Chief Information Security Officer in Hoofddorp

Chief Information Security Officer

(CISO – 36 uur – schaal 13, max € 6.320,- tijdelijk met uitzicht op vast contract)

Wij zijn op zoek naar een ervaren en gecertificeerde CISO die een bewezen track record heeft in het verder volwassen maken van de security functie binnen (overheids) organisaties.  

Jouw rol als Chief Information Security Officer
Het takenpakket van de CISO heeft een organisatie breed karakter en gaat veel verder dan ICT alleen. Het gaat om een strategische, beleidsmatige adviesfunctie, gericht op de interne bedrijfsvoering en het externe dreigingslandschap van de organisatie. Informatieveiligheid is daarbij het primaire aandachtsgebied. Van daaruit zijn er raakvlakken met privacy, data-archivering, architectuur, informatiemanagement, infrastructuur, fysieke beveiliging en veiligheid, juridische zaken, integriteit en ARBO-veiligheid. De CISO heeft tevens een toezichthoudende en controlerende taak en werkt daarin samen met de concern controller, Functionaris Gegevensbescherming en directeur bedrijfsvoering. In deze hoedanigheid rapporteert de CISO direct aan de gemeentesecretaris en de wethouder verantwoordelijk voor informatiebeveiliging. De functie kenmerkt zich door het speelveld op hoog ambtelijk en bestuurlijk niveau. 

Vanuit jouw jarenlange expertise en ervaring draag je zorg voor de functionele sturing en ondersteuning van de security officers binnen de gemeente (de 1e en 2e lijn informatiebeveiliging). Zij volgen het beleid van de CISO en leggen inhoudelijk verantwoording aan jou af. De recente herpositionering van de CISO van de ICT afdeling naar Corporate Control maakt dat je de kans krijgt die samenwerking vanaf de start mede in te richten.  

Je begeleidt inhoudelijke dossiers vanuit gedegen vakkennis en geeft richting aan de toekomstige ontwikkelingen. Je hebt regelmatig overleg met de concern controller om hem te informeren over de voortgang en neemt deel aan diverse stuur- en werkgroepen (waaronder de iBoard onder voorzitterschap van de CIO) binnen de gemeente waarbij je verantwoordelijk bent voor werkzaamheden die voortkomen uit de jaarplanning. Samen met je collega's bouw je aan een toekomstbestendig en stabiel cluster. Daarnaast vertegenwoordig je de gemeente als CISO in samenwerkingsverbanden en gemeente overstijgende bijeenkomsten. 

Jouw taken en verantwoordelijkheden: 
 

Aansturende taken 

• Functionele/Coördinerende aansturing van de Security Officers, Privacy Officers en de champions in de business;
• Voorzitten en coördineren gemeentebrede Beveiligings Advies Commissie (BAC); 
• Coördineren van beveiligingsincidenten en CERT i.s.m. de FG. 

Beleid 

• Verantwoordelijk voor het ontwikkelen van strategisch securitybeleid en het ontwikkelen en onderhouden van de meerjaren roadmap; 
• Ontwikkelen en aansturen meerjarenplan voor implementatie en actueel houden van de BIO; 
• Periodiek rapporteren over informatiebeveiliging aan directie en college; 
• Gevraagd en ongevraagd advies geven aan management en college; 
• Bevorderen van de security awareness binnen de gemeente; 
• Bevorderen van het inbedden van informatieveiligheid in het primaire proces (1e lijn) en de ondersteunende processen (2e lijn); 
• Toetsen en adviseren omtrent baseline assessments en DPIA’s (i.o.m. FG). 

Implementatie 

• samen met het functionele team de CISO rol verder vormgeven; 
• coördineert de prioritering van informatieveiligheidsmaatregelen uit de informatieveiligheidsanalyse; 
• stelt een afstemmingsmechanisme op voor overleg en rapportage met betrekking tot informatieveiligheid; 
• geeft vorm aan het ISMS en zorgt voor de juiste invulling ervan; 
• onderhoudt de contacten met de VNG/IBD/NCSC/NCTV op strategisch niveau en bent hierin de gemeentelijke Vertrouwde Contactpersoon Informatie Beveiliging (VCIB). 

Evalueren en toetsen 

• verzorgt de 3e-lijns control rol ten aanzien van de gemeentelijke informatiebeveiliging; 
• beoordeelt rapportages van de ISO’s uit de lijn over de naleving van de uitvoeringsrichtlijnen; 
• geeft opdrachten aan het clustermanagement tot het verrichten van interne informatiebeveiligingsonderzoeken en -audits; 
• houdt een centrale registratie bij van informatiebeveiligingsincidenten en van de afhandeling; 
• beoordeelt ontwikkelingen in de maatschappij, de branche en het vakgebied; 
• opstellen kwartaalrapportage, tevens input voor de MARAP concern control. 

Waar ga je werken?

Het cluster Corporate Control is verantwoordelijk voor de opbouw van de gemeente brede control organisatie. Corporate Control opereert onafhankelijk maar niet geïsoleerd: zij is de natuurlijke sparringpartner van college, directie en clustermanagement op het gebied van control vraagstukken. Het cluster is gepositioneerd rechtstreeks onder de Gemeentesecretaris/Algemeen Directeur.

Wat neem je mee? 

Je hebt een sterke affiniteit met risicomanagement, audit, IT, architectuur, privacyvraagstukken en informatiebeveiliging. Je bent goed in staat te functioneren op het snijvlak van business en IT. Je hebt goede beheersing van de Nederlandse taal, zowel schriftelijk als mondeling. Je hebt ervaring met het werken bij de (lokale) overheid.

De vaktechnische competenties die bij deze functies horen zijn:

• Diepgaande kennis en vaardigheden op het gebied van het vakgebied privacy en informatiebeveiliging, in het bezit van minimaal 2 van onderstaande certificeringen: CISM (CertifiedInformation Security Manager), CISA (Certified Information Security Auditor), CISSP (Certified Information Systems Security Professional), CIPP/E (Certified Information Privacy Professional /Europe), CIPM (Certified Information Privacy Manager); 
• Kennis van en ervaring met Business Continuity Management; 
• Kennis van en ervaring met relevante industrie standaarden en raamwerken (ITIL Foundation, ISO 2700x – COBIT – OWASP – BIO – NCSC Beveiligingsrichtlijnen – GeVS – BAG – PUN- GBA/BRP – AVG) is gewenst. 

Naast de bovengenoemde competenties, vinden wij het belangrijk dat je:

• beschikt over WO werk en denkniveau (variërend van Bestuurskunde tot Technische Informatica) en jezelf hebt gespecialiseerd op Cyber Security Gebied. 
• minimaal 10 jaar relevante werkervaring op het gebied van informatiebeveiligingsmanagement; 
• kennis en ervaring met veranderprocessen.

Wat wij bieden

• Een salaris tussen € 4.730,- max. € 6.302,- (schaal 13) op basis van een 36-urige werkweek;
• Functie voor 36 uur per week, die in onderling overleg flexibel kunnen worden ingevuld;
• Individueel Keuze Budget van 17,05% van het bruto jaarsalaris dat je kunt laten uitbetalen of waarmee je bijv. extra vakantiedagen kunt kopen;
• Om je werk te kunnen verrichten wordt een laptop en mobiele telefoon ter beschikking gesteld;
• Veel ruimte voor eigen ontwikkeling en initiatief;
• In overleg is er mogelijkheid tot thuiswerken;
• Een werkomgeving waarin talenten maximaal worden ontplooid en waar je jouw ambities kunt waarmaken;
• Doorgroei- en opleidingsmogelijkheden.