5.02.03 Positie CISO en functieprofiel

[teBeest]

De CISO is pas vrij om onafhankelijk te rapporteren als dat ook formeel kan. Dat is geen vanzelfsprekendheid omdat CISO's per overheidsonderdeel (bijvoorbeeld per gemeente anders) andere functieprofielen hebben (en dus ook andere verantwoordelijkheden en rechten). Een tekst als "Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel" werkt pas wanneer er een helder CISO-functieprofiel is waaraan moet worden voldaan.

Het functieprofiel van de IBD bijvoorbeeld is nog te vrijblijvend en geen verplichting. Het staat de business (management en directie) vrij om hier van af te wijken waardoor de CISO vleugellam blijft. Terwijl juist het IBD profiel erg sterk is opgebouwd. Alleen: probeer management en directie maar organisch te overtuigen dat een CISO "gevraagd en ongevraagd zwaarwegend advies" mag geven "waar enkel met goede onderbouwing van af mag worden geweken."

Zorg er dus voor dat de CISO niet alleen onafhankelijk is (en blijft) maar dat er in heldere taal wordt aangegeven dat ook de invulling aan eisen moet voldoen (anders dan een vastgesteld CISO-functieprofiel). Geef aan waar dat profiel dan aan moet voldaan of zorg dat bijvoorbeeld gemeenten verplicht zijn om het IBD profiel te volgen. Maak hier geen discussiepunt van, wat het nu al vaak is. Zorg ervoor dat de CISO de directie niet moet 'overtuigen', of zich (gechargeerd gezegd) moet 'invechten' om de rol juist beschreven te krijgen.

Bescherm en borg de CISO, zoals de FG, vanuit de wet en laat het niet over aan de organisatie omdat die heel andere belangen heeft. Dit waarborgt ook uniformiteit binnen overheidsonderdelen en zorgt voor een effectievere CISO rol.

[rslavenburg]

Van harte ondersteund.