Diensten

Externe information security officer

Stel ons een vraag

Beschikt u niet over een eigen information security officer (ISO), wilt u uw huidige information security officer laten ondersteunen of heeft u tijdelijk behoefte aan extra capaciteit? Dan kunt u deze taak aan ons uitbesteden en bepalen we in overleg de werkzaamheden.

Wettelijke kaders

Vergunninghoudende financiële ondernemingen worden geconfronteerd met diverse wet- en regelgeving waaraan voldaan moet worden op het gebied van IT. Deze wettelijke kaders zijn onder andere terug te vinden in de Wet op financieel toezicht (Wft) en Europese wetgeving zoals MiFID II en Solvency II. De toezichthoudende organen, zoals AFM, DNB, EBA en EIOPA, hebben veelal richtsnoeren of nadere regelgeving gecommuniceerd waar precies aan voldaan moet worden op het vlak van IT (Security) Compliance.

Onderwerpen waar de wettelijke kaders over gaan, liggen onder andere op het vlak van de inrichting (‘in control zijn) van:

  • IT Risk;
  • IT Security;
  • (Cloud) Outsourcing;
  • Cybercrime.

Onze werkwijze

Onze information security officers helpen u te (blijven) voldoen aan de vereisten van de wettelijke kaders. Omdat organisaties verschillen in aard, omvang en complexiteit, hanteren wij een persoonlijke en pragmatische methodiek.

Wij helpen u onder andere bij het optimaliseren van de inrichting en organisatie van informatiebeveiliging door een duidelijke vertaling te maken van de huidige normenkaders naar uw organisatie. Daarnaast dragen we zorg voor duidelijk zicht op de mate van beheersing van (IT) risico’s en welke mogelijke gaps er op dit vlak zijn.

Wat kunt u verwachten van een externe information security officer?

De invulling van de positie van information security officer is maatwerk. De werkzaamheden/ondersteuning die geboden gaat worden kan per klant verschillen. In een ‘ISO-Charter’ zullen de werkzaamheden en verantwoordelijkheden worden vastgelegd. U kunt hierbij denken aan:

  • Ondersteunen bij/of uitvoeren van de risicoanalyse;
  • Opstellen en actualiseren van een informatiebeveiligingsbeleid en -plan;
  • Toezicht houden op de implementatie en naleving van het informatiebeveiligingsbeleid;
  • Vergroten van bewustzijn mbt informatiebeveiliging en cybercrime;
  • Opzetten van een registratie van beveiligingsincidenten, evenals het afhandelen van opgetreden incidenten;
  • Adviseren over mitigerende maatregelen;
  • Het geven van gevraagd en ongevraagd advies aan bestuur/management ten aanzien van risico’s op het gebied van informatiebeveiliging;
  • Indien wenselijk, fungeren als contactpersoon voor toezichthoudende instanties;
  • (Periodiek) rapporteren over status, voortgang, inzichten en uitgevoerde werkzaamheden met betrekking tot informatiebeveiliging.