Opdracht

Gemeenten zijn verantwoordelijk voor de omgang met en beveiliging de informatiehuishouding, waaronder persoonsgegevens. Hieruit volgen verplichtingen op zowel het terrein van informatieveiligheid als privacy:

we moeten voldoen aan de Baseline Informatieveiligheid Gemeenten (BIG), hét geldende normenkader voor gemeenten op het gebied van informatiebeveiliging;

we moeten vanaf 25 mei 2018 voldoen aan de Europese Algemene Verordening Gegevensbescherming (AVG), de opvolger van de Wet bescherming persoonsgegevens (Wbp).

Op beide onderwerpen weten we waar we staan in Pijnacker-Nootdorp. De opgave is breed en omvangrijk. Het betreft zowel ‘papier’ als ‘techniek’, maar gaat meer nog om ‘mensen’: werken aan i-bewustzijn in de volle breedte van de organisatie. Op projectbasis is eind 2017 van start gegaan met een ‘inhaalslag’ op zowel de BIG als de AVG. Deze inhaalslag is een noodzakelijke, maar geen voldoende voorwaarde voor het structureel bestuurlijk en organisatorisch borgen van informatieveiligheid en privacy. We moeten een tandje bijschakelen om aan (nieuwe) wettelijke verantwoordelijkheden te voldoen. Een Ciso (chief information security officer) en een  FG (functionaris gegevensbescherming) zijn noodzakelijke rollen voor borging van de BIG en voor het voeren van regie op informatieveiligheid en privacy.

Landelijk is de rol van Ciso en FG nog niet volledig uitgekristalliseerd. Door veranderende regelgeving  en de groeiende hoeveelheid aan compliance regels is de verwachting dat de twee rollen in de komende jaren nog in omvang en belang toenemen. Eind 2017 is de afspraak gemaakt dat de sturing op informatieveiligheid en privacy voor een periode van twee jaar organisatorisch verankerd wordt bij de Directiestaf in de vorm van een kwartiermaker Ciso en een kwartiermaker FG.

De Ciso dient op basis van de BIG zorg dragen voor een samenhangend pakket van maatregelen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen onze organisatie.

De werkzaamheden van de kwartiermaker Ciso zijn op te delen in vier resultaatgebieden.

 

1. Beleid en coördinatie

Het actualiseren van het informatiebeveiligingsbeleid (langere termijn).

Het (laten) opstellen van informatiebeveiligingsplannen voor afdelingen of deelgebieden (jaarplannen) en daarmee het coördineren van de werkzaamheden van personen, afdelingen en instanties die betrokken zijn bij de uitvoering van het informatiebeveiligingsbeleid.

Het organiseren van en deelnemen aan een coördinerend overleg met betrekking tot informatiebeveiliging.

Het volgen van nieuwe ontwikkelingen en wetgeving op het gebied van informatiebeveiliging.

 

2. Advies en rapportage

Het geven van gevraagd en ongevraagd advies aan bestuur en/of verantwoordelijk (lijn)management van de organisatie ten aanzien van informatiebeveiliging. 

Het rapporteren aan de directie over het gevoerde beleid met betrekking tot informatiebeveiliging, de voortgang van implementatie van nieuwe maatregelen, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en resultaten van controles.

Het optreden als projectmanager bij beveiligingsprojecten, waarbij aansturing wordt gegeven aan projectleiders binnen organisatorische eenheden.

Het afstemmen van informatiebeveiliging met lopende projecten binnen de organisatie.

Het uitwerken van beveiligingsplannen ten aanzien van de maatregelen, evenals het leveren van ondersteuning bij het uitvoeren van de geaccepteerde plannen.

Het verder omschrijven van het functieprofiel van de Ciso, onder andere  in omvang, zwaarte en wenselijke positionering. Dit als basis voor de definitieve invulling van de rol van Ciso na de periode van kwartiermakerschap.

 

3. Controle en registratie

Het toezicht houden op de implementatie en naleving van het informatiebeveiligingsbeleid.

Het opstellen van een controleplan, evenals het leveren van ondersteuning bij het uitvoeren van de daarin gedefinieerde taken.

Het uitvoeren of initiëren van risicoanalyses en interne audits, in samenwerking met de concerncontroller en het team Control van de afdeling Bedrijfsvoering.

Het verzamelen en registreren van informatie over de aanwezige beveiligingsmaatregelen.

Het opzetten of initiëren van een registratie voor beveiligingsincidenten, evenals het afhandelen van opgetreden incidenten en het nemen van preventieve maatregelen ter voorkoming van dergelijke incidenten.

 

4. Communicatie en voorlichting: i-bewustzijn

Het verzorgen en coördineren van communicatie en interne opleidingen van het personeel op het gebied van informatiebeveiliging en i-bewustzijn.

Het stimuleren van het beveiligingsbewustzijn en het opstellen, uitvoeren en onderhouden van een communicatieplan.

Het onderhouden van externe en interne contacten op alle niveaus binnen dit resultaatgebied.

Deze functie is voor 32 uren per week, met de mogelijkheid tot vermindering van het aantal uren na verloop van tijd indien de situatie daar aanleiding toe geeft.

 

Gunningscriteria (weging)

Minimaal afgeronde HBO/WO bachelor opleiding (10%);

Aantoonbare kennis van en werkervaring met de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG), bij voorkeur een afgeronde Ciso opleiding (10%)

Aantoonbare kennis van en aantoonbare werkervaring met ISO 27001/27002 (10%)

Minimaal 1 jaar aantoonbare kennis en werkervaring met de actuele stand van zaken en mogelijkheden van ICT (besturingssystemen, netwerken, standaarden, ontwikkel- en beheermethoden, beveiligingstechnieken zoals encryptie) (20%);

Minimaal 3 jaar aantoonbare werkervaring met informatievoorziening bij de gemeente waarvan minimaal 1 jaar met informatiebeveiliging (30%);

Kennis en ervaring op het gebied van adviseren, organisatiekunde, verandermanagement en projectmatig werken en projectmanagement (10%)

Selectiegesprek in de tweede beoordelingsfase (20%)

Geef in het cv duidelijk aan in hoeverre u / de door u aangeboden kandidaat aan de genoemde criteria voldoet. Wordt aan het betreffende gunningscriterium voldaan dan wordt in de eerste beoordelingsfase het bijbehorende percentage geheel toegekend. De kandidaten worden vervolgens aan de hand van de scores die op de gunningscriteria zijn behaald gerangschikt. De tien kandidaten met de hoogste score op de gunningscriteria gaan door naar de tweede beoordelingsfase. Bij een gelijke score is het uurtarief doorslaggevend om door te gaan naar de tweede beoordelingsfase.

In de tweede beoordelingsfase worden de cv’s van de betreffende tien kandidaten met elkaar vergeleken op basis van de gunningscriteria. De kandidaten die in deze vergelijking als beste worden beoordeeld, worden uitgenodigd voor een selectiegesprek, waarin wordt getoetst of de kandidaten voldoen aan de hierna te noemen competenties:

goede communicatieve vaardigheden, zowel mondeling als schriftelijk;

goed kunnen samenwerken met verschillende disciplines op verschillende niveaus;

gevoel voor politiek-bestuurlijke verhoudingen;

alert, initiatiefrijk, omgevingsbewust en proactief;

teamspeler;

integer;

denkt in termen van oplossingen en niet in problemen en is overtuigend.