Chief Information Security Officer (CISO) in Utrecht

Voor de afdeling Bedrijfsvoering, team I&A is de provincie Utrecht op zoek naar een:
Chief Information Security Officer (CISO)
32 - 40 uur, tijdelijke aanstelling voor 2 jaar
Ben jij van mening dat informatiebeveiliging prima samengaat met ambities zoals open, transparant, ketensamenwerking en burgerparticipatie? Lees dan verder…

Een provincie waar het fijn is om te zijn. Waar je met plezier woont, werkt en recreëert. Waar je snel en veilig van A naar B kunt komen. Waar altijd iets gebeurt. Dat is Utrecht! Dáár zetten zo’n 1.000 betrokken medewerkers zich dagelijks voor in.
Werken bij de Provincie Utrecht betekent een waardevolle bijdrage leveren aan de oplossing van maatschappelijke vraagstukken. Of het nu gaat om mobiliteit, natuur of cultuur de provincie speelt slagvaardig in op ontwikkelingen in de samenleving. Dat vraagt om een organisatie waarin innovatie de continue factor is. Focus op de omgeving, interne samenwerking, integraal denken en ruimte voor experimenteren zijn daarin onze speerpunten. Onze organisatiestructuur, met zelfstandig opererende teams en een kleine concerndirectie, vormt de basis. Ruimte geven aan ontwikkeling van de medewerkers vormt de randvoorwaarde voor ons succes.
De afdeling
De afdeling Bedrijfsvoering zorgt voor de bedrijfsvoering van het gehele concern. Dit doet ze door een hoge mate van integratie op het gebied van kaderstelling, advisering en uitvoering binnen de PIJOFAH-kolommen. De informatievoorziening van de provincie Utrecht digitaliseert en automatiseert in een hoog tempo. De afdeling Bedrijfsvoering dient tevens te zorgen dat de informatievoorziening van de provincie voldoet aan de wettelijke eisen m.b.t. informatieveiligheid en privacy. De provincie heeft de ambitie om uiterlijk in 2022 gecertificeerd te zijn op dit gebied (ISO 27001 en 2). Wij zoeken de CISO die vanuit de afdeling Bedrijfsvoering, team I&A onderdeel Kaderstelling, verantwoordelijk is voor informatieveiligheid binnen de hele provincie.

Om invulling te kunnen geven aan maatschappelijke opgaven, doelstellingen en taken moet de provincie Utrecht en haar samenwerkingspartners er op kunnen vertrouwen dat informatie veilig en betrouwbaar is. De provincie Utrecht zoekt daartoe een Chief Information Security Officer (CISO). Als CISO zorg je voor het ontwikkelen van strategie en beleid gericht op informatiebeveiliging, bevorder en coördineer je de ontwikkeling van uitvoeringsrichtlijnen en zie je toe op de realisatie daarvan. Jij zorgt ervoor dat de provincie Utrecht uiterlijk in 2022 het ISO 27001 en 2 certificaat binnenhaalt en aantoonbaar in procesvolwassenheid is gegroeid. Als CISO ben je aanspreekpunt voor de ambtelijke en bestuurlijke top. Je adviseert hen op strategisch en tactisch niveau en rapporteert daarnaast als intern toezichthouder. Je adviezen zijn gericht op het ontwikkelen, helpen vaststellen en/of realiseren van strategische doelstellingen. Je bent in staat om in de uitvoering van je werkzaamheden in te spelen op (her-)prioritering in beleidsdoelstellingen en uitkomsten van onderhandelingsprocessen. Ook verwerf je draagvlak  voor de ontwikkeling en implementatie van beleid, nieuwe ideeën, werkmethoden en technieken.
Als CISO ben je succesvol door onder meer:
Beleid en Management

• zorg te dragen voor het (laten) opstellen en actualiseren van (lange termijn) beleid, strategie, uitvoeringsbeleid en richtlijnen m.b.t de informatieveiligheid;
• het (laten) opstellen van informatiebeveiligingsplannen voor deelgebieden (jaarplannen);
• functioneel leiding te geven aan de Information Security Officers (Concern en Domein) en ondersteunt hen bij de uitvoering van hun taken;
• het opstellen van een meerjarenplanning voor onderzoeken (inclusief audits) op het gebied van informatiebeveiliging en de daarbij behorende status- en voortgangsrapportages;
• concern brede projecten voor informatiebeveiliging te initiëren en toezicht op te houden;
• het volgen van nieuwe ontwikkelingen en wetgeving op het gebied van informatiebeveiliging en privacy;
• de provincie te vertegenwoordigen in externe gremia.

Control en Advies

• toezicht te houden op de inrichting en werking van de organisatie m.b.t. informatiebeveiliging en het informatiebeveiligingsbeleid

Advies en Rapportage

• uitvoering te (laten) geven aan risico assessments, security testen (pentesten), inrichten en een interne controle framework
• onafhankelijk te adviseren, gevraagd en ongevraagd, aan het verantwoordelijk (lijn)management, m.n. de algemeen directeur en het bestuur m.n. GS over informatiebeveiliging
• te rapporteren aan de directie over het gevoerde beleid met betrekking tot informatiebeveiliging, de voortgang van implementatie van nieuwe maatregelen, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en resultaten van controles

Communicatie en voorlichting

• zorg te dragen voor voorlichtingen en trainingen
• als ambitieuze CISO steeds op zoek te gaan naar mogelijkheden om te innoveren, waar mogelijk met behulp van relevante bedrijven en onderwijsinstellingen
• contact te onderhouden en samen te werken op strategisch niveau m.b.t. informatieveiligheid met externe partijen, waaronder andere provincies en het NCSC (Nationaal Cyber Security Center)

De CISO werkt nauw samen met de Security Officer, Functionaris Gegevensbescherming en Privacy Officer voor de informatiebeveiliging en beveiliging van de persoonsgegevens. Daarnaast is de relatie met CCO van belang i.v.m. de audits en assessments.

Wij vinden een gezonde balans tussen werk en privé belangrijk, evenals het nemen van eigen verantwoordelijkheid. Iedereen krijgt de kans om naar eigen vermogen te werken, flexibel op een werkplek die op jou is ingericht. De ontwikkeling van onze medewerkers is immers een randvoorwaarde voor ons succes. De grootte en diversiteit van onze organisatie bieden jou volop ontwikkelmogelijkheden.
Naast uitdagend werk, leuke collega’s en een dynamische omgeving bieden we jou:

• Een tijdelijke aanstelling voor de duur van 2 jaar
• Een salaris van maximaal € 5.812,69 bruto per maand (schaal 13)
• Bovenop je salaris het Individuele Keuze Budget (o.a. vakantiegeld en eindejaarsuitkering) van 22,37% bovenop je maandelijkse salaris
• De mogelijkheid om jezelf verder te ontwikkelen via een persoonlijk ontwikkelbudget

We verwachten dat je energie haalt uit nieuwe ontwikkelingen en van nature innovatief bent. Daarnaast heb je een ambitieuze visie op het gebied van informatieveiligheid. Ingewikkelde materie weet je op een begrijpelijke manier uit te leggen en op papier te zetten. Je bent assertief en weet je op een prettige wijze rolvast op te stellen. Je weet wat er speelt in de organisatie en bent communicatief vaardig. Zo praat je net zo makkelijk met medewerkers op de werkvloer als met een algemeen directeur!
Je bent in staat om snel nieuwe informatie te doorgronden en een eigen netwerk op te bouwen. Je herkent urgentie en ernst van risico’s, maakt de juiste afweging en managet tijdige mitigatie. Je hebt geduld en doorzettingsvermogen bij weerstand. Ook voorzie je hoe een strategie moet worden vertaald naar operationele activiteiten.
Verder vragen wij:

• Een afgeronde relevante WO opleiding (business IT & Management, Informatiemanagement, Security management of Bedrijfskunde)
• Minimaal 5 jaar ervaring met advisering op strategisch niveau
• Minimaal 5 jaar relevante werkervaring in een vergelijkbare functie
• Kennis van en ervaring met het behalen van het ISO 27001 en 2 certificaat
• Kennis van en analytisch inzicht in bedrijfsprocessen, wet– en regelgeving en de informatiebehoefte van de lokale overheid is vereist

Functie-wensen
Persoonlijke eigenschappen

• Enthousiast en resultaatgerichte CISO met visie
• Werkt graag in een team maar vindt ook zelfstandig de weg
• De combinatie van een scherp analytisch inzicht, een aanpakkersmentaliteit en samenwerkingsgerichtheid maakt jou tot een kundig CISO
• Je kwaliteiten komen het best tot zijn recht in een dynamische en innovatieve organisatie, waar behoefte is aan een nuchtere persoonlijkheid, die in staat is de grote lijnen te zien, zonder daarbij de details uit het oog te verliezen
• Integriteit, leiderschap, organisatiesensitiviteit, omgevingsbewustzijn, overtuigingskracht, onderhandelen en netwerkvaardigheid

Vaardigheden

• Vaardig in projectmatig en programmatisch werken
• Vaardig met (ICT-)verandertrajecten in een organisatie (op strategisch en tactisch niveau)
• Vaardig in het adviseren van topmanagement en bestuur

Kennis

• Training/leergang CCISO, CISSP, CISM, CISA of gelijkwaardig, bij voorkeur gecertificeerd
• Kennis van en ervaring met audits en risicoanalyses
• Kennis van en ervaring met ISO 27001/2 IBI, BIO en AVG
• Kennis van en analytisch inzicht in bedrijfsprocessen, wet– en regelgeving en de informatiebehoefte van de provincie is een pré
• Je hebt aantoonbaar brede kennis van ICT en informatiebeveiliging, organisatie van de informatievoorziening en business processen.

Een assessmentonderzoek maakt deel uit van de procedure.
Bij indiensttreding wordt er om een Verklaring Omtrent Gedrag (VOG) gevraagd.