Information Security Officer (ISO)

Functieomschrijving

Je bent dé specialist op het gebied van informatiebeveiliging en risicomanagement. Je versterkt en professionaliseert het risicomanagementproces en implementeert (wettelijke) beveiligingseisen binnen de organisatie.

Wat ga je doen?

• Ontwikkelen, actualiseren en monitoren van beleid, kaders en procedures op het gebied van informatiebeveiliging, risicomanagement en compliance (BIO2 en Cyberbeveiligingswet/NIS2).
• Regie voeren op het risicomanagementproces: identificeren, analyseren, beleggen en monitoren van risico’s bij proceseigenaren en management.
• Zorgen dat risico’s aantoonbaar worden gemitigeerd en voortgang volgen via de GRC-tool en het ISMS.
• Opzetten en bijhouden van een actueel overzicht van assets (inclusief IoT) en integratie in het risicomanagementproces.
• Versterken van leveranciersmanagement door ketenrisico’s inzichtelijk te maken, contractuele beveiligingseisen te toetsen en leveranciers te beoordelen op BIO2/NIS2-compliance.
• Implementatie van BIO2- en NIS2-maatregelen vertalen naar concrete acties binnen de organisatie.
• Ondersteunen en adviseren bij DPIA’s, risicoanalyses, security assessments en audits; opstellen van heldere adviesrapportages.
• Ontwikkelen en beheren van het Information Security Management System (ISMS) namens de CISO en bijdragen aan professionalisering en aantoonbaarheid.
• Plannen en uitvoeren van Business Impact Analyses (BIA’s) en vertalen van uitkomsten naar beheersmaatregelen.
• Ondersteunen bij audits (zoals ENSIA) en zorgen voor dossiervorming en bewijsvoering.
• Vertegenwoordigen van informatiebeveiliging in overleggen en projecten; verbinding leggen met IT, infrastructuur, bedrijfsvoering en management.
• Actief volgen van ontwikkelingen rondom NIS2 en BIO2 en vertalen naar impact en maatregelen.
• Adviseren van collega’s en management over informatiebeveiliging en risicomanagement.
• Bijdragen aan bewustwording en gedragsverandering via campagnes, trainingen en gerichte communicatie.

Kandidaatprofiel

Wat breng je mee?

• Afgeronde relevante hbo- of wo-opleiding (bijv. (technische) bedrijfskunde, informatiemanagement, cybersecurity, rechten).
• Minimaal 3 jaar ervaring als Information Security Officer (ISO) of vergelijkbare rol binnen een politiek-bestuurlijke organisatie.
• Aantoonbare en actuele kennis van informatiebeveiliging, risicomanagement en governance, inclusief BIO2 en de Cyberbeveiligingswet (NIS2).
• Ervaring met inrichten en uitvoeren van risicomanagementprocessen (identificeren, analyseren, beleggen en monitoren van risico’s).
• Kennis van en ervaring met leveranciersmanagement en ketenrisico’s; stellen en toetsen van beveiligingseisen.
• Affiniteit met assetmanagement, inclusief risico’s rondom IoT en niet-traditionele assets.
• Bij voorkeur relevante certificeringen zoals CISM, CISSP, CRISC of vergelijkbaar.
• Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk.

Wie ben je?

• Een stevige adviseur die schakelt tussen strategisch, tactisch en operationeel niveau.
• Combinatie van visie en executiekracht; ontwikkelt kaders en zorgt voor implementatie en naleving.
• Verantwoordelijk en regisserend in het volwassen maken van risicomanagement.
• In staat belangen in een politiek-bestuurlijke omgeving af te wegen; zichtbaar, verbindend en netwerkend.
• Volgt ontwikkelingen rond BIO2 en NIS2 en vertaalt deze naar verbeteringen; creëert bewustwording en brengt vernieuwing en structuur.

Competenties

• Proactief en resultaatgericht
• Analytisch sterk, met focus op risico’s en samenhang
• Overtuigingskracht en bestuurlijke sensitiviteit
• Organisatiebewust en verbindend
• Flexibel en pragmatisch
• Sterke communicatieve vaardigheden (mondeling en schriftelijk)

Referentie en VOG

• Referentie: het kunnen opvragen van referenties kan onderdeel zijn van de procedure; opgave van een relevante referentie kan vereist zijn.
• VOG: het overleggen van een Verklaring Omtrent het Gedrag kan vereist zijn voordat werkzaamheden aanvangen.

Eisen:

1. aantoonbaar een afgeronde relevante HBO- of WO-opleiding, bijvoorbeeld in de richting van (technische) bedrijfskunde, informatiemanagement, cybersecurity of rechten
2. aantoonbaar minimaal 3 jaar werkervaring als Information Security Officer binnen een gemeente, provincie of overheid in de afgelopen 5 jaar. Referentie vereist
3. aantoonbaar actuele kennis van informatiebeveiliging, risicomanagement en governance, inclusief de BIO2 en de Cyberbeveiligingswet (NIS2)

Wensen:

• aantoonbaar ervaring met het inrichten en uitvoeren van risicomanagementprocessen (identificeren, analyseren, beleggen en monitoren van risico’s)
• aantoonbaar kennis van en ervaring met leveranciersmanagement en ketenrisico’s, inclusief het stellen en toetsen van beveiligingseisen
• aantoonbaar ervaring met assetmanagement, waaronder het inzichtelijk maken en beheersen van risico’s rondom IoT en andere (niet-traditionele) assets
• Je hebt bij voorkeur relevante certificeringen zoals CISM, CISSP, CRISC of vergelijkbaar
• Bij deze opdracht worden na de eerste selectieronde met een aantal partijen interviews afgenomen. Deze wegen mee in de uiteindelijke beoordeling. Deze interviews worden beoordeeld volgens de hieronder aangegeven criteria. Resultaten/praktijkvoorbeelden vanuit vorige werkzaamheden. Competenties voor deze uitvraag. In hoeverre de kandidaat overtuigt de opdracht succesvol af te ronden

• De meeste functies zijn tijdelijke functies voor een langere periode. Soms met uitzicht op vast.
• ZZP is niet altijd mogelijk.
• Goede beheersing van het Nederlands is voor alle functies vereist
• Ervaring bij een overheidsorganisatie is een grote pré, soms een eis.
• We ontvangen graag jouw CV in het Nederlands, liefst in Word format.
• Vermeld je functies en werkzaamheden inclusief jaartallen en maanden, meest recente bovenaan.