Beroepsprofielen Informatiebeveiliging Een basis voor uniforme kwalificatie van professionals in informatiebeveiliging

Transcriptie

1 Beroepsprofielen Informatiebeveiliging Een basis voor uniforme kwalificatie van professionals in informatiebeveiliging Afbeelding van suphakit73 / FreeDigitalPhotos.net

2 Opdrachtgever: Auteurs: Versie: Platform voor Informatiebeveiliging (PvIB) en programma Qualification of Information Security (QIS) Marcel Spruit en Fred van Noord 1.0 Nederlands Publicatiedatum: 15 mei 2014 Uitgever: PvIB, 2014 ( De inhoud van bijlage C, e-competenties, is overgenomen uit het Europees e-competence Framework, NPR-CWA , van NEN te Delft ( Dit materiaal is auteursrechtelijk beschermd en is overgenomen met toestemming van NEN. De inhoud van dit document mag zonder nadere toestemming van de uitgever worden gebruikt, mits met volledige bronvermelding. 2 Beroepsprofielen Informatiebeveiliging, PvIB

3 Inhoudsopgave Inhoudsopgave... 3 Inleiding... 4 Aanleiding... 4 Doelstelling... 4 Afbakening... 4 Uitgangspunten... 5 Verantwoording... 5 Vakgebied... 6 Beroepsprofielen... 7 Chief Information Security Officer... 9 Information Security Officer ICT-beveiligingsmanager ICT-beveiligingsspecialist Gebruik van de profielen Profielen en functies Eenvoudige en complexe organisaties Opleidingsprofielen en toetsing Onderhoud en specialisatie Bijlage A: Bestaande kwalificaties Bijlage B: Legenda beroepsprofieltabel Bijlage C: e-competenties Bijlage D: Algemene competenties Bijlage E: Producten Bijlage F: Begrippenlijst Over PvIB en QIS Beroepsprofielen Informatiebeveiliging, PvIB 3

4 Inleiding Aanleiding In de huidige informatiemaatschappij wordt het steeds belangrijker dat iedere organisatie zorgvuldig omgaat met informatie. Organisaties moeten steeds meer informatie beschermen tegen een steeds complexer dreigingenbeeld. Hiervoor zijn goed opgeleide en ervaren informatiebeveiligers nodig. Kwalificaties zijn een middel om de kennis en ervaring van professionals in de informatiebeveiliging inzichtelijk te maken. In de afgelopen jaren is op het gebied van kwalificatie van informatiebeveiligers een chaotische situatie ontstaan met een groot aantal onderling moeilijk vergelijkbare certificaten en titels. 1 Daardoor kunnen informatiebeveiligers met hun titels en de bijbehorende certificaten niet duidelijk maken welke kennis en ervaring zij hebben. Werkgevers kunnen niet zien wanneer zij een goed opgeleide en ervaren informatiebeveiliger voor zich hebben. En opleidingsinstellingen denken nog een keer extra na alvorens te investeren in nieuwe opleidingen op het gebied van informatiebeveiliging. De beroepsvereniging Platform voor Informatiebeveiliging (PvIB), streeft naar het professionaliseren van de beroepsgroep van informatiebeveiligers en daarbij hoort een overzichtelijke en transparante situatie op het gebied van kwalificatie. 2 Een uniform kwalificatiestelsel voor informatiebeveiligers voorziet daarin. Om professionals in informatiebeveiliging uniform te kunnen kwalificeren, moet eerst duidelijk zijn welke beroepen binnen het vakgebied informatiebeveiliging voorkomen, wat deze beroepen inhouden en welke competenties (kennis, vaardigheden en houding) daarvoor nodig zijn. Dit wordt beschreven in zogenaamde beroepsprofielen. Doelstelling Dit document beschrijft beroepsprofielen voor beroepen binnen het vakgebied informatiebeveiliging. Afbakening Informatiebeveiliging is een onderwerp waar iedereen in elke organisatie in meer of mindere mate mee te maken heeft. Voor de meeste mensen in een organisatie is informatiebeveiliging slechts één van de aspecten van het dagelijkse werk, waaraan voldoende aandacht besteed moet worden, maar het speelt geen hoofdrol. Voor een aantal mensen is informatiebeveiliging echter core business. Deze mensen, de professionals in informatiebeveiliging, hebben een specificerende, uitvoerende, ondersteunende, adviserende en/of controlerende rol op het gebied van informatiebeveiliging. Bij hen is in- 1 Onderzoek naar kwalificatie en certificatie van informatiebeveiligers, Rapport VKA/HEC/CPNI, versie 1.0, Een kwalificatie is een formeel resultaat van een beoordelings- en validatieproces, dat wordt verworven wanneer een bevoegde instantie bepaalt dat de leerresultaten die een individu heeft bereikt, aan gegeven normen voldoen (Bron: European Qualifications Framework, Key Terms). Het beoordelings- en validatieproces is in het algemeen gebaseerd op toetsing door middel van een examen of het beoordelen van een portfolio. 4 Beroepsprofielen Informatiebeveiliging, PvIB

5 formatiebeveiliging het belangrijkste aandachtspunt, of ten minste één van de belangrijkste aandachtspunten. De professionals in informatiebeveiliging werken samen met andere mensen in andere functies waarin informatiebeveiliging een minder prominente plaats inneemt. Verscheidene van hen zijn cruciaal voor het functioneren van de professionals in informatiebeveiliging, bijvoorbeeld omdat ze leiding of sturing geven, of onontbeerlijke input of ondersteuning geven. Hieronder vallen de Chief Executive Officer, de Chief Information Officer, de Enterprise Architect en verscheidene anderen. De in dit document beschreven beroepsprofielen hebben alleen betrekking op professionals in informatiebeveiliging, dus degenen waarvoor informatiebeveiliging core business is. Uitgangspunten Voor het beschrijven van beroepsprofielen voor beroepen binnen het vakgebied informatiebeveiliging worden de volgende uitgangspunten gehanteerd: De beroepsprofielen worden breed gedragen binnen het vakgebied informatiebeveiliging. De beroepsprofielen specificeren de benodigde kennis, vaardigheden en ervaring. De beroepsprofielen zijn geschikt als basis voor een uniform kwalificatiestelsel voor informatiebeveiligers. De beroepsprofielen zijn gebaseerd op het Europees e-competence Framework 3.0 (e-cf). 3 Verantwoording Dit document is op verzoek van het bestuur van PvIB opgesteld door de Werkgroep Kwalificatie van informatiebeveiligers van PvIB. De beroepsprofielen in dit document zijn bedoeld om gebruikt te worden als input voor het programma QIS (Qualification of Information Security) dat ze kan gebruiken om te komen tot een uniform kwalificatiestelsel voor professionals in de informatiebeveiliging. Een randvoorwaarde voor beroepsprofielen is brede acceptatie van de profielen door enerzijds de betrokken beroepsgroep en anderzijds de werkgevers en opleidingsinstellingen die de profielen kunnen gebruiken voor respectievelijk de werving en selectie van professionals en het inrichten van opleidingen. Om brede acceptatie te ondersteunen is dit document gereviewd door een representatie van de PvIB, de stuurgroep en klankbordgroep van het programma QIS, functionarissen die werkzaam zijn in functies waar de hier beschreven profielen betrekking op hebben, alsmede opleiders op het gebied van informatiebeveiliging. 3 CEN Workshop Agreement CWA 16234:2014 Part 1, European e-competence Framework Part 1: A common European Framework for ICT Professionals in all industry sectors; Beroepsprofielen Informatiebeveiliging, PvIB 5

6 Vakgebied Het vakgebied informatiebeveiliging is breed. Uit vooronderzoek is gebleken dat het wenselijk is om binnen het vakgebied informatiebeveiliging onderscheid te maken tussen de domeinen informatierisicomanagement en ICT-beveiliging: 4 Informatierisicomanagement is het sturen en beheersen van een organisatie met betrekking tot risico s op het gebied van de informatievoorziening. 5,6 ICT-beveiliging omvat het ontwerpen, implementeren, onderhouden en evalueren van beveiligingsmaatregelen met betrekking tot de ICT (hardware en software). In dit domein speelt specialistische kennis van ICT een belangrijke rol. Naast deze twee domeinen zijn binnen het vakgebied informatiebeveiliging een aantal andere domeinen die met eigen uniforme kwalificatie werken, namelijk IT-audit, 7 forensisch onderzoek 8 en business continuity management. 9 Voor deze domeinen zijn al beroepsprofielen opgesteld. Deze vallen buiten de scope van dit document. Daarnaast zijn er kleinschalige specialistische domeinen, zoals cryptologie, die slechts door een relatief klein aantal professionals worden beoefend en waarvoor het niet zinvol is om te investeren in uniforme kwalificatie en beroepsprofielen. Ook deze domeinen vallen buiten de scope van dit document. Voor de domeinen informatierisicomanagement en ICT-beveiliging zijn in dit document beroepsprofielen beschreven, ten behoeve van uniforme kwalificatie. De profielen worden in eerste instantie voor Nederland uitgewerkt, maar kunnen ook buiten Nederland worden toegepast. 4 Onderzoek naar kwalificatie en certificatie van informatiebeveiligers, Rapport VKA/HEC/CPNI, versie 1.0, Gebaseerd op: ISO Guide 73:2009, Risk management Vocabulary, ISO, De informatievoorziening omvat het aanmaken, opslaan, verwerken, bekijken, transporteren en vernietigen van gesproken, geschreven, gedrukte, digitale en andere gegevens. De reikwijdte van de informatievoorziening gaat daarmee verder dan die van de ICT. 7 NOREA, Exam Candidate Information Guide, ISACA, Digitaal Forensisch Onderzoeker - Beroepscompetentieprofiel, ECABO, Business Continuity Academy, 6 Beroepsprofielen Informatiebeveiliging, PvIB

7 Beroepsprofielen Om professionals in informatiebeveiliging te kunnen kwalificeren, moet eerst worden vastgesteld welke beroepen binnen het vakgebied informatiebeveiliging worden onderscheiden en wat deze beroepen inhouden. De beroepen worden beschreven door middel van beroepsprofielen. Een beroepsprofiel geeft een formele beschrijving van een beroep. Het beschrijft de missie, taken en verantwoordelijkheden van een beoefenaar van het betreffende beroep en specificeert de competenties (kennis, vaardigheden en houding) die de beoefenaar dient te bezitten. Binnen het vakgebied informatiebeveiliging wordt onderscheid gemaakt tussen de domeinen information risk management en ICT-beveiliging. Binnen het domein information risk management onderscheiden we een beoefenaar op strategisch en/of tactisch niveau, een Chief Information Security Officer, en een beoefenaar op tactisch en/of operationeel niveau, een Information Security Officer. Binnen het domein ICT-beveiliging onderscheiden we een beoefenaar op tactisch niveau, een ICT Security Manager, en een beoefenaar op operationeel niveau, een ICT Security Specialist. Daarmee onderscheiden we binnen het vakgebied informatiebeveiliging vier beroepen waarvoor beroepsprofielen moeten worden beschreven: Chief Information Security Officer (CISO). 10 Information Security Officer (ISO). 11 ICT-beveiligingsmanager. ICT-beveiligingsspecialist. Veiligheid van de I-functie (Information risk management) Veiligheid van de ICT-functie (ICT security) Strategisch en/of tactisch CISO ICT-beveiligingsmanager Tactisch en/of operationeel ISO ICT-beveiligingsspecialist Voor ieder van deze beroepen wordt hierna een beroepsprofiel gegeven. De profielen zijn in eerste instantie bedoeld voor gebruik binnen Nederland, maar moeten ook buiten Nederland gebruikt kunnen worden. Daarom wordt ook een Engelstalige versie van dit document gepubliceerd. In een eerdere publicatie van PvIB zijn ook de beroepen Information Security Architect (ISA) en de Business Information Security Architect (BISA) benoemd. 12 Deze worden niet meer als aparte informa- 10 Ook wel aangeduid als Corporate Information Security Officer (CISO), of Chief/Corporate Information Risk Officer (CIRO). 11 Ook wel aangeduid als Information Risk Officer (IRO). 12 B. Bokhorst et al., Functies in de informatiebeveiliging, PvIB, Beroepsprofielen Informatiebeveiliging, PvIB 7

8 tiebeveiligingsberoepen meegenomen, omdat de architectuurfunctie, ook voor de informatiebeveiliging, wordt gezien als verantwoordelijkheid van de Enterprise Architect en de Systems Architect. In uitzonderlijke informatiebeveiligingssituaties kan in aanvulling hierop een (Business) Information Security Architect nodig zijn, maar dat rechtvaardigt geen apart profiel. Voor het beschrijven van de beroepsprofielen is gebruik gemaakt van het document CWA Hierin zijn beroepsprofielen geformuleerd voor beroepen in de ICT-sector. De beroepen ICT Security Manager en ICT Security Specialist maken hier deel van uit (profielen 11 en 12). De in de profielen benodigde e-competenties zijn gebaseerd op e-cf. In eerste instantie zijn de beroepsprofielen voor ICT Security Manager en ICT Security Specialist overgenomen uit CWA De Werkgroep Kwalificatie van informatiebeveiligers van PvIB constateerde echter dat de inhoud van deze profielen niet overeenkwam met wat de werkgroep verwachtte. Zo waren de genoemde e-competenties niet helemaal hetzelfde als de beroepsgroep verwachtte en waren de noodzakelijke algemene competenties en ervaring niet gespecificeerd. Ook op andere plaatsen in de profielen bleken aanpassingen nodig te zijn. De werkgroep heeft de beide profielen grondig tegen het licht gehouden en waar nodig herzien. In dit document zijn de aangepaste profielen gegeven. De beroepsprofielen voor CISO en ISO zijn niet in CWA gespecificeerd. Dit is niet geheel tegen de verwachting, want CISO en ISO zijn geen ICT-functies en vallen daarmee buiten de scope van het document. 14 In dit document zijn ook de beroepsprofielen van CISO en ISO opgenomen. Deze profielen zijn analoog aan de andere twee profielen opgesteld. In de beroepsprofielen zijn e-competenties en algemene competenties genoemd, alsmede competentieniveaus. Deze zijn uitgewerkt in bijlage C (e-competenties) en bijlage D (algemene competenties). 13 CEN Workshop Agreement CWA 16458:2012 E, European ICT Professional Profiles; ftp://ftp.cen.eu/cen/sectors/list/ict/cwas/cwa% pdf. 14 Hoewel in CWA wel andere niet-ict-functies zijn beschreven, zoals Chief Information Officer, Enterprise Architect, Quality Assurance Manager en Project Manager. 8 Beroepsprofielen Informatiebeveiliging, PvIB

9 Chief Information Security Officer 15 Profieltitel Samenvatting Missie CHIEF INFORMATION SECURITY OFFICER (CISO) Definieert de informatiebeveiligingsstrategie en organiseert en stuurt de informatiebeveiliging van de organisatie overeenkomstig de behoeften en de risicobereidheid van de organisatie. Definieert de informatiebeveiligingsstrategie, gebaseerd op een risicomanagementbenadering en rekening houdend met het informatiebeveiligingsdreigingenbeeld, trends en organisatiebehoefte. Richt de informatiebeveiligingsorganisatie in, bepaalt de daarvoor benodigde middelen en wijst deze toe. Initieert de implementatie van informatiebeveiliging voor de gehele organisatie en houdt daar toezicht op. Zorgt voor een geschikt niveau van informatiebeveiliging en informatiebeveiligingsbewustzijn in de organisatie, gebaseerd op de behoeften en de risicobereidheid van de organisatie. Wordt door interne en externe stakeholders beschouwd als de deskundige op het gebied van informatiebeveiligingsstrategie. Producten Eindverantwoordelijk Realiseert Draagt bij Informatiebeveiligingsstrategie Implementatie van informatiebeveiliging Organisatie van informatiebeveiliging en expertise daarvoor Naleving van de eisen en architectuur voor informatiebeveiliging Informatiebeveiligingsbewustzijn over de hele organisatie Voorbereid zijn op toekomstige informatiebeveiligingsrisico s en ICTbeveiligingsrisico s Informatierisicoanalyses, beveiligingsontwerpen en -oplossingen Informatiebeveiligingsassessments, -tests, -reviews en -audits Projectportfolio voor informatiebeveiliging Organisatiebrede informatiebeveiligingsactiviteiten en -projecten Informatiebeveiligingscalamiteitenorganisatie Gecoördineerde reactie op ernstige informatiebeveiligings- of ICTincidenten Organisatiebrede richtlijnen, standaarden, methoden en technieken voor informatiebeveiliging Risicomanagementbeleid Informatiesysteemgovernance Service Level Agreements Informatiebeveiligingsarchitectuur 15 Dit beroepsprofiel is niet opgenomen in CWA Beroepsprofielen Informatiebeveiliging, PvIB 9

10 Kerntaken e-competenties (uit e-cf) Definieert de informatiebeveiligingsstrategie voor de organisatie Zorgt voor een projectportfolio voor informatiebeveiliging Organiseert informatiebeveiliging en de daarvoor benodigde expertise Initieert organisatiebrede informatiebeveiligingsactiviteiten en -projecten Zorgt voor organisatiebrede richtlijnen, standaarden, methoden en technieken voor informatiebeveiliging Borgt de kwaliteit van informatierisicoanalyses, beveiligingsontwerpen en -oplossingen Borgt het naleven van de eisen en architectuur voor informatiebeveiliging Borgt informatiebeveiligingsbewustzijn binnen de organisatie Borgt dat de organisatie voldoende voorbereid is op toekomstige informatiebeveiligingsrisico s en ICT-beveiligingsrisico s Borgt de kwaliteit van informatiebeveiligingsassessments, -tests, -reviews en -audits Zet een informatiebeveiligingscalamiteitenorganisatie op Coördineert de reactie op ernstige informatiebeveiligings- of ICT-incidenten Doet aanbevelingen aan senior algemeen management D.1. Strategieontwikkeling informatiebeveiliging Niveau 5 E.3. Risicomanagement Niveau 4 E.4. Relatiemanagement Niveau 4 E.8. Informatiebeveiligingsmanagement Niveau 5 Algemene competenties G.1. Leiderschap Niveau 4 G.6. Management Niveau 4 G.3. Communicatie en overtuigingskracht Niveau 4 G.5. Organisatiesensitiviteit Niveau 4 G.7. Analytisch vermogen Niveau 4 G.8. Integriteit Niveau 4 Ervaring KPI Een afgeronde relevante Master-opleiding 16 of daarmee vergelijkbaar opleidingsniveau Senioriteit op het gebied van informatiebeveiliging Een geschikt niveau van informatiebeveiliging en informatiebeveiligingsbewustzijn gebaseerd op de behoeften en risicobereidheid van de organisatie 16 Een Master-opleiding in het economische, exacte of technische domein. 10 Beroepsprofielen Informatiebeveiliging, PvIB

11 Information Security Officer 17 Profieltitel Samenvatting Missie INFORMATION SECURITY OFFICER (ISO) Implementeert informatiebeveiliging in overeenstemming met de informatiebeveiligingsstrategie van de organisatie. Implementeert informatiebeveiliging in de organisatie. Zorgt in het kader van informatiebeveiliging voor een beveiligingsplan, risicoanalyses, risicomonitoring, incidentenregistratie, hulpmiddelen, training and evaluatie. Initieert en bestuurt kleine informatiebeveiliging- en bewustwordingsprojecten. Wordt door interne en externe stakeholders beschouwd als de deskundige op het gebied van informatiebeveiliging. Producten Eindverantwoordelijk Realiseert Draagt bij Gedocumenteerde kennisverzameling voor informatiebeveiliging Registratie, analyse en rapportage van informatiebeveiligingsincidenten Implementatie van informatiebeveiliging Kleine informatiebeveiligingsprojecten Training en opleiding voor informatiebeveiligingsbewustzijn Risicoanalyses voor informatiesystemen, beveiligingsontwerpen en -oplossingen Monitoring van en rapportage over informatiebeveiligingsrisico s Informatiebeveiligingsassessments, -tests, -reviews and -audits Informatiebeveiligingsstrategie Projectportfolio voor informatiebeveiliging Informatiebeveiligingsarchitectuur Risicomanagementbeleid organisatiebrede informatiebeveiligingsactiviteiten en -projecten Organisatiebrede richtlijnen, standaarden, methoden en technieken voor informatiebeveiliging Kerntaken Implementeert informatiebeveiliging in de organisatie Voorziet in een gedocumenteerde kennisverzameling voor informatiebeveiliging Zorgt voor adequate registratie, analyse en rapportage van informatiebeveiligingsincidenten Initieert en managet kleine informatiebeveiligingsprojecten Zorgt voor training en opleiding voor informatiebeveiligingsbewustzijn Voert risicoanalyses voor informatiesystemen uit Zorgt voor informatiebeveiligingsontwerpen en -oplossingen Monitort informatiebeveiligingsririco s en rapporteert daarover Realiseert en monitort informatiebeveiligingsassessments, -tests, -reviews en -audits Doet aanbevelingen aan het management met betrekking tot informatiebeveiliging en -risico s 17 Dit beroepsprofiel is niet opgenomen in CWA Beroepsprofielen Informatiebeveiliging, PvIB 11

12 e-competenties (uit e-cf) Algemene competenties E.3. Risicomanagement Niveau 3 E.8. Informatiebeveiligingsmanagement Niveau 4 G.2. Projectmanagement Niveau 3 G.3. Communicatie en overtuigingskracht Niveau 3 G.4. Technisch onderzoek Niveau 3 G.5. Organisatiesensitiviteit Niveau 3 G.7. Analytisch vermogen Niveau 3 G.8. Integriteit Niveau 4 Ervaring KPI Een afgeronde relevante Bachelor-opleiding 18 of een vergelijkbaar opleidingsniveau De informatiebeveiligingsrisico s zijn bekend en de daarvoor benodigde maatregelen zijn getroffen 18 Een Bachelor-opleiding in het economische, exacte of technische domein. 12 Beroepsprofielen Informatiebeveiliging, PvIB

13 ICT-beveiligingsmanager 19 Profieltitel Samenvatting Missie ICT SECURITY MANAGER Definieert de ICT-beveiligingsrichtlijnen voor de organisatie in overeenstemming met de informatiebeveiligingsstrategie en -architectuur van de organisatie en organiseert en managet de ICT-beveiliging van de organisatie. Definieert de ICT-beveiligingsrichtlijnen, rekening houdend met het ICTbeveiligingsdreigingenbeeld, trends, de ICT van de organisatie en toekomstige behoeften. Richt de ICT-beveiligingsorganisatie in bepaalt de daarvoor benodigde middelen en wijst deze toe. Managet de implementatie van ICT-beveiliging voor alle ICT-systemen. Zorgt voor een geschikt niveau van ICT-beveiliging, gebaseerd op de behoeften en risicobereidheid van de organisatie. Wordt door interne en externe stakeholders beschouwd als de deskundige op het gebied van ICTbeveiligingsbeleid. Producten Eindverantwoordelijk Realiseert Draagt bij ICT-beveiligingsrichtlijnen en implementatie daarvan ICT-beveiligingsorganisatie en expertise ICT-beveiligingsprojecten ICT-beveiligingsassessments, -tests, -reviews en -audits Projectportfolio voor ICTbeveiliging Procedures voor ICTbeveiliging Risicoanalyses voor ICT Monitoring van en rapportage over ICT-risico s ICT-continuïteitsplan Opleidingsbeleid voor ICT-beveiliging Risicomanagementbeleid Informatiebeveiligingsstrategie Informatiebeveiligingsarchitectuur Implementatie van informatiebeveiliging Integratievoorstellen voor nieuwe technologie Kerntaken Definieert de ICT-beveiligingsrichtlijnen voor de organisatie in overeenstemming met de informatiebeveiligingsstrategie en -architectuur van de organisatie Managet de implementatie van de ICT-beveiligingsrichtlijnen Zorgt voor een projectportfolio voor ICT-beveiliging Definieert het opleidingsbeleid voor ICT-beveiliging Definieert en implementeert procedures ten behoeve van to ICT-beveiliging Organiseert ICT-beveiliging en de daarvoor benodigde expertise Volgt technologische ontwikkelingen op het gebied van ICT-beveiliging Voert risicoanalyses voor ICT uit Monitort ICT-risico s en rapporteert daarover Zet het ICT-continuïteitsplan op Initieert and managet ICT-beveiligingsprojecten Borgt de kwaliteit van de ICT-beveiligingsassessments, -tests, -reviews en -audits Informeert senior algemeen management over de status van ICT-beveiliging en incidenten 19 Dit beroepsprofiel is significant gewijzigd ten opzichte van de beschrijving in CWA Beroepsprofielen Informatiebeveiliging, PvIB 13

14 e-competenties (uit e-cf) A.7. Volgen van technologische ontwikkelingen Niveau 3 E.3. Risicomanagement Niveau 3 E.8. Informatiebeveiligingsmanagement Niveau 4 Algemene competenties G.2. Projectmanagement Niveau 3 G.3. Communicatie en overtuigingskracht Niveau 3 G.6. Management Niveau 3 G.7. Analytisch vermogen Niveau 3 G.8. Integriteit Niveau 4 Ervaring KPI Een afgeronde relevante Bachelor-opleiding 20 of daarmee vergelijkbaar opleidingsniveau Senioriteit op het gebied van ICT-beveiliging Een geschikt niveau van ICT-beveiliging gebaseerd op de behoeften en de risicobereidheid van de organisatie 20 Een Bachelor-opleiding in het exacte of technische domein. 14 Beroepsprofielen Informatiebeveiliging, PvIB

15 ICT-beveiligingsspecialist 21 Profieltitel Samenvatting Missie ICT-BEVEILIGINGSSPECIALIST Geeft invulling aan de ICT-beveiligingsrichtlijnen van de organisatie. Doet voorstellen voor en implementeert de benodigde beveiligingsmaatregelen. Adviseert, ondersteunt en informeert om ICT veilig te laten werken. Neemt directe actie om systemen en netwerken of delen daarvan te beveiligen. Wordt door vakgenoten beschouwd als de deskundige op het gebied van technische ICTbeveiliging. Producten Eindverantwoordelijk Realiseert Draagt bij Gedocumenteerde kennisverzameling voor ICT-beveiliging Integratievoorstellen voor nieuwe technologie ICT-beveiligingsmaatregelen en -updates Selectie en implementatie van beveiligingshulpmiddelen ICT-beveiligingsassessments, -tests, -reviews en -audits Monitoring van de ICTbeveiliging Risicomanagementbeleid ICT-beveiligingsrichtlijnen en implementatie daarvan Risicoanalyses voor ICT ICT-continuïteitsplan Kerntaken e-competenties (uit e-cf) Volgt technologische ontwikkelingen op het gebied van ICT-beveiliging Stelt voorstellen op voor integratie van nieuwe technologie Voorziet in een gedocumenteerde kennisverzameling voor ICT-beveiliging Implementeert benodigde beveiligingsmaatregelen en beveiligingsupdates Selecteert en implementeert beveiligingshulpmiddelen Realiseert en monitort ICT-beveiligingsassessments, -tests, -reviews en -audits Monitort de beveiliging van de ICT en evalueert ICT-beveiligingsrisico s Test het ICT-continuïteitsplan Doet aanbevelingen aan het lijnmanagement met betrekking tot ICT-beveiliging en -risico s A.7. Volgen van technologische ontwikkelingen Niveau 3 B.4. Oplossingen implementeren Niveau 2 E.8. Informatiebeveiligingsmanagement Niveau 3 Algemene competenties G.3. Communicatie en overtuigingskracht Niveau 2 G.4. Technisch onderzoek Niveau 3 G.7. Analytisch vermogen Niveau 3 G.8. Integriteit Niveau 3 Ervaring KPI Een afgeronde mbo-opleiding in het ICT-domein of een vergelijkbare opleiding De ICT-beveiligingsmaatregelen zijn op doeltreffende wijze getroffen 21 Dit beroepsprofiel is significant gewijzigd ten opzichte van de beschrijving in CWA Beroepsprofielen Informatiebeveiliging, PvIB 15

16 Gebruik van de profielen Profielen en functies Binnen het domein van de informatiebeveiliging zijn veel verschillende functieaanduidingen in omloop. Zo kan iemand die op strategisch niveau information risk management uitoefent de functie Chief Information Security Officer hebben, maar bijvoorbeeld ook Information Risk Manager, of Information Security Manager. In ieder van deze functies voert de betreffende persoon soortgelijke taken uit en heeft soortgelijke competenties nodig, namelijk de taken en competenties die zijn uitgewerkt in het beroepsprofiel Chief Information Security Officer. Dit beroepsprofiel moet gezien worden als een kenmerkende beroepsomschrijving, geformuleerd in termen die binnen het vakgebied herkend worden. Het beroepsprofiel is geen functiebeschrijving, maar een beschrijving die opgenomen kan worden in een functiebeschrijving. Daarentegen is het ook mogelijk om een functie op te bouwen uit meerdere beroepsprofielen, of juist uit een deel van één beroepsprofiel. Maar zelfs als een organisatie ervoor kiest om één beroepsprofiel op te nemen, bijvoorbeeld Chief Information Security Officer, in één functie, dan kan deze functie een andere naam krijgen, bijvoorbeeld Information Security Manager (andere vlag, zelfde lading). In de praktijk zal iedere organisatie een bepaalde informatiebeveiligingsfunctie opbouwen uit één of meer (delen van) beroepsprofielen en daar dan een eigen functienaam voor kiezen. Vervolgens zal de organisatie ook nog een eigen sausje willen gieten over de invulling van de betreffende functie. Dat is geen willekeur, maar vooral nuttig. Zo zal de organisatie wellicht bepaalde kennis van de organisatie en de branche in de functiebeschrijving willen vastleggen. Bovendien heeft elke organisatie specifieke kenmerken die aanpassing van de functie nodig maken. Daarnaast zijn er kleinere al dan niet organisatiespecifieke zaken (bijvoorbeeld taken of competenties) die in de functiebeschrijving geregeld moeten worden, maar die te klein zijn om in de beroepsbeschrijving te staan. Door deze opbouw van de functiebeschrijving zal de beschrijving verschillen ten opzichte van de standaard beroepsprofielen. Zolang de verschillen niet te groot worden (80/20-regel) blijven de standaard beroepsprofielen een goede indicatie geven van de informatiebeveiligingsfuncties en de eisen die daaraan worden gesteld. Eenvoudige en complexe organisaties De beschreven beroepsprofielen zijn in eerste instantie opgesteld voor middelgrote informatieverwerkende organisaties waarin informatiebeveiliging een prominente rol speelt. Het gaat dan bijvoorbeeld om ministeries, uitvoeringsorganisaties, middelgrote banken en middelgrote industriële organisaties met belangrijke informatievoorziening. Organisaties die minder complex zijn op het gebied van informatiebeveiliging stellen in het algemeen minder hoge eisen aan hun informatiebeveiligingsfuncties. Dit geldt bijvoorbeeld voor kleine gemeenten, of productiebedrijven met een relatief beperkte informatievoorziening. Zij kunnen in hun functiebeschrijvingen voor de informatiebeveiligingsfuncties voor een aantal competenties lagere niveaus specificeren dan in het onderliggende beroepsprofiel, of bepaalde competenties zelfs schrappen. 16 Beroepsprofielen Informatiebeveiliging, PvIB

17 Organisaties die daarentegen complexer zijn op het gebied van informatiebeveiliging zullen in het algemeen juist zwaardere eisen stellen aan hun informatiebeveiligingsfuncties. Dit geldt bijvoorbeeld voor grote internationaal opererende banken en grote multinationals die sterk afhankelijk zijn van hun informatievoorziening. Zij kunnen in hun functiebeschrijvingen voor de informatiebeveiligingsfuncties voor sommige competenties hogere niveaus specificeren dan in het onderliggende beroepsprofiel en/of aanvullende competenties toevoegen. Opleidingsprofielen en toetsing In de beschreven beroepsprofielen worden competenties genoemd die een beoefenaar van het betreffende beroep zou moeten bezitten. Een beoefenaar moet de genoemde competenties kunnen verwerven. Daarvoor zijn in principe twee mogelijkheden beschikbaar, namelijk het volgen van onderwijs en het leren in de praktijk. Een combinatie hiervan is ook mogelijk. Het volgen van onderwijs en het leren in de praktijk hebben beide voor- en nadelen. Zo brengt het volgen van onderwijs de beoogde competenties sneller binnen bereik, maar het leereffect blijft veelal beperkt tot de beoogde competenties. Met leren in de praktijk kost het veelal meer tijd om de beoogde competenties te verwerven, maar daarnaast worden ook andere competenties verworven die wellicht niet direct nodig zijn, maar de persoon in kwestie wel een bredere basis geven en daarmee meer flexibiliteit in inzicht en handelen. Vanwege de verschillende voor- en nadelen is het wenselijk om beide mogelijkheden beschikbaar te hebben. Voor het volgen van onderwijs moeten er geschikte opleidingen beschikbaar zijn, of gecreëerd worden. Om te kunnen specificeren wat geschikt onderwijs is, dienen opleidingsprofielen te worden geformuleerd op basis van de in dit document beschreven beroepsprofielen. Opleidingsinstellingen kunnen de opleidingsprofielen gebruiken voor het beoordelen en zo nodig aanpassen van bestaande opleidingen en het ontwikkelen van nieuwe opleidingen. Voor de toetsing kunnen de opleiders terugvallen op de in dit document beschreven beroepsprofielen. In het algemeen geldt dat initiële opleidingen (universiteit, hbo) niet geschikt zijn om direct alle benodigde competenties voor één van de zware beroepsprofielen te verwerven (Chief Information Security Officer en ICT Security Manager). Dergelijke opleidingen kunnen wel geschikt zijn om een stevig fundament te leggen, waarna afgestudeerden alsnog de benodigde aanvullende competenties voor één van de zware beroepsprofielen kunnen verwerven door werkervaring op te doen en extra cursussen te volgen. Voor het leren in de praktijk hoeft weinig geregeld te worden. In principe biedt de grote variatie aan bedrijven en instanties al voldoende mogelijkheden om in de praktijk de benodigde competenties te verwerven. Wel moet er een mechanisme zijn waarmee de verworven competenties getoetst kunnen worden, zodat mensen zich kunnen kwalificeren voor bepaalde beroepsprofielen. De toetsing kan gebaseerd worden op de in dit document beschreven beroepsprofielen. Hiervoor dient een toetsingsproces te worden ingericht met eenduidige toetscriteria en ondergebracht bij één of meer toetsinstanties. In principe zijn het volgen van onderwijs en het leren in de praktijk in allerlei verhoudingen te combineren. In sommige gevallen zijn de beide mogelijkheden uitwisselbaar. Zo kan bijvoorbeeld iemand met een aantal jaren werkervaring vrijstelling krijgen voor een deel van een opleiding. In andere gevallen vullen de beide mogelijkheden elkaar aan. Een voorbeeld hiervan is het hierboven genoemde verwerven van aanvullende competenties voor een van de zware beroepsprofielen door werkervaring op te doen en extra cursussen te volgen na het volgen van een initiële opleiding. Beroepsprofielen Informatiebeveiliging, PvIB 17

18 Onderhoud en specialisatie Een professional die zich heeft gekwalificeerd voor één van de beroepen in dit document zal in de loop van de tijd extra kennis en vaardigheden op (moeten) doen. Van elke professional wordt vereist dat hij zijn vakmanschap op peil houdt ( life long learning ), door kennis en vaardigheden op te doen die nodig zijn voor het anticiperen op de relevante maatschappelijke en technische ontwikkelingen. Daarmee blijft de professional steeds in staat om zijn beroep goed uit te voeren in een veranderende wereld. Bovenop het op peil houden van het vakmanschap kan een professional ervoor kiezen om in een bepaald subdomein extra kennis en vaardigheden op te bouwen, om zich zo extra te verdiepen in het betreffende subdomein. Met deze extra expertise verkrijgt de professional een specialisatie bovenop de standaard beroepskwalificatie. De professional is dan in staat om binnen zijn specialisatie taken uit te voeren die niet door een gemiddelde beoefenaar van het betreffende beroep uitgevoerd kunnen worden. Specialisaties maken dan ook geen deel uit van beroepsprofielen, maar kunnen wel vereist zijn in een bepaalde functiebeschrijving. 18 Beroepsprofielen Informatiebeveiliging, PvIB

19 Bijlage A: Bestaande kwalificaties Binnen het domein informatiebeveiliging is een groot aantal nationale en internationale kwalificaties in omloop. De onderstaande tabel bevat een aantal kwalificaties die in Nederland gangbaar zijn (gebaseerd op de bij PvIB bekende informatiebeveiligingsopleidingen in Nederland en een inventarisatie van de titels die leden van PvIB hebben) en de daarvoor gehanteerde acroniemen. Kwalificatie Acroniem Eigenaar Certified Information Systems Auditor CISA ISACA Certified Information Security Manager CISM ISACA Certified Information Systems Security Professional CISSP (ISC) 2 Certified in Risk and Information Systems Control CRISC ISACA Master of Information Security Management MISM TiasNimbas 22 Master of Security in Information Technology 23 MSIT Technische Universiteit Eindhoven Register EDP auditor RE NOREA Register Operational auditor RO SVRO 22 In meerdere landen bestaan kwalificaties onder dezelfde naam. 23 Is opgevolgd door Master of Science Information Security Technology. Beroepsprofielen Informatiebeveiliging, PvIB 19

20 Bijlage B: Legenda beroepsprofieltabel Term Beschrijving 24 Profieltitel Samenvatting Missie Producten Kerntaken e-competenties Geeft een gangbare naam aan het profiel. Geeft een indicatie van de belangrijkste elementen van het profiel. Het doel hiervan is stakeholders en gebruikers een kort en bondig overzicht van het profiel te geven. De beschrijving moet begrijpelijk zijn voor zowel professionals, managers, als medewerkers van HRM (Human Resource Management). Beschrijft de hoofddoelstelling. Het doel hiervan is het in het profiel beschreven beroep te specificeren. Benoemt de belangrijkste producten. Tevens wordt aangegeven welke plaats in het RACI-model wordt ingenomen met betrekking tot de gegeven producten. Daarbij wordt onderscheid gemaakt naar A: eindverantwoordelijk (accountable), R: realisatie (responsible), C: bijdragend (contributor). Benoemt de belangrijkste taken. Een taak is een activiteit die wordt uitgevoerd om een bepaald resultaat te behalen. Geeft een opsomming van benodigde e-competenties (uit het e-cf) die nodig zijn om de missie uit te kunnen voeren. Belangrijk is dat hierbij ook de benodigde competentieniveaus worden gespecificeerd. Algemene competenties Geeft een opsomming van benodigde algemene competenties die nodig zijn om de missie uit te kunnen voeren. Belangrijk is dat hierbij ook de benodigde competentieniveaus worden gespecificeerd. Ervaring KPI Specificeert het minimumniveau voor benodigde ervaring. Geeft de belangrijkste prestatie-indicator (KPI Key Performance Indicator). 24 CEN Workshop Agreement CWA 16458:2012 E, European ICT Professional Profiles; ftp://ftp.cen.eu/cen/sectors/list/ict/cwas/cwa% pdf. 20 Beroepsprofielen Informatiebeveiliging, PvIB

21 Bijlage C: e-competenties In de tabel hieronder zijn de e-competenties uitgewerkt die in de beroepsprofielen worden geadresseerd. De uitwerkingen zijn overgenomen uit de Nederlandse versie van het Europees e-competence Framework en in lijn gebracht met de Engelse versie Daar waar in het e-cf beschrijvingen ontbreken, zijn deze in cursief toegevoegd. e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau A.7. Volgen van technologische ontwikkelingen (Technology Trend Monitoring): Onderzoekt de laatste ICT-ontwikkelingen om kennis over de technologische ontwikkelingen uit te breiden. Bedenkt innovatieve oplossingen voor het integreren van nieuwe technologie in bestaande producten, applicaties of diensten, of voor het creëren van nieuwe oplossingen. K1 opkomende technologieën en relevante toepassingen in de markt K2 marktbehoeften K3 relevante informatiebronnen (bijv. tijdschriften, conferenties en evenementen, nieuwsbrieven, opinieleiders, on-line forums, enz.) K4 discussieregels in Internetcommunities K5 aanpak voor toegepast onderzoeksprogramma S1 monitoren van informatiebronnen en het voortdurend volgen van de meest veelbelovende S2 identificeren van verkopers en aanbieders van de meest veelbelovende oplossingen en evalueren en beargumenteren welke het meest geschikt is en deze voor te stellen S3 identificeren van commerciële voordelen en verbeteringen door het toepassen van opkomende technologieën 3 Houdt zich goed op de hoogte van nieuwe en opkomende technologieën en kan het nut hiervan voor de organisatie aangeven. 25 CEN Workshop Agreement NPR-CWA :2010 nl; Europees e-competence Framework Deel 1: Een gemeenschappelijk Europees framework voor ICT-professionals in alle sectoren van de industrie, 26 CEN Workshop Agreement CWA 16234:2014 Part 1; European e-competence Framework Part 1: A common European Framework for ICT Professionals in all industry sectors, Beroepsprofielen Informatiebeveiliging, PvIB 21

22 e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau B.4. Oplossingen implementeren (Solution Deployment): Volgt vooraf vastgestelde algemene praktijknormen bij het uitvoeren van geplande noodzakelijke ingrepen om oplossingen te implementeren met inbegrip van installeren, actualiseren en buiten bedrijf stellen. Configureert hardware, software of netwerk om de interoperabiliteit van systeemcomponenten te bewaken en herstelt eventuele fouten of onvolkomenheden. Schakelt indien vereist extra specialisten in, zoals externe netwerkproviders. Draagt de volledig operationele oplossing formeel over aan de gebruiker en rondt de volledige documentatie af die alle relevante informatie bevat, inclusief die over ontvangende partijen van apparatuur, configuratie- en prestatiegegevens. K1 prestatieanalysetechnieken (performance analysis techniques) K2 technieken i.v.m. probleemmanagement (problem management) (werking, prestatie, compatibiliteit) K3 methoden en technieken betreffende het samenstellen van software (packaging) en distribueren ervan K4 de impact van implementatie op de huidige architectuur K5 de tijdens implementatie toe te passen technologieën en normen K6 web, cloud en mobiele technologie en de omgevingsvereisten S1 organiseren van werkzaamheden als gevolg van de toepassing en activiteiten i.v.m. het uitrollen van producten S2 organiseren en plannen van betatestactiviteiten en het testen van de oplossing in de definitieve operationele omgeving S3 configureren van componenten op elk niveau zo dat de interoperabiliteit geheel is gewaarborgd S4 onderscheiden en inzetten van expertise die nodig is om interoperabiliteitsproblemen op te lossen S5 organiseren en bewaken van initiële ondersteuningsservice, met inbegrip van gebruikerstraining tijdens de startfase S6 organiseren van het vullen van databanken en het managen van datamigratie S7 samenwerken om de code van een derde partij aan te passen; ondersteunen en onderhouden van aangepaste software 2 Handelt systematisch bij het bouwen of ontmantelen van systeemelementen. Definieert falende componenten en stelt de oorzaak van de fout vast. Biedt minder ervaren collega s ondersteuning. 22 Beroepsprofielen Informatiebeveiliging, PvIB

23 e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau D.1. Strategieontwikkeling informatiebeveiliging (Information security strategy development): Stelt een formele organisatiestrategie, -scope en -cultuur vast, en maakt deze toepasbaar met het doel de informatie te beschermen tegen externe en interne dreigingen. Levert de basis voor informatiebeveiligingsmanagement (Information security management), met inbegrip van het definieren van rollen en het toewijzen van verantwoordelijkheden. Gebruikt vastgestelde normen om doelstellingen te scheppen voor informatie-integriteit, beschikbaarheid en gegevensbescherming. K1 potentieel en kansen van relevante normen en 'best practices' K2 de impact van wettelijke eisen inzake informatiebeveiliging K3 de informatiestrategie van de organisatie K4 mogelijke informatiebeveiligingsbedreigingen K5 de strategie voor mobiele toepassingen K6 de verschillende modellen voor dienstverlening (SaaS, PaaS, IaaS) en de vertaling naar operationele toepassingen (bijvoorbeeld Cloud Computing) S1 ontwikkelen en kritisch analyseren van de bedrijfsstrategie inzake informatiebeveiliging S2 definiëren, presenteren en promoten van een informatiebeveiligingsbeleid ter goedkeuring door het seniormanagement van de organisatie S3 toepassen van relevante normen, 'best practices' en wettelijke eisen voor informatiebeveiliging S4 anticiperen op vereiste veranderingen van de informatiebeveiligingsstrategie van de organisatie en het formuleren van nieuwe plannen S5 voorstellen van doeltreffende noodprocedures 5 Neemt het strategisch leiderschap om informatiebeveiliging in te bedden in de cultuur van de organisatie. Beroepsprofielen Informatiebeveiliging, PvIB 23

24 e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau E.3. Risicomanagement (Risk management): Implementeert risicomanagement in alle informatiesystemen en past daarbij het door de onderneming vastgestelde beleid en de procedures voor risicomanagement toe. Beoordeelt het risico voor het bedrijf, inclusief web, cloud en mobiele toepassingen. Documenteert potentieel risico en plannen om de schade te beperken. K1 bedrijfswaarden en bedrijfsbelangen om deze goed mee te kunnen nemen in risicoanalyses K2 rentabiliteit van investeringen vergeleken met risicomijding K3 'best practices' (methoden) en standaarden voor risicoanalyse S1 ontwikkelen van een plan voor risicomanagement waarin de nodige preventieve acties worden geïdentificeerd S2 communiceren en promoten van de resultaten van de bedrijfsrisicoanalyse en de risicomanagementprocessen S3 ontwikkelen en documenteren van de processen voor risicoanalyse en -management S4 uitvoeren van acties om risico te reduceren en te begrenzen 3 Beslist over passende maatregelen die nodig zijn om informatiebeveiliging te bewerkstelligen en risico s aan de orde te stellen. Evalueert, managet en bewaakt validatie van uitzonderingen; controleert ICT-processen en -omgevingen. 4 Neemt de leiding bij het vaststellen en toepasbaar maken van een risicomanagementbeleid, neemt daarbij alle mogelijke beperkingen in aanmerking, met inbegrip van technische, economische en politieke kwesties. Delegeert taken. 24 Beroepsprofielen Informatiebeveiliging, PvIB

25 e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau E.4. Relatiemanagement (Relationship management): Bouwt positieve zakelijke relaties op tussen stakeholders (intern en extern) en onderhoudt deze, met toepassing en naleving van de in de organisatie geldende processen. Onderhoudt regelmatige communicatie met klanten, partners en leveranciers en gaat op behoeften in met gevoel voor hun omgeving, en managet de communicatie over de toeleveringsketen. Bewaakt dat behoeften, zorgen of klachten van stakeholders worden begrepen en in overeenstemming met het bedrijfsbeleid worden opgelost. K1 organisatorische processen, waaronder besluitvorming, budgetten en managementstructuur K2 zakelijke doelstellingen van de eigen organisatie en andere stakeholders K3 methoden om middelen te meten en in te zetten om te voldoen aan de eisen van stakeholders K4 zakelijke uitdagingen en risico s van klanten S1 tonen van gevoel voor behoeften van klanten S2 identificeren van potentiële winwinkansen voor klanten en de eigen organisatie S3 scheppen van realistische verwachtingen ter ondersteuning van het ontwikkelen van wederzijds vertrouwen S4 monitoren van lopende verplichtingen om te bewaken dat deze worden nagekomen S5 communiceren van goed en slecht nieuws om verrassingen te voorkomen 4 Neemt de leiding bij het onderhouden van belangrijke of veel relaties met stakeholders. Autoriseert investeringen in nieuwe en bestaande relaties. Geeft leiding aan het ontwerpen van een uitvoerbare procedure om positieve zakelijke relaties te onderhouden. Beroepsprofielen Informatiebeveiliging, PvIB 25

26 e-competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau E.8. Informatiebeveiligingsmanagement (Information security management): Implementeert informatiebeveiligingsbeleid. Monitort en neemt actie tegen inbreuk, fraude, beveiligingsincidenten en lekken. Bewaakt dat beveiligingsrisico s betreffende ondernemingsgegevens en -informatie worden geanalyseerd en beheerd. Beoordeelt beveiligingsincidenten en doet aanbevelingen voor informatiebeveiligingsbeleid en -strategie om te zorgen voor continue verbetering van de beveiliging. K1 het beveiligingsmanagementbeleid van de organisatie en de implicaties ervan op samenwerking met klanten, leveranciers en onderaannemers K2 'best practices' in en standaarden voor informatiebeveiligingsmanagement K3 de belangrijke risico s van het informatiebeveiligingsmanagement K4 de aanpak voor de interne ICT-audit K5 beveiligingstechnieken voor detectie, inclusief mobiel en digitaal K6 technieken voor cyberaanvallen en tegenmaatregelen K7 digitaal forensisch onderzoek S1 documenteren van het beleid voor het informatiebeveiligingsmanagement en dit aan de bedrijfsstrategie te koppelen S2 analyseren van kritische aspecten van de onderneming en het identificeren van zwakke punten en kwetsbaarheid voor inbreuk of aanvallen S3 opstellen van een risicomanagementplan om actieplannen ter preventie te stimuleren en tot stand te brengen S4 uitvoeren van beveiligingsaudits S5 toepassen van technieken voor monitoring en testen S6 opzetten van het herstelplan S7 inzetten van het herstelplan in geval van een crisis 3 Evalueert maatregelen en indicatoren in het kader van beveiligingsmanagement en stelt vast of ze in overeenstemming zijn met het informatiebeveiligingsbeleid. Onderzoekt en initieert maatregelen om beveiligingsincidenten op te lossen. 4 Neemt de leiding ten aanzien van de integriteit, vertrouwelijkheid en beschikbaarheid van in informatiesystemen opgeslagen gegevens en houdt zich daarbij aan alle wettelijke voorschriften. 5 - Toont strategisch leiderschap om de volwassenheid van informatiebeveiliging te verbeteren. 26 Beroepsprofielen Informatiebeveiliging, PvIB

27 Bijlage D: Algemene competenties In de tabel hieronder zijn de algemene competenties uitgewerkt die in de beroepsprofielen worden geadresseerd. Algemene competentie Kennis Kent/is zich bewust van/ is bekend met Vaardigheden Is in staat tot het Niveau G.1. Leiderschap (Leadership): Stelt doelen en motiveert en begeleidt anderen om deze doelen te realiseren. K1 leiderschapsstijlen en hun kenmerken K2 de organisatiecultuur S1 inspireren van mensen en hen motiveren om effectief samen te werken S2 nemen van beslissingen in moeilijke situaties 4 Toont leiderschap in organisatiebrede activiteiten of projecten. G.2. Projectmanagement (Project Management): Is in staat om mensen en middelen te plannen, organiseren, motiveren en sturen, om zo projecten doelmatig en doeltreffend uit te voeren. K1 methoden en standaarden voor projectmanagement K2 bewezen praktijken voor projectmanagement S1 geven van richting en begeleiding aan een project om gedefinieerde doelen te bereiken S2 geven van leiding aan een projectteam S3 communiceren over de kenmerken van gedelegeerde taken en verantwoordelijkheden 3 Managet kleine projecten met eenvoudige randvoorwaarden. Beroepsprofielen Informatiebeveiliging, PvIB 27