Opdrachtomschrijving
In je rol als ervaren (Information) Security Officer ben je verantwoordelijk voor het opstellen van kaders rond de sturing, compliance en risico's van informatiebeveiliging, met speciale aandacht voor de veiligheid van bestaande en nieuwe cloudomgevingen. In je takenpakket zit * Advisering (adviseer het management over potentiële afwijkingen en risico's, suggereer passende maatregelen, beleid en werkinstructies) * Controle: ontwikkel en implementeer controlemechanismen om de effectiviteit van het geïmplementeerde beleid te beoordelen. * Beleidsimplementatie: draag bij aan de implementatie van ISO27001, de Baseline Informatiebeveiliging Overheid (BIO) en DIGI-D, inclusief de voorbereiding voor audits. *Afwijkingbehandelplannen en Rapportages: stel plannen op voor het omgaan met afwijkingen en bereidt gedetailleerde rapporten voor over de beveiligingsstatus van de organisatie. Risico- en Root Cause Analyses: zelfstandig uitvoeren van diepgaande analyses uit om potentiële risico's en de onderliggende oorzaken van beveiligingsproblemen te identificeren.
Achtergrond opdracht
Als ervaren (Information) Security Officer bij DICTU lever je een maatschappelijke bijdrage door de veiligheid van een cruciale publieke IT- organisatie te versterken! Je stelt kaders, adviseert en controleert vanuit een tweedelijnsfunctie op naleving, terwijl je expertise in cloudbeveiliging, BCM en cryptografie cruciaal is voor DICTU's overgang naar een multi-cloudomgeving. Je draagt bij aan de implementatie van ISO 27001-normen en werkt nauw samen met collega's om de veiligheid van DICTU en haar klanten dagelijks te verbeteren.
Functie eisen
- 2 of meer van de volgende (of vergelijkbare) certificeringen: C/CISO, CCSP, CCSK, CSPM, CISSP, CISM, ISP
- Ervaring in cybersecurity: U moet bekend zijn met het ontwerpen, implementeren en handhaven van cybersecuritymaatregelen in een organisatie. Dit kan ook het beheren van incidentrespons, het uitvoeren van risicobeoordelingen en het waarborgen van de naleving van de regelgeving omvatten. (5 jaar)
- U heeft ervaring met het opstellen van een uitgebreid informatiebeveiligingsbeleid in een grootschalige organisatie (500+ werknemers), waaronder de afstemming van het beleid op organisatorische doelstellingen en regelgevende eisen, en de implementatie ervan binnen de organisatie. (4 jaar)
- Ervaring met compliance: Kennis van relevante beveiligingsstandaarden en regelgeving, zoals ISO 27001, ENISA, BIO, NIS en AVG. (2 jaar)
Competenties
Sterke mondelinge en schriftelijke uitdrukkingsvaardigheid: U bent in staat om complexe cybersecurityconcepten duidelijk te communiceren, zowel schriftelijk als mondeling, aan diverse belanghebbenden variërend van technische teams tot leidinggevenden. U hebt de vaardigheid om beleidsdocumenten te creëren en te bewerken, en u kunt overtuigend spreken tijdens vergaderingen en presentaties.Risicogericht denken en handelen: U begrijpt de cruciale rol die risicobeheer speelt in cybersecurity en handelt proactief om potentiële bedreigingen te identificeren en te mitigeren. U bent in staat om risico's te kwantificeren en te kwalificeren, en u gebruikt deze inzichten om de beveiligingsstrategie en -operaties te sturen.Daadkrachtig handelen: In een veld dat voortdurend evolueert, toont u initiatief en besluitvaardigheid. U bent in staat om snel te reageren op nieuwe informatie, en u neemt beslissingen die zowel de huidige als toekomstige cybersecuritypositie van de organisatie ten goede komen.Organisatiesensitiviteit: U begrijpt de cultuur, structuur en werking van onze organisatie. U kunt inspelen op de belangen van verschillende stakeholders en u weet hoe u veranderingen kunt doorvoeren in een complexe organisatorische omgeving.
Aanvullende kennis
ISO 27001:2022: U bent bekend met de meest recente versie van de ISO 27001-norm voor informatiebeveiligingsbeheer. U begrijpt de eisen die door deze norm worden gesteld en hoe deze toe te passen in een organisatorische context. U heeft aantoonbare ervaring met het voorbereiden van een organisatie op ISO 27001-certificering, inclusief de ontwikkeling en implementatie van de vereiste beleidsregels, procedures en controles.Risicomethodiek: IRAM2, RAVIB en/of Mapgood: U heeft grondige kennis van een of meerdere van deze risicobeoordelingsmethodologieën. Of het nu gaat om het Information Risk Analysis Methodology (IRAM2) framework, de Risicoanalyse voor Informatiebeveiliging (RAVIB) aanpak, of de Mapgood methodiek, u begrijpt hoe deze modellen werken en hoe ze te gebruiken om informatiebeveiligingsrisico's te identificeren, kwantificeren en prioriteren. U heeft ervaring met het toepassen van deze methoden in een praktijkomgeving en het vertalen van de resultaten in effectieve risicobestrijdingsstrategieën.
Overige wensen
Ervaring met het meten van volwassenheidsniveaus voor informatiebeveiliging: U hebt ervaring met het gebruik van beoordelingsmodellen zoals het Cybersecurity Maturity Model om de huidige staat van informatiebeveiliging binnen een organisatie te beoordelen en te verbeteren.Ervaring met de implementatie en het toezicht op cryptografisch beleid: U heeft ervaring met het opstellen en handhaven van beleid met betrekking tot de veilige opslag, overdracht en gebruik van cryptografische sleutels en certificaten.Leidende rol in een Business Continuity Management proces: U heeft aantoonbare ervaring met het leiden van een organisatie door het proces van het ontwikkelen, implementeren en onderhouden van een business continuity plan, inclusief risicobeoordeling, strategieontwikkeling en het testen van het plan.
