Het is niet uitgesloten dat de zittende kandidaat wordt aangeboden.

Opdrachtbeschrijving
Het ultieme doel van dit project is om een eigen ingericht vulnerability assesment tool te hebben, die continue inzicht geeft in de kwetsbaarheden in de IV voorzieningen van de Hoge Raad. Er is echter nog geen keuze gemaakt in product die dit kan, en een ontwerp. Voor nu is het voorstel om een voorstudie te doen, waarbij de eisen en wensen met betrekking tot een kwetsbaarheden analyse tool duidelijk worden, en er een marktverkenning gedaan wordt om tot een keuze van een product te komen. In deze verkennende fase dient in ieder geval antwoord gegeven te worden op de volgende procesmatige vragen:
1. Volgens welke planning gaan reguliere vulnerability-assessments uitgevoerd moeten worden.
2. Hoe gaan de uitgevoerde vulnerability-assessments geregistreerd worden.
3. Welke rapportages van de resultaten van de vulnerability-assessments moeten vastgelegd gaan worden.
4. Met wie gaan deze rapportages gecommuniceerd worden, en wat wordt er vervolgens met deze rapportage gedaan.
Daarnaast is het voor een tool selectie goed om alvast duidelijkheid te hebben over de scope:
1. Welke te onderzoeken componenten, zoals applicaties, webservers, netwerk(componenten) en ip-adressen, dienen onderzocht te worden?
2. Over welke kwaliteitseisen en -criteria dient gerapporteerd te worden.

Achtergrond opdracht
Er ligt een advies van de CISO-Office aan het hoofd IV met de strekking: om over te gaan tot de aanschaf van een kwetsbaarhedenanalyse oplossing, waarmee continue inzicht beschikbaar is in de aanwezige kwetsbaarheden binnen het applicatie- en infrastructuurlandschap.
Kwaadwillenden maken gebruik van kwetsbaarheden en zwakheden in ICT-componenten (zowel ICT-systemen als netwerken). Zonder inzicht in de huidige stand van zaken, tast de beheerder in het duister en kan hij niet goed anticiperen op nieuwe ontwikkelingen. Vulnerability-assessments zijn noodzakelijk om zwakheden van in ICT-componenten op verschillende lagen van de ICT-infrastructuur vast te stellen

Organisatorische context en cultuur
De afdeling Automatiseren en Informatie (A&I) is primair verantwoordelijk voor het digitale informatiebeleid, -informatiedienstverlening en de - informatieveiligheid voor alle werkzaamheden binnen cassatieproces van de Hoge Raad. A&I kent een extern en een intern gerichte dienstverlening. In de externe dienstverlening worden digitale hulpmiddelen aangeboden waarmee burgers en professionele procespartijen in staat worden gesteld om (digitaal) cassatie in te stellen. De interne dienstverlening richt zich op de optimale ondersteuning bij de behandeling van deze cassatie-beroepen binnen de Hoge Raad , inclusief digitale hulpmiddelen gericht op de communicatie hierover naar procespartijen en derden. Door de eenduidige inrichting van hardware en software is een ‘lean and mean’ organisatie inrichting van de IT-functie mogelijk. Zo kent de HR één integraal zaaksysteem (Mijn Werkomgeving) en één integraal webportaal (Mijn Zaak Hoge Raad) aangevuld met een beperkt aantal toepassingen voor besturing en verantwoording. Door de toegankelijke en transparante inrichting van de bedrijfsvoering binnen de Hoge Raad is geen gescheiden demand en supply noodzakelijk. ICT alignement vindt direct vanuit de afdeling A&I met de overige afdelingen van de Hoge Raad plaats. ICT-LandschapDe afdeling A&I bestaat uit de teams netwerk-, applicatie- en servicedienstverlening.

Eisen

• Beschrijf in maximaal 1 A4 hoe je een eerder vergelijkbaar traject hebt aangepakt
• Productkennis en ervaring met kwetsbaarhedenanalyse oplossingen zoals Tenable & Qualys (5 jaar)
• Aantoonbare kennis met het CIS control framework (5 jaar)
• Aantoonbare kennis en ervaring met ISO27001, BIO, NIS2 en AVG (5 jaar)

Competenties

• Gespreksvaardigheden om tot een goed beeld te komen hoe het ICT-landschap van de Hoge Raad eruit ziet en hierop een passende oplossing te kunnen plotten.

Overig

Hybride werken is mogelijk. Over het algemeen is er een 50/50 beleid en in overleg afwijking mogelijk.