Opdrachtomschrijving
De CCMO is een groeiende organisatie met een ambitieus strategisch businessplan wat resulteert in een strategische IV / IT behoefte. Digitale weerbaarheid is hierbij een belangrijk thema. Bovenal moeten medewerkers en stakeholders van de CCMO worden ondersteund bij de uitvoering van de medisch-ethische toetsing door gebruiksvriendelijke en digitaal weerbare IT-systemen en een duurzame informatievoorziening.
De CCMO heeft het afgelopen jaar belangrijke stappen gezet op het gebied van informatiebeveiliging. Zowel op het gebied van beleid, risicobeheersing en beveiliging van het National Collaboration Platform, Onderzoeksportaal (OP) en de Microsoft-omgeving. Daarmee is het fundament neergezet waarop de CCMO verder wil bouwen aan duurzame informatieveiligheid.
De groei en ambitie van het CCMO stelt hogere eisen aan digitale weerbaarheid en de naleving van informatiebeveiliging- en privacy vereisten. Daarnaast stelt de nieuwe Europese NIS2 wetgeving extra eisen voor digitale veiligheid. Een structureel hoger informatiebeveiliging- en privacy volwassenheidniveau is noodzakelijk om onze digitale weerbaarheid structureel te verbeteren en daarna langjarig vast te houden.
De CCMO wil haar digitale weerbaarheid en privacy compliance verder verbeteren en borgen binnen de processen van de organisatie. Een gerichte aanpak en investering in informatiebeveiliging- en privacy zullen niet alleen onze digitale weerbaarheid en compliance op korte termijn verbeteren, maar ook de CCMO voorbereiden op toekomstige uitdagingen en wetgeving op dit aandachtsgebied.
Vandaar is de CCMO op zoek naar een senior IB&P expert die in staat is om geheel zelfstandig en in beperkte tijd de CCMO digitaal weerbaarder te maken. We hebben op dit moment voor ogen dat de IB&P expert de volgende resultaten in vier aandachtsgebieden realiseert:
1. Beleid en coördinatie
Je stelt beleidskaders en verbeterplannen op voor de beveiliging van informatiesystemen, voor back-up en herstel, voor veiligheid in de leveranciersketens, en voor privacy beheersing. Tevens lever je een nieuw meerjarenplan voor IB&P op bij waarin verbeteractiviteiten zijn geprioriteerd. Je stelt procedures op om het privacy beleid te borgen, waaronder voor het actualiseren van het AVG-register en de verwerkersovereenkomsten. Je brengt de leveranciersketen in kaart, identificeert risico’s, en stelt maatregelen voor om deze te mitigeren. Je helpt de CCMO bij het opstellen van rapportages over informatiebeveiliging en privacy aan VWS.
2. Risicomanagement
Je voert het IB&P risicomanagement proces uit, zodat risicoanalyses periodiek worden uitgevoerd, duidelijk is welke maatregelen er genomen worden, op welke termijn, door wie en wie eigenaar is van het risico. Je brengt het cloudgebruik in kaart, voert (quick scan) risicoanalyses uit op cloudapplicaties en stelt exit-plannen op wanneer nodig. Je toetst het AVG-register en de verwerkersovereenkomsten op actualiteit en werkt deze bij waar nodig. Je houdt het risicoregister bij en ziet toe op de opvolging van geïdentificeerde risico’s.
3. Advies en rapportage
Je adviseert het management bij nieuwe en lopende ICT-voorzieningen. Je maakt verbeterplannen (op maatregelniveau) om informatiebeveiliging en privacybescherming naar een hoger niveau te tillen en levert ondersteuning bij de uitvoering daarvan.
4. Communicatie en voorlichting
Je voert bewustwordingsacties uit gebied van IB&P waarbij je aansluiting zoekt op de cultuur van de organisatie en de specifieke behoeften binnen de context van de bedrijfsprocessen. Je geeft voorlichting en training aan de organisatie in het veilig en verantwoord omgaan met informatie en informatiesystemen.
Kennis, ervaring, competenties en vaardigheden
Je hebt een opleiding binnen een relevante richting zoals information security management of information technology afgerond; Je beschikt over relevante certificeringen op het gebied van informatiebeveiliging, bij voorkeur CISSP, eventueel aangevuld met CISM (of vergelijkbaar); Je beschikt over relevante certificeringen op het gebied van privacy, bij voorkeur CIPP/E en/of CIPM (of vergelijkbaar); Je hebt minimaal 5 jaar aantoonbare recente ervaring in een soortgelijke functie op een vergelijkbaar niveau, en met de implementatie van en specialistische kennis over informatiebeveiliging en privacy; Je hebt aantoonbaar ervaring met het uitvoeren van risicoanalyses en het implementeren van beveiligingsnormen zoals ISO27001, de Baseline Informatiebeveiliging Overheid (BIO)en de AVG; Kennis van de actuele stand van zaken en mogelijkheden van ICT (besturingssystemen, netwerken, standaarden, ontwikkel- en beheermethoden); Je durft verantwoordelijkheid te nemen en toont initiatief; Je hebt strategisch/tactisch inzicht en bent procesmatig sterk; Je hebt gevoel voor bestuurlijke- en politieke verhoudingen en besluitvormingsprocessen; Je beschikt over uitstekende schriftelijke en mondelinge vaardigheden (NL & EN); Je beschikt over uitstekende adviesvaardigheden en een hands-on mentaliteit. Kennis en ervaring bij de Rijksoverheid, kennis en ervaring met het ministerie van VWS, de CCMO of een van haar ketenpartner ‘s is een pré.