CISO (Chief Information Security Officer)

CISO (Chief Information Security Officer)

Functieomschrijving

Sta jij voor het waarborgen van de informatiebeveiliging in onze processen en bedrijfscultuur, dan zoeken we jou!

Beschrijving werkzaamheden
Als chief information security officer (CISO) vertaal jij onze visie, strategie en beleidskaders naar een gedegen informatiebeveiliging voor DUO. Je analyseert alle signalen die verband houden met informatieveiligheid, duidt risico’s, onderneemt actie wanneer nodig en stuurt bij. Ook borg en richt je het continuïteitsmanagement in. Dit geldt ook voor de te hanteren methoden, technieken, hulpmiddelen en voorschriften rondom awareness, bedrijfscontinuïteitsmanagement en beveiligingsanalyses. Informatiebeveiliging heeft daarmee een bredere definitie dan enkel de technische vraagstukken. Op dat specifieke vlak wordt nauw samengewerkt met het team Security Management van de directie ICT.

Als CISO vervul je een sleutelrol als het gaat om de structurele borging (by design) van informatiebeveiliging in de processen en systemen van DUO. Vanuit het aspect ‘businesscontinuïteit’ ben je onderdeel van het strategisch crisisteam van DUO. Je overlegt regelmatig met de beveiligingscoördinator, de ICT securitymanager en compliancy-adviseurs van DUO én met vakgenoten van het ministerie van Onderwijs, Cultuur en Wetenschap (met name de CISO van het ministerie). Kortom, jij vertegenwoordigt DUO op het gebied van informatie-veiligheid zowel binnen als buiten de organisatie.

De CISO is onderdeel van het CIO-stelsel. In het 3lijnsmodel is de functie gepositioneerd in de 2e lijn. Hiërarchisch gepositioneerd bij de eenheid Compliance van de directie Bedrijfsvoering, maar functioneel vallend onder de aansturing van de CIO. Het toezicht vanuit de 3e lijn op dit vakgebied ligt bij de Beveiligingscoördinator. De BVC-functie wordt sinds kort bekleed door de voormalige CISO, waardoor voor deze functie nu wordt geworven. De CIO is hiërarchisch gepositioneerd onder de hoofddirecteur Financiën en Services, maar adviseert het gehele bestuur en directie-team. Dezelfde organisatorische opzet geldt voor de CPO (Privacy) en CAIMO (Archief- en Informatiemanagement), waarmee de CISO in een nauwe samenwerking opereert.

We vragen van jou dat je in staat bent om met visie, standvastigheid en overtuiging een zichtbare positie in te nemen in een complexe omgeving op strategisch en tactisch niveau. Je bent daarin wendbaar en je kunt incasseren in een situatie waarin het aankomt op de lange adem, agenderen en beïnvloeden in een 3lijns-model. Je bent je bewust van de omgeving waarin je opereert en je weet te netwerken. Je kan met uiteenlopende vraagstukken om gaan en je kunt snel schakelen. Je bent communicatief vaardig, zowel mondeling als schriftelijk en beschikt over de nodige overtuigingskracht. Je legt makkelijk verbanden tussen verschillende soorten informatie en komt met integrale analyses van vraagstukken/problemen. Je bent adviesvaardig en weet hierbij goed om te gaan met weerstand.

Meer over jouw toekomstige afdeling

De afdeling Compliance is onderdeel van de directie Bedrijfsvoering. Deze directie ondersteunt alle onderdelen van DUO met een aantal services. Van facilitair en financieel-administratief tot informatievoorziening, communicatie en dus compliance. Dit vanuit een servicegerichte benadering, maar ook met een monitorende en toetsend rol.

Compliance bestaat uit zes clusters: Informatiebeveiliging, Privacy, Archief- en Informatiemanagement, Wet open overheid (Woo), de Centrale Klachtenfunctionaris en Bedrijfsjuridische Zaken. Bijna 30 specialisten zijn bij deze zes clusters werkzaam. We kenmerken ons zelf als divers, enthousiast, open en gedreven. We zetten sterk in op samenwerking en open communicatie, gaan op een respectvolle manier met elkaar om, en vertrouwen op elkaars capaciteiten. Wil je je vakinhoudelijk en persoonlijk nog verder ontwikkelen? Daarvoor is bij ons alle ruimte.

De CISO is onderdeel van het cluster Informatiebeveiliging binnen de eenheid Compliance. Dit cluster heeft een omvang van 7 medewerkers (incl. CISO). Gezamenlijk geven zij een vertaling van het beleid naar voorschriften en kaders. Daarbij wordt het KAMT-model gehanteerd (Kaderen, adviseren, monitoren en toetsen). Het team ondersteunt daarmee het management in de 1e lijn en de adviseurs compliancy bij de verschillende directies (1e lijns-ondersteuning). Er is in de huidige situatie geen formele aansturingslijn ingericht tussen de 2e en 1e lijns-ondersteuning. De rol van de CISO in het team is in ontwikkeling, waarbij de insteek is om de rol van de CISO in de coördinatie van het team te verminderen. Daarmee kan de CISO meer ruimte nemen om als strategisch en tactisch adviseur zichtbaar te zijn.

Functie-eisen

• Je hebt wo werk- en denk niveau en recente aantoonbare werkervaring op het vlak van informatiebeveiliging bij een complexe organisatie.
• Je hebt kennis van en inzicht in het information security management framework. Je hebt kennis van en aantoonbare ervaring met CISSP, bij voorkeur aangevuld met of kennis van CISA, CISM en/of CRISC, BIO, NIS2 en ISO27001/2.
• Je hebt ruime ervaring met risicomanagement, waaronder het kunnen faciliteren van risk assessments en BIO-SelfAssessments.
• Je hebt kennis en ervaring met het implementeren van CMA/GRC-methoden en –technieken.
• Je beschikt over de volgende competenties: analytisch vermogen, oordeelsvorming, visie, externe oriëntatie, communicatieve flexibiliteit en overtuigingskracht, organisatiesensitiviteit, omgevingsbewustzijn en netwerkvaardig.