Opdrachtomschrijving
Opdrachtgever Betrouwbare informatievoorziening is essentieel in onze dienstverlening. Daar maken we ons als directie Organisatie, Bedrijfsvoering en Personeel (OBP) sterk voor. In uitvoering en 'by design'. Met diverse bedrijfsonderdelen bouwen we aan de voorkant kwaliteits- en veiligheidswaarborgen in. Dit doen we met de Chief Information Security Officer en Privacy Officer (CISO/PO), die onderdeel zijn van de CIO office van het kerndepartement. Het kerndepartement omvat de beleidskolommen, stafdirecties, ondersteunende directies en een aantal kleine onderdelen die geen eigen CIO/CISO-unit hebben. Zoals de Gezondheidsraad, Centrale Commissie Mensgebonden Onderzoek, en de Eenheid secretariaten voor beoordeling euthanasie en medische tucht. Gezien het werkpakket voor de komende tijd is versterking nodig.

Project
Het project dat je gaat uitvoeren is ervoor zorgen dat we dreigingen goed in kaart hebben, direct kunnen schakelen zodra een mogelijke dreiging of kwetsbaarheid zich voordoet en we hierin een betrouwbare en waardevolle schakel in de keten zijn.

Opdrachtomschrijving
We zoeken specialistische ervaring en kennis van informatiebeveiliging op het terrein van dreigingsmanagement en leveranciersmanagement (incl. keten management). Dit onder aansturing van en in samenwerking met de CISO van het kerndepartement. Er vindt functionele samenwerking plaats binnen het VWS-concern (zoals CIBG, RIVM en IGJ) en met name met de dreiging specialist van VWS-concern. Het kerndepartement is geen ICT-bedrijf. Het is daarom extra belangrijk om in verbinding te kunnen staan met de business, die in dit geval bestaat uit beleidsfunctionarissen, wetenschappelijke medewerkers en specialistische uitvoerders. Het kerndepartement staat regelmatig in de publieke en politieke schijnwerpers. Dit vraagt goede bestuur sensitiviteit en - uiteraard - goede kwaliteit van werken. Met goede dossiervorming zodat verantwoording kan plaatsvinden aan controlerende instanties (Audit Dienst Rijk en Algemene Rekenkamer). Je werkt plezierig en collegiaal samen met CISO/PO, CIO-office en andere stakeholders binnen OBP.

Onderstaand is illustratief, het werkpakket is dynamisch.

• Helpen in kaart brengen van alle informatiesystemen binnen het kerndepartement;
• Inventariseren van de ICT elementen van de informatiesystemen, zodat bij dreigingen direct duidelijk is of dit van toepassing is op de systemen van het kerndepartement;
• Systematiek/methodiek opzetten om dreigingen snel te analyseren en acties uit te zetten zodra een dreiging van toepassing is;
• Samenwerken met de dreiging specialist van VWS-concern;
• Bijdragen aan en meedenken bij het opstellen van nieuw en verbeteren van bestaand beleid, en deze vertalen naar de praktijk.
• Ondersteunen van directies bij het maken van risicoanalyses, mede in het kader van het IB-beeld (uitvoeren quickscans IB, BIO-analyses, etc);
• Checks op compliance, mede naar aanleiding van ADR- en AR-bevindingen;
• De CISO ondersteunen bij gesprekken met directies en eventueel zaken voorleggen aan de bestuursraad, en hiervoor nota's schrijven;
• Zo nodig werken aan procesverbetering o.b.v. evaluaties.

Kennis, ervaring, competenties en vaardigheden

• Aantoonbare en relevante kennis en ervaring in informatiebeveiliging.
• Relevante certificeringen zoals CISSP, CISM, CISA, CRISC, C/CISO.
• Aantoonbare ervaring met leveranciers- en ketenmanagement.
• Aantoonbare ervaring met het implementeren van dreiging of kwetsbaarheden management.
• Aantoonbare ervaring met het uitvoeren en of beoordelen van risico analyses.
• Kennis van de actuele wetgeving en normen, beleid en uitvoeringspraktijk bij de Rijksoverheid of binnen het ministerie van VWS.
• Bij voorkeur kennis van het geopolitieke speelveld van informatiebeveiliging en deze kennis kunnen vertalen in inzichten omtrent mogelijke dreigingen voor de publieke sector.
• ICT-inhoudelijke kennis en ervaring en is in staat om adequaat als beleidsadviseur met bestuurlijke organisatie sensitiviteit op te treden en advies te geven (inclusief opstellen bestuurlijke nota's).
• In staat om technische inhoudelijke zaken te vertalen naar niet technische doelgroepen.
• Praktische hands-on mentaliteit, oplossingsgericht, flexibel, goede communicatievaardigheden en is comfortabel om voor groepen te spreken.

Voortijdige beëindiging

Bij voortijdige beëindiging van de nadere overeenkomst wordt de opzegtermijn zoals beschreven in de raamovereenkomst gehanteerd.

Eisen


• Kandidaat beschikt over WO werk-/denkniveau
• Kandidaat beschikt over ten minste vier jaar kennis en werkervaring op terrein van Informatiebeveiliging

Wensen


• Mate waarin kandidaat ervaring heeft met het opzetten en implementeren van dreiging- en of kwetsbaarden management.
• Mate van ervaring en/of affiniteit met de organisatie van de opdrachtgever.
• Kandidaat beschikt over relevante certificering zoals CISSP, CISM, CISA, CRISC, C/CISO.
• Mate waarin kandidaat beschikt over de gevraagde competenties en vaardigheden (toetsbaar in CV, motivatie en/of mogelijk gesprek).

Aanvullende Informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.