Ja. 

Het vastleggen van rollen en verantwoordelijkheden is een eis binnen de ISO27001 norm, dus dat is noodzakelijk voor certificering. In hoofdstuk 9 vind je bij documenten document 09a Rollen en verantwoordelijkheden. De rollen die je beschrijft vind je hier terug. Je kunt dan dus aangeven wie welke rol invult. Daarmee voldoe je in de basis. Idealiter pas je de profielen verder aan, zodat ze precies aansluiten met hoe jullie de rolverdeling willen doen. Als dat niet lukt, kun je een verbeteractie opnemen in de continu verbeterlijst met een datum in de toekomst. Dit kun je tijdens de directiebeoordeling verder kracht bij zetten door in de document van de directiebeoordeling dit als verbetermogelijkheid voor volgend jaar te definiëren. 

In de periode richting de audit en tijdens de audit zul je je wel naar deze rolverdeling moeten gedragen. Dus degene die de technisch beheerder is, zal dan technische zaken toe moeten kunnen lichten en laten zien hoe zij of hij de bijbehorende taken doet. Hetzelfde geldt voor de andere rollen.

Als laatste toelichting, het document heet Rollen en dat is dus iets wat je naast een formele functie kan doen. Het betekent dus niet dat je formele functieaanpassingen hoeft te doen, maar dat iemand er een rol bij krijgt (of dat de rol wordt geformaliseerd). Als de rol nieuw is, denk dan wel goed na of de persoon hier de benodigde competenties voor heeft (een voorzet is opgenomen in 09a Rollen en verantwoordelijkheden). Als dat niet zo is, dan is een training aan te raden of begeleiding in de praktijk door een ervaren persoon. En bespreek welke taken de persoon niet meer gaat doen als de rol erbij komt.