Senior Informatiebeveiligingsfunctionaris (ISO) 36u/w
Volgnummer: 92381
Publicatiedatum: 11-06-2025
Locatie: UTRECHT
Standplaats: UTRECHT
Duur: 23-06-2025 - 23-12-2025
Optie tot verlenging: Ja
Reageren voor: 13-06-2025
Context
Het Centrum Indicatiestelling Zorg (CIZ) bevindt zich in een fase waarin het verder versterken van de informatiebeveiliging en het borgen van compliance met relevante normen en wetgeving centraal staat. Als zelfstandig bestuursorgaan (ZBO) binnen het zorgdomein werkt het CIZ intensief samen met externe leveranciers voor de levering en het beheer van ICT-diensten. Binnen deze context is behoefte aan een ervaren en technisch onderlegde Senior Informatiebeveiligingsfunctionaris die het CISO-office versterkt.
Doel van de opdracht
De Senior ISO draagt zorg voor het structureel verbeteren van de informatiebeveiliging en het aantoonbaar verhogen van compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NEN 7510 en de aankomende verplichtingen uit de NIS2-richtlijn (Cyberbeveiligingswet). De ISO fungeert daarnaast als stevige gesprekspartner richting leveranciers en is verantwoordelijk voor het vastleggen, opvolgen en rapporteren van beveiligingsrisico’s in de GRC-tooling van het CIZ.
Resultaatgebieden en Deliverables
Complianceversterking (BIO, NEN 7510, NIS2)
•
• Uitwerken en realiseren van bestaande verbetermaatregelen op basis van eerder uitgevoerde gap-analyses.
• Actualiseren en formaliseren van beleid, richtlijnen en procedures om naleving te borgen.
• Voorbereiden van het CIZ op externe toetsing, waaronder NEN 7510-audits en toezicht op basis van de Cyberbeveiligingswet.
Risicobeheersing en GRC
•
• Verantwoordelijk voor het vastleggen en onderhouden van risico’s, maatregelen en rest-risicoacceptaties in de GRC-tooling.
• Adviseren van de CISO en de organisatie over risicobeheersing, dreigingen en mitigatiestrategieën.
• Opstellen van rapportages, risicodashboards en voortgangsanalyses ten behoeve van management en governance.
Leveranciersmanagement en technische interfacing
•
• Fungeren als inhoudelijk gesprekspartner voor leveranciers op het gebied van technische beveiligingsmaatregelen (zoals logging, netwerksegmentatie, IAM, encryptie, patchbeleid).
• Toetsen en aanscherpen van bestaande security-afspraken in SLA’s, DPA’s en verwerkersovereenkomsten.
• Initiëren van technische beveiligingstoetsen, waaronder penetratietests en technische assessments.
• Toepassen van actuele kennis van Microsoft Azure cloud security, waaronder het beoordelen van configuraties en implementaties van beveiligingsfuncties zoals Conditional Access, Defender for Cloud, Key Vault, en Azure Policy.
Business Continuity Management (BCM)
•
• Ondersteunen bij het opzetten en onderhouden van het BCM-beleid en bijbehorende scenario's en plannen.
• Afstemmen van BCM-maatregelen met leveranciers en interne proceseigenaren.
• Adviseren over beschikbaarheidsrisico’s en herstelmaatregelen in relatie tot informatiebeveiliging.
Bewustwording en ondersteuning organisatie
•
• Signaleren van structurele knelpunten in beveiligingsgedrag of naleving van beleid.
• Verhogen van het beveiligingsbewustzijn via gerichte communicatie en sessies.
• Ondersteunen bij het datalekproces en andere beveiligingsincidenten.
Gevraagde expertise en competenties
•
• Aantoonbare ervaring als (senior) ISO in een overheids- of zorgcontext.
• Diepgaande kennis van BIO, NEN 7510, ISO 27001, NIS2 en bij voorkeur ook de AVG.
• Ervaring met GRC-tools voor risico- en compliancebeheer.
• Inzicht in technische beveiligingsmaatregelen op netwerkniveau, systeembeheer en applicatiearchitectuur.
• Grondige kennis van Microsoft Azure cloud security en ervaring met het beoordelen van cloudarchitecturen op compliance en risico’s.
• Vaardig in het managen van leveranciersrelaties en het voeren van technische gesprekken met externe partijen.
• Analytisch sterk, resultaatgericht en communicatief vaardig.
Aanvullende informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.
Gesprekken vinden plaats op:
•
• Maandag 23 juni tussen 14.15 – 16.30 uur
• Dinsdag 24 juni tussen 9.15 – 11.00 uur
• Dinsdag 24 juni tussen 15.35 – 17.00
Bij de aanbieding graag het e-mailadres en het telefoonnummer vermelden in het CV.
Functie-eisen:
ISO
BIO
AVG
Cloud Solliciteer nu!
Duur: 23-06-2025 - 23-12-2025
Optie tot verlenging: Ja
Reageren voor: 13-06-2025
Context
Het Centrum Indicatiestelling Zorg (CIZ) bevindt zich in een fase waarin het verder versterken van de informatiebeveiliging en het borgen van compliance met relevante normen en wetgeving centraal staat. Als zelfstandig bestuursorgaan (ZBO) binnen het zorgdomein werkt het CIZ intensief samen met externe leveranciers voor de levering en het beheer van ICT-diensten. Binnen deze context is behoefte aan een ervaren en technisch onderlegde Senior Informatiebeveiligingsfunctionaris die het CISO-office versterkt.
Doel van de opdracht
De Senior ISO draagt zorg voor het structureel verbeteren van de informatiebeveiliging en het aantoonbaar verhogen van compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NEN 7510 en de aankomende verplichtingen uit de NIS2-richtlijn (Cyberbeveiligingswet). De ISO fungeert daarnaast als stevige gesprekspartner richting leveranciers en is verantwoordelijk voor het vastleggen, opvolgen en rapporteren van beveiligingsrisico’s in de GRC-tooling van het CIZ.
Resultaatgebieden en Deliverables
Complianceversterking (BIO, NEN 7510, NIS2)
•
• Uitwerken en realiseren van bestaande verbetermaatregelen op basis van eerder uitgevoerde gap-analyses.
• Actualiseren en formaliseren van beleid, richtlijnen en procedures om naleving te borgen.
• Voorbereiden van het CIZ op externe toetsing, waaronder NEN 7510-audits en toezicht op basis van de Cyberbeveiligingswet.
Risicobeheersing en GRC
•
• Verantwoordelijk voor het vastleggen en onderhouden van risico’s, maatregelen en rest-risicoacceptaties in de GRC-tooling.
• Adviseren van de CISO en de organisatie over risicobeheersing, dreigingen en mitigatiestrategieën.
• Opstellen van rapportages, risicodashboards en voortgangsanalyses ten behoeve van management en governance.
Leveranciersmanagement en technische interfacing
•
• Fungeren als inhoudelijk gesprekspartner voor leveranciers op het gebied van technische beveiligingsmaatregelen (zoals logging, netwerksegmentatie, IAM, encryptie, patchbeleid).
• Toetsen en aanscherpen van bestaande security-afspraken in SLA’s, DPA’s en verwerkersovereenkomsten.
• Initiëren van technische beveiligingstoetsen, waaronder penetratietests en technische assessments.
• Toepassen van actuele kennis van Microsoft Azure cloud security, waaronder het beoordelen van configuraties en implementaties van beveiligingsfuncties zoals Conditional Access, Defender for Cloud, Key Vault, en Azure Policy.
Business Continuity Management (BCM)
•
• Ondersteunen bij het opzetten en onderhouden van het BCM-beleid en bijbehorende scenario's en plannen.
• Afstemmen van BCM-maatregelen met leveranciers en interne proceseigenaren.
• Adviseren over beschikbaarheidsrisico’s en herstelmaatregelen in relatie tot informatiebeveiliging.
Bewustwording en ondersteuning organisatie
•
• Signaleren van structurele knelpunten in beveiligingsgedrag of naleving van beleid.
• Verhogen van het beveiligingsbewustzijn via gerichte communicatie en sessies.
• Ondersteunen bij het datalekproces en andere beveiligingsincidenten.
Gevraagde expertise en competenties
•
• Aantoonbare ervaring als (senior) ISO in een overheids- of zorgcontext.
• Diepgaande kennis van BIO, NEN 7510, ISO 27001, NIS2 en bij voorkeur ook de AVG.
• Ervaring met GRC-tools voor risico- en compliancebeheer.
• Inzicht in technische beveiligingsmaatregelen op netwerkniveau, systeembeheer en applicatiearchitectuur.
• Grondige kennis van Microsoft Azure cloud security en ervaring met het beoordelen van cloudarchitecturen op compliance en risico’s.
• Vaardig in het managen van leveranciersrelaties en het voeren van technische gesprekken met externe partijen.
• Analytisch sterk, resultaatgericht en communicatief vaardig.
Aanvullende informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid. De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever. Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening. Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst. Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst. Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren. Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.
Gesprekken vinden plaats op:
•
• Maandag 23 juni tussen 14.15 – 16.30 uur
• Dinsdag 24 juni tussen 9.15 – 11.00 uur
• Dinsdag 24 juni tussen 15.35 – 17.00
Bij de aanbieding graag het e-mailadres en het telefoonnummer vermelden in het CV.
Functie-eisen:
ISO
BIO
AVG
Cloud Solliciteer nu!