Functiescheiding (Segregation of Duties - SoD)
Functiescheiding (SoD) vermindert het risico op fouten, belangenverstrengeling en ongecontroleerde besluiten door ervoor te zorgen dat kritieke ISMS-activiteiten niet door dezelfde persoon worden beheerd en goedgekeurd.
Waarom SoD belangrijk is in een ISMS
ISO 27001 vereist gedefinieerde rollen, verantwoordelijkheid en onafhankelijk toezicht op belangrijke ISMS-activiteiten. Wanneer verantwoordelijkheden overlappen, moet de organisatie dit governance-risico herkennen en aantonen hoe dit wordt beheerd.
Onze huidige situatie
Als kleine organisatie is de persoon die het ISMS implementeert ook onderdeel van het topmanagement en voert deze de managementreview uit. Dit creëert een risico op het gebied van functiescheiding, omdat ontwerp, uitvoering en beoordeling niet volledig onafhankelijk zijn.
Risicobehandeling
We behandelen dit als een gedocumenteerd en geaccepteerd risico in ons risicoregister. Gezien onze huidige omvang en middelen accepteren we deze beperking, terwijl we compenserende maatregelen implementeren en toekomstige mitigatie plannen naarmate we groeien.
Compenserende maatregelen
Formeel managementreview-proces met een gestructureerde agenda en gedocumenteerde resultaten
Expliciete documentatie van het conflict en de beweegredenen voor acceptatie
Geplande mitigaties
Werving en teamuitbreiding om governance- en uitvoerende rollen te scheiden
Delegatie van het eigenaarschap van controles waar dit haalbaar is
Externe input of periodieke onafhankelijke beoordeling om vooringenomenheid te verminderen
Wanneer SoD beperkt is, is transparantie essentieel: het risico, de argumentatie en het mitigatieplan moeten expliciet worden gedocumenteerd.
Bewijslast die we bijhouden
Vermelding in het risicoregister voor het SoD-risico (status, eigenaar, behandelplan, acceptatie-onderbouwing)
Managementreview-stukken waaruit de erkenning en vervolgacties blijken
Documentatie van eventuele externe input of onafhankelijke controles die zijn uitgevoerd