Deze maatregel borgt dat bij (dreiging van) incidenten door alle betrokkenen adequaat kan worden gereageerd. Zie ook A.12.4.1 Gebeurtenissen registreren (audit trail) en A.16.1.1 Verantwoordelijkheden en procedures.

De (eind)verantwoordelijkheid voor informatiebeveiliging moet belegd zijn bij alle betrokken partijen. Deze functionaris(sen) dient/dienen de bevoegdheid te hebben om bij (een dreiging van) een incident daadkrachtig te kunnen optreden en besluiten te nemen ten aanzien van Zorgeloos Vastgoed. Zij dienen deze besluiten met spoed te kunnen (laten) realiseren.

De verantwoordelijke en operationele functionaris(sen), inclusief eventuele onderaannemers, dient/dienen hiervoor tijdens kantooruren binnen een uur beschikbaar te zijn en buiten kantooruren binnen drie uur. 

Conform de betreffende Deelnemersovereenkomsten.

A.6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging

• Stel op basis van bewijslast vast dat de genoemde functionaris(sen) is/zijn aangewezen.

• Stel vast dat een procedure is ingericht om te allen tijde te voldoen aan de genoemde beschikbaarheid, inclusief geplande en ongeplande afwezigheid. 

• De beschikbaarheid dient tevens gegarandeerd te zijn bij eventuele onderaannemers.

• Stel door middel van interviews vast dat de functionaris(sen) op de hoogte is/zijn van hun taken en verantwoordelijkheden t.a.v. de beschikbaarheid en de juiste bevoegdheden hebben.

• In welke documentatie de verantwoordelijkheden en bevoegdheden zijn belegd.

• Welk procedures / documenten (incl. versienummers) zijn ingezien.

• Met wie gesproken is ter bevestiging van de implementatie.