Klíčové činnosti:

a) Odpovědnost za řízení systému řízení bezpečnosti informací.
b) Pravidelný reporting pro vrcholové vedení povinné osoby.
c) Pravidelná komunikace s vrcholovým vedením povinné osoby.
d) Předkládání Zpráv o hodnocení aktiv a rizik, Plánu zvládání rizik a Prohlášení o aplikovatelnosti výboru pro řízení kybernetické bezpečnosti.
e) Poskytování pokynů pro zajištění bezpečnosti informací při vytváření, hodnocení, výběru, řízení a ukončení dodavatelských vztahů v oblasti ICT.
f) Komunikace s GovCERT/CSIRT.
g) Podílení se na procesu řízení rizik. h) Koordinace řízení incidentů.
i) Vyhodnocování vhodnosti a účinnosti bezpečnostních opatření.

Znalosti:

a) Normy řady ISO/IEC 27000 a obdobné normy z oblasti bezpečnosti a ICT.
b) Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost
c) Řízení rizik.
d) Řízení kontinuity činností.
e) Relevantní právní a regulatorní požadavky, zejména zákon.
f) Kontext povinné osoby.

Zkušenosti:

a) Prosazování systému řízení bezpečnosti informací.
b) Porozumění definicím rizik a rizikovým scénářům.
c) Řízení rizik v rámci povinné osoby.
d) Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.

Vzdělání a praxe:

a) Alespoň 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo
b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.

Relevantní certifikace*:

Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).

Další podmínky:

a) Role není slučitelná s rolemi odpovědnými za provoz informačního a komunikačního systému a s dalšími provozními či řídicími rolemi.
b) Pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet.