Aanvraag 2021012 – Chief Information Security Officer (CISO)

Opdrachtgever                  : Waternet

Startdatum                         : zsm

Einddatum                         : 31 december 2021 (met optie op verlenging)

Locatie                                 : Hoofdkantoor Waternet en vanuit huis

Uurtarief ex btw                : Maximaal €112,50

Uur per week                     : 36

Functieomschrijving

De informatiebeveiliging is binnen Waternet niet op orde. Uitkomsten van verschillende informatiebeveiligings- onderzoeken hebben eind vorig jaar uitgewezen dat Waternet niet voldoet aan vigerende normenkaders voor informatiebeveiliging. Waternet staat daarnaast sinds 2 april 2021 onder verscherpt toezicht door de ILT in verband met tekortkomingen in de informatiebeveiliging. In dit kader is een verbeterplan opgesteld. Onderdeel in dit verbeterplan is de tijdelijke versterking van de CISO-functie met een CISO ad interim. De CISO ad interim heeft opdracht om samen met de huidige CISO het CISO-office vorm te geven en door te ontwikkelen. Onder meer het vigerende informatie- beveiligingsbeleid en richtlijnen moet worden aangescherpt en doorontwikkeld. Het proces van ISMS binnen Waternet moet worden ingericht, ingevoerd en geborgd. Samen met de programmamanager informatievoorziening moeten de geconstateerde bevindingen worden weggenomen. De CISO a.i. werkt nauw samen met de huidige CISO en de ISO’s.

Beschrijving behoefte:

We zoeken een pragmatische en zeer ervaren CISO die samen met de huidige CISO de regie pakt, het CISO-office vorm
geeft en verder door ontwikkelt en de informatiebeveiliging coördineert over de hele breedte van Waternet. Denk daarbij aan onze primaire processen, zoals het maken van drinkwater, beheer van het oppervlaktewater en het schoonmaken van afvalwater. Maar ook aan de digitale werkplekken, het beheer van onze website en de digitalisering van onze klantenservice. De CISO is hét aanspreekpunt voor informatiebeveiliging, zowel binnen als buiten de organisatie.

De taken van de CISO-functie:

·       Je bent het aanspreekpunt voor informatiebeveiliging, zowel binnen als buiten Waternet;

·       Je onderhoudt actief contact met belangrijke stakeholders binnen en buiten Waternet, onder andere met Gemeente Amsterdam, op het vlak van informatiebeveiliging;

·       Je zorgt voor een verdere invulling en vormgeving van de IB-organisatie;

·       Je geeft functionele sturing aan het CISO-office en geeft deze verder vorm;

·       Je rapporteert aan de directie en het bestuur over de kwaliteit van en ontwikkelingen in informatiebeveiliging bij Waternet;

·       Je zorgt voor een ingericht ISMS proces (opzet, bestaan en werking);

·       Je geeft gevraagd en ongevraagd advies aan bestuur, directie en management;

·       Je voert (risico)analyses en audits uit of laat die uitvoeren;

·       Je zorgt voor aanscherpen en verbeteren het beveiligingsbeleid en ziet erop toe dat het nageleefd wordt;

·       Je zorgt voor integratie van informatiebeveiligingsbeleid met andere vakgebieden, zoals IT, privacy, inkoop,
assetmanagement en risicomanagement;

·       Je maakt de gehele organisatie Waternet bewuster met betrekking tot informatiebeveiliging;

·       Je vertaalt en adviseert over relevante landelijke, maatschappelijke en politiek-bestuurlijke ontwikkelingen;

·       Je beheert de roadmap security en ziet toe op het vullen van de backlog van het security team;

·       Je geeft het advies waarmee en stelt de kaders waarbinnen de agile teams aan de slag kunnen;

·       Je zorgt voor een goede afhandeling van beveiligingsincidenten en rapporteert daarover aan directie en management;

·       Je vertegenwoordigt Waternet naar buiten toe, zoals bij het Waterschapshuis, het Nationaal Cyber Security Centre (NCSC) en voor het Bestuursakkoord Water.

De CISO-functie is een gezaghebbende adviesrol binnen Waternet. Je leidinggevende is in de directeur IV en je rapporteert aan directie en management. Op termijn wordt de CISO en CISO-office geplaatst onder de directeur Financiën & Control. Je bepaalt mede de werkzaamheden van het security team, onder meer door het vertalen van
de roadmap naar de backlog van het security team. Je overlegt regelmatig met de functionaris gegevensbescherming, de privacy-officer en de archivaris. Je bent het aanspreekpunt voor eventuele datalekken met gegevens van Waternet en stemt in geval van persoonsgegevens voor de opvolging af met de functionaris gegevensbescherming.

Beschrijving afdeling/team:

Het nieuw op te richten CISO-office, exclusief de CISO a.i., bestaat uit totaal 4 FTE (3 FTE ISO en 1 FTE CISO) .

Eisen (knock-out)

1.      Afgeronde HBO of WO-opleiding.

2.      Minimaal 10 jaar aantoonbare kennis en ervaring met informatiebeveiliging en risicoanalyse/-beheersing.

3.      Minimaal 3 jaar aantoonbare ervaring als CISO bij een organisatie van minimaal 1000 FTE.

4.      Gecertificeerd voor CISM, CISA, CISSP of vergelijkbare certificaten.

5.      Aantoonbare kennis van en ervaring met het toepassen van de ISO 27001/27002, BIO en de IEC62443.

De kandidaat dient te beschikken over de volgende competenties:

6.      Verbinden: medewerkers motiveren, verbinden en de samenwerking stimuleren zowel binnen als buiten het team bemaling.

7.      Duidelijk communiceren: goed je eigen menig kunnen onderbouwen met heldere argumenten.

8.      Leiderschap: Taakgericht leiding geven, je kunt een team aansturen, overtuigen en klantgericht werken.

9.      Innovatief: Innovatief zijn, ideeën verbeteren en probleemoplossend werken?

10.   Planmatig: organisatievermogen, zorgvuldig, planmatig en resultaatgericht kunnen werken.

11.   Stressbestendig: je bent in staat om onder tijdsdruk te kunnen werken en je kunt goed schakelen. In geval van calamiteiten zelfstandig handelend op te treden als coördinator scenario.

12.   Analytisch: Breed analyseren en in staat om hoofd- en bijzaken te scheiden.

13.   Bestuurlijke sensitiviteit: weet wat er speelt, wat bestuurders drijft en weet zich effectief te manifesteren in complexe krachtenvelden.

Deze competenties worden getest in een gesprek.

Wensen (samen 100%)

14.   Aantoonbare kennis en ervaring in het opzetten en uitvoeren van een CISO-office inclusief borging van de processen in de organisatie (40%)

a.      0 tot 1 jaar

b.      1 t/m 2 jaar

c.      3 tot 5

d.      5+ jaar

15.   Hoeveelheid kennis en ervaring met het inrichten, invoeren en borgen van een ISMS proces of het verbeteren daarvan (30%)

a.      0 tot 1 jaar

b.      1 t/m 2 jaar

c.      3 tot 5

d.      5+ jaar

16.   Hoeveelheid kennis en ervaring met omgevingen met procesautomatisering of Operational Technology (20%)

a.      0 tot 1 jaar

b.      1 t/m 2 jaar

c.      3 tot 5

d.      5+ jaar

17.   Ervaring met het coachen van medewerkers (10%)

Weging eisen en wensen: 10% Prijs, 90% Kwaliteit

Deze aanvraag s.v.p. niet zonder overleg publiceren of doorsturen als eigen aanvraag.