Achtergrond opdracht
ICT security/securitymanagement (informatiebeveiliging) omvat het ontwerpen, implementeren, onderhouden en evalueren van beveiligingsmaatregelen met betrekking tot de ICT (hardware en software). De security officer (of BVA) is verantwoordelijk voor de beveiliging van de informatievoorziening/ICT. De focus ligt op het beveiligen van de informatievoorziening/ICT wat betreft de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie.

Opdrachtomschrijving
Bij het OM ligt de verantwoordelijkheid voor het waarborgen van de informatiebeveiliging in de eerste lijn bij het College van procureurs-generaal. De beveiligingsautoriteit (BVA) en de Chief Information Security Officer (CISO) van het OM hebben een adviserende rol naar de eerste lijn / het College. Het hoofd CIO-office is verantwoordelijk voor de processen en diensten die door het CIO-office worden geleverd. Het College heeft proceseigenaren benoemd die voor een (hoofd)proces verantwoordelijk zijn. De proceseigenaar stelt, ondersteund door een proceskring, een proces of wijziging van een proces vast en communiceert de wijziging met alle parketten of zorgt voor start van een grotere implementatie. Bij voorgestelde proceswijzigingen met impact op de systemen wordt ook besproken hoe de aanpassing van de techniek vorm moet krijgen. De proceseigenaar is in die rol verantwoordelijk voor het waarborgen van de informatieveiligheid in het proces. Indien nodig zet een proceseigenaar een verzoek tot het uitzetten van een opdracht tot een onderzoek naar de informatieveiligheidsrisico’s uit bij de uitvoerende CIO. Die draagt zorg voor het uitvoeren van dit onderzoek, al dan niet door een externe partij. De proceseigenaar is inhoudelijk opdrachtgever aan wie de bevindingen en aanbevelingen van dit onderzoek worden opgeleverd. De proceseigenaar stemt af met de CISO hoe de aanwezige risico’s kunnen worden gemitigeerd. De restrisico’s kunnen, na toetsing door de CISO, door de proceseigenaar worden geaccepteerd.
Programma’s die een wijziging in processen of informatieverwerking tot gevolg hebben, zijn verantwoordelijk om informatiebeveiliging mee te nemen binnen het programma, waarbij afstemming plaats dient te vinden met de eerste lijn (in de rol van opdrachtgever voor het programma). In afstemming met de CISO, een adviseur Informatiebeveiliging of de riskmanager moet voor deze wijziging een onderzoek naar de informatieveiligheidsrisico’s worden uitgevoerd en worden bepaald op welke wijze de risico’s worden gemitigeerd dan wel welke restrisco’s acceptabel zijn. De proceseigenaar is dan ook verantwoordelijk voor de opvolging en monitoring van de (rest) risico’s dan wel het behouden van toezicht op de effectiviteit van de beheersmaatregelen en eventuele veranderingen in het risicoprofiel van het proces. Regelmatige rapportage aan de eerste lijn / het college over de status van risicobeheersing binnen het proces is essentieel.
 Zoals in de achtergrond en aanleiding aangegeven is het nodig om als basis voor het onderzoek naar de toekomstige situatie een integraal onderzoek uit te laten voeren naar de informatieveiligheidsrisico’s (IRAM) van het huidige werkproces bewaken en beveiligen. Het onderzoek richt zich op het OM-proces waarbij wel het schakelpunt met de ketenpartners in het onderzoek wordt betrokken, maar niet op het ketenproces wordt ingegaan. Er zal dus naar verwachting beperkt of niet met ketenpartners te hoeven worden afgestemd. Of en in hoeverre dit nodig is, zal na gunning van de opdracht met de opdrachtgever worden afgestemd.
Hierbij is door de CISO aangegeven dat vanwege de gevoeligheid van de aard van het proces bewaken en beveiligen, de aard van de gegevens en het belang van de vertrouwelijkheid van de verwerking ervan, dat op voorhand duidelijk is dat een Quickscan informatiebeveiliging niet volstaat en een uitgebreider onderzoek, genaamd Information Risk Assessment Methodology (IRAM) moet worden uitgevoerd. Het uitvoeren van een IRAM is specialistisch werk, waarbij de uitvoer van een enkel onderzoek een relatief lange doorlooptijd vraagt, alsmede benodigde capaciteit. Deze aspecten zijn zeer waarschijnlijk niet (tijdig) via interne medewerkers te realiseren. Om deze reden wordt voorgesteld dat de aanvraag uit wordt gezet bij een externe partij. De uitkomst van het onderzoek zal worden gepresenteerd in een rapport, met daarin (naar verwachting) de mogelijke risico’s, de urgentie en voorstellen tot mitigerende maatregelen. De opdrachtgever van het programma treedt op als opdrachtgever van dit onderzoek. Daarbij zorgt de opdrachtgever voor een opdrachtgeversoverleg waarbij de relevante stakeholders
en expertises zijn betrokken en toegang tot de nodige informatie en contactpersonen wordt georganiseerd. Indien het proceseigenaarschap voor het proces B&B gedurende de looptijd
van het onderzoek wordt ingericht, is het mogelijk dat het opdrachtgeverschap van het programma wordt overgedragen aan de verantwoordelijke proceseigenaar.
Het programma Versterking bewaken en beveiligen heeft als opdracht zorg te dragen voor de opvolging van de aanbevelingen uit de onderzoeksrapporten van de commissie Bos en de OvV. Hierbij dient het programma in lijn te blijven met de door het kabinet aangekondigde vernieuwing en verbetering van het stelsel. Onderdeel van de interne opgave van het OM is de professionalisering van de taakuitvoering bewaken en beveiligen. Hierbij richt het programma zich primair op professionalisering van de taakuitvoering voor zover deze voortvloeit uit de opvolging van de aanbevelingen en de kabinetsreactie.
Om de veranderingen in het kader van de informatiebeveiliging ten opzichte van de huidige situatie in kaart te brengen is een startpunt noodzakelijk. In dit verband is het nodig om als basis voor het onderzoek naar de toekomstige situatie een integraal onderzoek uit te laten voeren naar de informatieveiligheidsrisico’s (IRAM) van het huidige werkproces bewaken en beveiligen. Omdat deze basis nodig is voor het programma Versterking bewaken en beveiligen wordt de opdracht op gezamenlijk initiatief en in gezamenlijk opdrachtgeverschap met de Informatievoorziening OM (IVOM) uitgezet.

Gevraagde werkzaamheden of prestatiedoelstelling: (eventuele taken en verantwoordelijkheden)
De functionaris is verantwoordelijk voor het uitvoeren van gedetailleerde beoordelingen van informatierisico's binnen de organisatie. Deze rol omvat het identificeren, analyseren en beheren van potentiële risico's die de informatiebeveiliging kunnen beïnvloeden.

Verantwoordelijkheden:
Risicoanalyse: Uitvoeren van risicoanalyses op informatiesystemen en bedrijfsprocessen om potentiële bedreigingen en kwetsbaarheden te identificeren;
Beoordeling en Documentatie: Documenteren van bevindingen en aanbevelingen in duidelijke risicobeoordelingsrapporten;
Advies en Begeleiding: Adviseren van het management en andere belanghebbenden over risico beperkende maatregelen en best practices;
Bewustzijn en Training: Verhogen van het bewustzijn van informatiebeveiligingsrisico's binnen de organisatie door middel van training en voorlichtingscampagnes;
Naleving: Zorgen voor naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging en risicobeheer.

Kwalificaties:
Opleiding: Bachelor- of masterdiploma in Informatica, Cybersecurity, Bedrijfskunde of een vergelijkbaar vakgebied;
Ervaring: Minimaal 3-5 jaar ervaring in informatiebeveiliging, risicobeheer of een gerelateerd vakgebied;
Certificeringen: CISA, CCSP, CISM, CISSP, CRISC of vergelijkbare certificeringen.

Vaardigheden:
Uitstekende analytische vaardigheden en probleemoplossend vermogen.
Sterke communicatieve en schriftelijke vaardigheden.
Kennis van risicobeheer frameworks zoals NIST, ISO 27001 of COBIT.

Eisen

• Opleiding: Bachelor- of masterdiploma in Informatica, Cybersecurity, Bedrijfskunde of een vergelijkbaar vakgebied;
• Ervaring: Minimaal 3-5 jaar ervaring in informatiebeveiliging, risicobeheer of een gerelateerd vakgebied;
• Certificeringen: CISA, CCSP, CISM, CISSP, CRISC of vergelijkbare certificeringen.

Competenties

• Detailgerichtheid: Nauwgezet kunnen werken en oog hebben voor detail;
• Samenwerkingsgericht: Effectief kunnen samenwerken met verschillende teams en belanghebbenden;
• Flexibiliteit: Aanpassingsvermogen aan veranderende omstandigheden en prioriteiten.

Aanvullende Informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.