CISO fungeert als een soort programmamanager informatiebeveiliging die overzicht houdt op de gemeentebrede informatiebeveiliging. Hij zorgt voor organisatiebrede afstemming en samenhang ten aanzien van vraagstukken en processen die strategisch dan wel tactisch van aard zijn. De adviezen en aanwijzingen die de CISO geeft zijn niet geheel vrijblijvend en ook niet altijd gewenst, dit komt doordat hij soms tegengestelde bedrijfs- en beveiligingsbelangen met elkaar moet samenvoegen. Het is daarom belangrijk dat de CISO een goede en onafhankelijke positionering heeft binnen de organisatie. De CISO moet midden in de organisatie staan, een directe rapportagelijn hebben naar de gemeentesecretaris (als eindverantwoordelijke) en de (bestuurlijk) portefeuillehouder. De CISO hoort dus niet onder de ICT-afdeling gepositioneerd te zijn (wat soms wel het geval is).

De CISO is o.a. verantwoordelijk voor:

  • het opstellen, implementeren, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende plannen;
  • het optreden als informatiebeveiligingsadviseur voor de proceseigenaar op managementniveau;
  • het inrichten van de informatiebeveiligingsorganisatie;
  • het coördineren en adviseren bij afhandelen van beveiligingsincidenten;
  • de afstemming van informatiebeveiliging met andere beveiligingsdomeinen;
  • het toezien op naleving van de eisen voor informatiebeveiliging;
  • het bevorderen van het informatiebeveiligingsbewustzijn over de hele organisatie;
  • de voorbereiding op toekomstige informatiebeveiligingsrisico’s en ICT-beveiligingsrisico’s;
  • het adviseren bij en begeleiden van risicoanalyses;
  • het meten van en rapporteren over informatiebeveiliging, door het initiëren of laten uitvoeren van (periodieke) beveiligingsaudits en evaluaties.

De Information Security Officer
De CISO kan geholpen worden door één of meerdere Information Security Officer(s) (ISO). Elke ISO kan in dat geval één of meerdere domeinen onder zich nemen om gerichter te kunnen ondersteunen. Een goed voorbeeld hiervan is de gemeente Utrecht, waarbij de CISO op strategisch/tactisch niveau zit, en een Decentrale ISO (DISO) op de verschillende organisatieonderdelen. De ISO werkt vanuit de kaders die op concernniveau worden vastgesteld door de CISO en richt zich met name op de uitvoering en naleving van die kaders in de processen zelf, dus op operationeel/inhoudelijk vlak. De ISO heeft kennis van het domein waar hij voor werkt en maakt de vertaalslag van het concernbrede informatiebeveiligingsbeleid naar de specifieke dreigingen, risico’s en maatregelen binnen het betreffende domein waar hij werkzaam voor is.  

Takenpakket ISO
De ISO houdt zich vooral bezig met het ondersteunen en adviseren van proceseigenaren op teamleidersniveau en ziet toe op de realisatie van het beleid. Dus het implementeren, invoeren en borgen van (technische) beheermaatregelen. Qua positionering zit de ISO op een lager niveau in de organisatie dan de CISO. Een greep uit het takenpakket van een ISO:

  • bijdragen aan het opstellen, implementeren, bijstellen, vernieuwen en herzien van (operationele) plannen die voortvloeien uit het organisatiebrede informatiebeveiligingsbeleid.
  • optreden als informatiebeveiligingsadviseur voor de proceseigenaar op teamleidersniveau waarbij hij adviseert over de uitwerking van het informatiebeveiligingsbeleid in plannen voor gebieden waar zij verantwoordelijk voor zijn, alsook de implementatie van deze plannen;
  • ondersteunen bij de uitvoering van risicoanalyses (waaronder de dataclassificaties, DPIA en BIA);
  • op de hoogte blijven van ontwikkelingen op het gebied van informatiebeveiliging en waar nodig verbeteringen doorvoeren (in producten, methodieken en/of werkwijzen);
  • opzetten en initiëren van bewustwordingsprogramma’s en voorlichtingsbijeenkomsten op afdelingsniveau;
  • dagelijks aanspreekpunt voor collega’s binnen zijn/haar domein als het gaat om vragen over informatiebeveiliging en het melden van beveiligingsincidenten;
  • projecten leiden met als doel beveiligingsmaatregelen te implementeren en/of de kwaliteit te handhaven en verbeteren.


De verschillen?
Het belangrijkste onderscheid dat we zien, is dat de CISO het beleid bepaald en de kaders opstelt en dat de ISO operationeel bezig is en het beleid omzet in concrete activiteiten. Er is dus een duidelijke gelaagdheid tussen strategisch/tactische taken en operationele taken, waarbij de ISO in principe alleen operationele taken uitvoert. Hier is ook vaak een duidelijke hiërarchische lijn in te zien qua positionering. Waarbij een onafhankelijke positie van de CISO wordt aanbevolen, zodat hij objectief kan adviseren over het treffen van beveiligingsmaatregelen binnen de gemeentelijke organisatie en richting dienstenleveranciers. De CISO communiceert met name op managementniveau en de ISO op afdelingsniveau.

Maar, zo mooi als het hier omschreven staat, betekent niet dat het in de praktijk ook altijd zo geregeld is. Met als gevolg dat veel CISO’s een hoge werkdruk ervaren. Dit komt omdat deze CISO’s ook operationeel bezig zijn en taken uitvoeren die bij een ISO horen te liggen. Ik vind dan ook dat elke organisatie een CISO én een ISO nodig heeft. Simpelweg omdat de CISO geen taken van een ISO moet uitvoeren. Dit gaat ten koste van zijn eigenlijke taken en verantwoordelijkheden en daarnaast heeft de proceseigenaar zonder ISO geen ondersteuning bij de implementatie van de BIO binnen zijn/haar afdeling. Ik ben benieuwd hoe dit binnen jouw gemeente geregeld is?

Meer informatie?
Heb je na het lezen van deze blog vragen of wil je (tijdelijk) een CISO of ISO inhuren? Laat ons dit dan weten en neem contact met ons op. 

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.