Governance

Elke organisatie bestaat uit afdelingen, processen en medewerkers die bepaalde rollen vervullen. Sommige medewerkers zijn eindverantwoordelijk voor processen of taken. Zij mogen beslissen wat er gebeurt binnen hun werkgebied. Ook bij taken op het gebied van informatieveiligheid van de organisatie is er zo’n verantwoordelijkheid. De verantwoordelijke persoon heeft meestal de functie IBP-coördinator (IBP staat voor informatiebeveiliging en privacy), CISO (chief information security officer) of SO (security officer).

De IBP-coördinator, CISO of SO kan er niet in zijn eentje voor zorgen dat de informatieveiligheid binnen de organisatie goed is geregeld. Ook collega’s moeten hun verantwoordelijkheid nemen. De IBP-coördinator legt hiervoor taken bij zijn collega’s, die zo allemaal een stukje van de puzzel oppakken. Hoe al deze de taken in de organisatie zijn verdeeld en wie verantwoordelijk is voor welke taken, is vastgelegd in de governance-structuur van informatieveiligheid. Bijvoorbeeld met een zogenaamde RACI-matrix. Deze geeft dus aan hoe de organisatie stuurt op informatieveiligheid.

In de GRC-applicatie kan een mbo-instelling de governance-structuur van haar organisatie in een helder overzicht vastleggen. Daarmee is voor iedereen duidelijk wie verantwoordelijk is voor welke taken en wie ze moet uitvoeren. En hoe mensen binnen de organisatie rapporteren over hun werkzaamheden. Dankzij dit overzicht hoeft de verantwoordelijke IBP-coördinator niet iedere keer te zoeken wie welke taak moet uitvoeren.