Chief information security officer

Opdrachtomschrijving Voor de afdeling Data, Technologie en Innovatie (DTI) zoeken we een Chief Information Security Officer ter versterking van het team. Je rapporteert in deze rol direct aan het hoofd van de afdeling. Waar de AFM-toezicht houdt op de informatiebeveiliging van de financiële markten, houd je als Chief Information Security Officer toezicht op de informatiebeveiliging van de AFM zelf. Wij begrijpen dat sterke informatiebeveiliging de ruggengraat vormt van ons succes en vertrouwen. De AFM wil haar infomation security structureel versterken en professionaliseren. Jouw opdracht is om een stevig fundament neer te zetten voor informatiebeveiliging, inclusief beleid, governance, processen en bewustwording binnen de organisatie. De organisatie is door het opzetten van een nieuwe afdeling (Data, Technologie en Innovatie

• DTI) , waar security een belangrijk onderdeel van wordt, op zoek naar een ervaren kandidaat (specialist) die in de CISO rol vorm kan geven aan de strategische richting, maar ook aan een pragmatisch en technisch implementatieplan. Als Chief Information Security Officer heb je een zelfstandige en coördinerende rol ten aanzien van informatiebeveiliging binnen de AFM. Je bent het aanspreekpunt voor alles dat met informatiebeveiliging te maken heeft en je ondersteunt de verantwoordelijke afdelingen binnen de AFM bij het opzetten en implementeren van informatiebeveiligingsbeleid en maatregelen. Resultaatgebieden voor deze opdracht zijn:

• Strategie en Beleid: opstellen en implementeren van een inf. beveiligingsstrategie, doorontwikkeling van beleid en richtlijnen, vertalen van risico’s naar concrete maatregelen
• Roadmap/borging: opstellen van meerjarige security roadmap, zorgen voor overdracht en borging,
• Governance en Organisatie: adviseren en inrichten waar nodig van securityrollen, verantwoordelijkheden en besluitvorming rondom security, adviseren van management over risico’s en prioriteiten
• Risicomanagement: uitvoeren van risico-analyses, onderhouden van een risicoregister
• Operationele security: monitoren, evalueren en verbeteren van bestaande securitymaatregelen, initiëren van verbetertrajecten
• AFM-breed NIS/BIO2.0 implementatieplan
• Informatiebeveiliging voor leveranciersmanagement bij transitie en transformatie naar nieuwe leverancier.

Eisen Minimaal een afgeronde Hbo-opleiding met een sterke IT en risk-component. Minimaal 10 jaar ervaring als CISO (of senior security lead)

Wensen Aantoonbare jarenlange ervaring als CISO (of senior security lead) Ervaring met relevante frameworks (ISO 27001, CIS, NIST) Aanvullende opleiding op het gebied van informatiebeveiliging (CISM, CISA, CRISC) Aanvullende opleiding op het gebied van audit en business continuity management Natuurlijke overtuigingskracht Bestuurlijke adviesvaardigheid Ervaring met governance, toezicht en regelgeving Communicatief sterk Strategisch inzicht icm hands-on mentaliteit

Let op: kandidaten dienen te beschikken over goede kennis van privacywetgeving (AVG), verantwoord gebruik van AI (zoals Copilot) en informatie- en databeveiliging, voor zover dit relevant is voor de rol.

Arbeidsvoorwaarden Het betreft een opdracht met een beoogde startdatum per z.s.m. met een looptijd tot en met 30 september 2026. De opdracht is voor 32 uur per week. Er is een optie tot verlenging tot uiterlijk 31 december 2026.

Aanvullende informatie Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.