Rollen

Het Canvas Board

Het Canvas Board neemt besluiten over de prioritisering van risico's en maatregelen, de risicobehandeling, prioriteiten, maatregelen, acties en actiehouders, meetmethoden en streefgetallen (beoogde effectiviteit), welke door de Teams zijn voorgesteld.

De samenstelling van het Canvas Board is afhankelijk van de structuur en rolverdeling binnen de organisatie, maar bestaat typisch uit:

• de business owners – zij zijn uiteindelijk de risicoeigenaar en moeten besluiten of en wanneer een restrisico geaccepteerd mag worden, en of maatregelen werkbaar zijn;

• de CEO of Algemeen Directeur, die een besluit kan nemen wanneer de business owners geen overeenstemming kunnen bereiken;

• de CISO, die (gedelegeerd) verantwoordelijk is voor de informatieveiligheid en de werking van het ISMS;

• de Compliance Officer en/of de Functionaris Gegevensbescherming, en/of Kwaliteitsmanager, die (gedelegeerd) verantwoordelijk is voor compliance met relevante wet- en regelgeving en interne normenkaders;

• de CIO, die (gedelegeerd) verantwoordelijk is voor de implementatie van (technische) beveiligingsmaatregelen, eventueel samen met de IT leverancier.

Team Captain

Verantwoordelijk voor de voorbereiding, uitvoering en verslaglegging van de workshops van zijn team. Vertegenwoordigt de belangen van zijn team in de alignment meeting. Rapporteert over de voortgang en effectiviteit van de Canvas Methode in de Management Review.

Risico eigenaar

De business owner is eigenaar van de risico’s, die impact hebben op haar bedrijfsproces en informatie-assets. Zij is dus degene die besluit of een (rest-)risico geaccepteerd mag worden.

Doorgaans de manager van het organisatieonderdeel waarin een risico bestaat. Mag (in het Afstemmingsoverleg) beslissen of een risico acceptabel is (tenzij er redenen buiten zijn/haar afdeling zijn om daar van af te wijken).

Workshop Facilitator

Regisseert de voortgang in de Workshops zelf. Is geen lid van het Team en heeft geen inhoudelijk belang in de besluiten die genomen worden. De Workshop Facilitator is een procesbegeleider, het team besluit.

Moet kennis hebben van het domein waarop de methode wordt toegepast (i.e. informatieveiligheid), van de processen en context van het Team en de organisatie.

Canvas Team

Een Canvas Team is een groep medewerkers die deelneemt aan een cyclus van workshops. Dit team vertegenwoordigt een bepaalde afdeling of functionele groep binnen de organisatie. Het team moet zich vrij voelen om risico's en maatregelen te bespreken, zonder daar op afgerekend te worden. Het is daarom vaak niet raadzaam om een hierarchisch verantwoordelijke op te nemen in het team: dit kan er toe leiden dat andere deelnemers sociaal wenselijk gedrag gaan vertonen en bepaalde risico’s niet, of anders benoemen.

Deelnemer

n.t.b.