Toezichthouder informatiebeveiliging of risicomanager

Toezichthouders informatiebeveiliging of risicomanagers zijn verantwoordelijk voor het identificeren en in te dammen van risico’s van netwerken, servers, informatiesystemen, applicaties etc. Soms worden ze ook ingezet op projecten en programma’s.

Routekaart Informatierisicomanagement - KWIV 4.1.2

Ben jij een (aankomende) toezichthouder informatiebeveiliging of risicomanager? Dan is dit de plek om jezelf te ontwikkelen. Met deze routekaart kun je voor jezelf het beste ontwikkeltraject uitstippelen. De leeractiviteiten van de I-Routekaart Informatierisicomanagement zijn ingedeeld in vijf kennisgebieden. Daarbij is er onderscheid tussen leeractiviteiten voor starters (fundament) en ervaren professionals (verdiepend of verbredend).

Onderdelen van deze routekaart:
Specifiek voor de rol	Alle leeractiviteiten die van belang kunnen zijn voor ontwikkeling in de rol, onderverdeeld in fundament, verdiepend en verbredend.
Werken binnen de Rijksoverheid	Leeractiviteiten en andere content die belangrijk zijn om optimaal te functioneren binnen de Rijksoverheid.
Gerelateerde vakgebieden	Welke vakgebieden zijn gerelateerd aan de rol van toezichthouder informatiebeveiliging? Hier vind je ook algemene IV/ICT-leeractiviteiten als ITIL, DevOps en Agile.
Competenties en vaardigheden	Wat heb je zoal nodig op het gebied van competenties en vaardigheden voor de rol van toezichthouder informatiebeveiliging?
Transversale aspecten	Zeven transversale aspecten die ook belangrijk zijn voor de rol van toezichthouder informatiebeveigliging.

Leeractiviteiten specifiek voor de rol van toezichthouder / risicomanager

* Voor meer informatie over of inschrijven voor een leeractiviteit klik hier.
Naam	Omschrijving	Type
Certified BIO Professional (CBP)	Training betreffende implementatie, management of onderhoud van de Baseline Informatiebeveiliging Overheid (BIO).	Training
Certified Information Systems Auditor CISA	Met deze certificering word je specialist op het gebied van audit, controle en beveiliging. Je leert onder meer een auditstrategie voor informatiesystemen te ontwikkelen en te implementeren.	Training
Governance-training (online)	Interactieve workshop voor overheidscollega's die tegen Governance-aspecten aanlopen. Via het Governance-spel maak je kennis met de meestgebruikte methodieken om een organisatie goed aan te sturen en succesvol te maken.	Training
ISMP	De training Information Security Management Professional leert je risico's en informatiebeveiliging te bekijken vanuit het bedrijf, de klant en de dienstverlener.	Training
Cybersecurity Audit	Na deze training ben je in staat zelfstandig cybersecurity audits uit te voeren. Je krijgt grondige kennis op het gebied van (cyber)security controls, kwetsbaarheden, technieken, frameworks, wet- en regelgeving en strategieën.	Training
IT-audit	Hoe blijf je als auditor op de hoogte van IT-ontwikkelingen? Dankzij een basiskennis van IT-auditen weet je hoe en wanneer je IT-audit in je werkzaamheden kunt vervlechten. De training is speciaal gericht op de rijksoverheid.	Training

* Voor meer informatie over of inschrijven voor een leeractiviteit klik hier.
Naam	Omschrijving	Type
Certified Information Systems Security Professonal CISSP	Door de uitgebalanceerde combinatie tussen beleid en techniek is deze training zowel interessant voor technisch als tactisch of strategisch georiënteerde securityspecialisten.	Training
CGEIT - Certified in de Governance of Enterprise IT	De CGEIT-certificering speelt een belangrijke rol in discussies over cruciale issues rondom governance en strategische richtingen.	Training
ISO 31000 Risk Manager (PECB certified)	In deze training leer je de risicomanagement- richtlijnen van ISO 31000 in een organisatie te integreren.	Training
ISO/IEC 27005 Certified Risk Manager	Je leert de basiselementen van risicobeheer onder de knie te krijgen van alle activa die relevant zijn voor informatiebeveiliging.	Training
	Training waarbij je de risicomanagementrichtlijnen van ISO 31000 in een organisatie leert te integreren.	Training
Onderzoeksmethodologie voor auditors	Cruciaal in een audit is het maken van een onderzoeksopzet die recht doet aan de behoefte van de klant en uitvoerbaar en deugdelijk is. Dit leer je in deze training.	Training

* Voor meer informatie over of inschrijven voor een leeractiviteit klik hier.
Naam	Omschrijving	Type
ISO/IEC 27701 Lead Implementer	In deze training leer je hoe je een Privacy Information Management System (PIMS) op basis van ISO / IEC 27701 in een organisatie implementeert en beheert.	Training
Workshop Probleem & Veranderingsanalyse	Hoe krijg je problemen helder, nauwkeurig beschreven, gekwantificeerd en vergelijkbaar zodat de organisatie de juiste prioriteiten kan stellen?	Training
ISO/IEC 27001 Lead Auditor	In deze intensieve training leer je een Information Security Management System (ISMS) te auditen en/of een team van auditors aan te sturen gebruikmakend van breed geaccepteerde audit principes.	Training
CDPO Certified Data Protection Officer	Wil jij Functionaris Gegevensbescherming (FG) worden? in deze training leer je de kennis en vaardigheden om organisaties te helpen bij de naleving van de Algemene Verordening Gegevensbescherming (AVG).	Training
Change Management Foundation	Hoe begeleid je mens en organisatie bij het doorvoeren van veranderingen? Deze training gaat over processen op individueel, team- en organisatorisch niveau.	Training
ITIL® 4 Strategist: Direct, Plan and Improve	Hoe richt je een lerende organisatie in die continu streeft naar verbetering?	Training
Workshop Privacy Compliance Experience	Dit interactieve trainingsconcept is met name bedoeld voor privacy professionals die de CIPP/E- en/of CIPM-training hebben afgerond en praktische handvatten zoeken om de AVG succesvol te implementeren.	Training
ISO/I EC 27701 Lead Auditor incl. examen	Tijdens deze training leer je audits te plannen en uit te voeren in overeenstemming met ISO 19011- en ISO / IEC 17021-1-certificeringsproces.	Training

Overige kennisgebieden

Gerelateerde vakgebieden staan direct in samenhang met de dienstverlening in de keten of uitvoering van de rol. Vaak zijn toezichthouders informatiebeveiliging of risicomanagers daarom ook gedeeltelijk belast met – of betrokken bij andere rollen. Kennis hiervan is belangrijk om optimaal te kunnen samenwerken met collega’s op andere plekken in de IV/ICT-keten.

De volgende vakgebieden zijn gerelateerd aan de rol van toezichthouder / risicomanager:

Informatiemanagement
Informatiebeleid
Controlstelsel IV
IV-control
Projectcontrol IV
Securitymanagement
Product owner
Product manager
Business owner

Algemene IV/ICT-kennisgebieden

Er zijn ook kennisgebieden die voor alle IV/ICT-rollen van belang zijn. Voor een goede samenwerking binnen een IV/ICT-organisatie is het noodzakelijk dat iedere professional op hoofdlijnen bekend is met deze algemene kennisgebieden. Dit omdat er vaak meerdere rollen betrokken zijn bij de levering van diensten. Daarbij zijn een eenduidige taal en werkwijze cruciaal.

Naar de algemene IV/ICT-kennisgebieden

Dit zijn aspecten die voor alle IV/ICT-rollen belangrijk zijn. Met deze zeven transversale aspecten behoor je altijd rekening te houden in je werk:

Bekijk deze video’s om een goed beeld te krijgen van de aspecten en hoe ze van invloed zijn op jouw werkzaamheden.

Overige

De indeling van de I-Routekaarten is mede gebaseerd op de IV/ICT-profielen zoals in het KWIV omschreven. Het KWIV is een rijksbrede tool en een aanvullend hulpmiddel op het Functiegebouw Rijk.

In deze video’s zie je hoe het KWIV werkt. Op elke routekaart vind je het KWIV-profiel voor de betreffende functie.

Hieronder het KWIV-profiel voor toezichthouder / risicomanager:

Competentienaam	Competentieomschrijving	Niveau
C.02 Ondersteunen van wijzigingen	het zorgen voor de integriteit van het systeem door het toepassen van functionele-updates, software- of hardware toevoegingen en het inregelen van onderhoudsactiviteiten; het voldoen aan de budget requirements	3
D.10 Informatie- en kennismanagement	het analyseren van bedrijfsprocessen en bijbehorende informatie-eisen en het daarmee voorzien in de meest geschikte informatiestructuur	3
E.02 Project- en portfoliomanagement	de verantwoordelijkheid nemen voor de eigen activiteiten en die van het projectteam, werken binnen de vastgestelde randvoorwaarden en daarbij afspraken maken en instructies geven, het optimaal afstemmen van activiteiten en resources, het leiding geven aan het projectteam, het vaststellen van het projectdoel en producten en het zorgen voor de benodigde documentatie	3
E.03 Risicomanagement	het in staat zijn de juiste acties te ondernemen om de veiligheid te borgen en risicoblootstelling te vermijden, evalueert, managet en garandeert de validering van uitzonderingen, voert audits uit op IV-processen en -omgeving	3
E.05 Procesverbetering	het toepassen van specifieke kennis om bestaande IV-processen en oplossingen te onderzoeken zodat potentiële verbeteringen / innovaties bepaald kunnen worden en het aanbevelingen kunnen worden opgesteld	3
E.07 Management van veranderingen in bedrijfsprocessen	Het evalueren van wijziging requirements en het gebruiken van specifieke vaardigheden om potentiële methoden en standaarden te identificeren die ingezet kunnen worden	3
E.08 Informatiebeveiligingsmanagement	het evalueren van indicatoren en maatregelen op het gebied van security management en bepalen/of ze aan de normen voldoen; het onderzoeken van inbreuken op de beveiliging en het nemen van correctiemaatregelen	3
A.01 Afstemming informatiesysteem en bedrijfsstrategie	het organiseren en borgen van de bouw en implementatie van innovatieve IV oplossingen op de lange termijn	4
D.01 Strategieontwikkeling informatiebeveiliging	het gebruik maken van specifieke kennis en van externe standaarden en best practices	4
D.02 Ontwikkeling ICT-Kwaliteitsstrategie	het gebruiken van uiteenlopende specifieke kennis en het zorgen dat gebruik wordt gemaakt en het autoriseren van externe standaarden en best practices	4
D.10 Informatie- en kennismanagement	de juiste informatiestructuur integreren in de organisatie omgeving	4
E.02 Project- en portfoliomanagement	het managen van complexe projecten en/of programma’s, inclusief de interactie met andere projecten en/of programma’s, het beïnvloeden van de project- / programmastrategie op basis van nieuwe of alternatieve oplossingen waarbij de balans blijft tussen effectiviteit en efficiency, het herzien van regels en het kiezen van standaarden, het nemen van de volledige verantwoordelijk voor de project- / programma resultaten inclusief budget en resource management en het werken voorbij begrenzing van het project	4
E.03 Risicomanagement	het organiseren en borgen van het definiëren en toepasbaar maken van beleid voor risicobeheer door rekening te houden met alle mogelijke beperkingen, waaronder technische, economische en politieke kwesties en daarbij taken te delegeren	4
E.05 Procesverbetering	het organiseren en borgen van innovatieve implementaties / verbeteringen die bijdragen aan grotere efficiëntie; het aantonen aan de directie dat de organisatie voordeel heeft van potentiële wijzigingen	4
E.07 Management van veranderingen in bedrijfsprocessen	het organiseren en borgen van het plannen, beheren en implementeren van significante IV wijzigingen in de organisatie	4
E.08 Informatiebeveiligingsmanagement	het organiseren en borgen dat de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens zijn opgeslagen in de Informatiesystemen en dat ze voldoen aan alle wettelijke vereisten	4

Toezichthouder informatiebeveiliging of risicomanager

Routekaart Informatierisicomanagement - KWIV 4.1.2

Leeractiviteiten specifiek voor de rol van toezichthouder / risicomanager

Fundament van de rol (startend)

Verdiepend (specialisatie)

Verbredend

Overige kennisgebieden

Werken binnen de Rijksoverheid

Gerelateerde vakgebieden

Competenties en vaardigheden

Transversale aspecten

Overige

KWIV-profiel Informatierisicomanagement

Deel deze pagina