Departementale Chief Information Security Officer (CISO)

De departementale Chief Information Security Officer (CISO) maakt onderdeel uit van het CIO-office JenV/AenM en is namens het voorportaal van de CIO-raad JenV/AenM i.c. CISO-board, verantwoordelijk voor professionele, rechtmatige en doelmatige uitvoering van de aan hem/haar toegekende taken. Hij/zij vertegenwoordigt het ministerie ook interdepartementaal op haar taakgebied binnen de context van het CIO-stelsel Rijksdienst. De focus ligt op de uitvoering en er is sprake van een adviserende, ondersteunende, aanjagende en kaderstellende rol op inhoud richting de CIO-raad en de taakorganisaties en beleidsonderdelen.

De departementale CISO heeft geen beslisbevoegdheid en zorgt voor periodieke afstemming op inhoud tussen de CxO’s, te weten de departementale CPO, CDO en CTO onderling én richting de plv CIO JenV/Aenm, tevens voorzitter CIO-office vanuit zijn/haar toezichthoudende rol.

De departementale CISO zorgt voor departementaal informatiebeveiligingsbeleid en -kaderstelling zodat informatievoorzienings- en digitaliseringsontwikkelingen en -beheer zo kan worden vormgegeven dat zij kunnen voldoen aan de veiligheidsvoorwaarden. De CISO is primair verantwoordelijk voor de informatiebeveiligingsvisie, -strategie en -governance en het informatiebeveiligingsbeleid van het gehele departement. Daarnaast zorgt de CISO voor de vertaling van en bijdrage aan het rijksbeleid. De CISO adviseert over, bewaakt en zorgt voor optimaal gebruik van kennis en middelen op het gebied van informatiebeveiliging conform de gestelde strategie.

Dit is een tweedelijns functie waar samen wordt gewerkt met diverse functionarissen uit

verschillende lagen van de organisatie, waaronder de departementale CPO, CDO en CTO en de CISO’s van de taakorganisaties.

Hij/zij draagt verder zorg voor implementatie, toezicht, evaluatie en bijstelling van beleid en aanpak van ernstige incidenten, calamiteiten en crises. Het beleid en de kaderstelling dient enerzijds het juiste houvast te bieden opdat de (taak)organisatie-CISO’s hier goed naar kunnen refereren en het dient anderzijds voldoende flexibiliteit te bieden dat de CISO van de taakorganisatie kan zorgdragen voor de invulling die de specifieke kenmerken van zijn/haar verantwoordingsgebied vragen.

Informatiebeveiliging vraagt extra inzet en kosten door de toegenomen externe dreiging. De functie adviseert en creëert draagvlak op departementaal topniveau om de benodigde beveiligingsacties/projecten en inzet hierin rond te krijgen. Daarnaast zorgt hij/zij voor de vertaling van maatschappelijke, politiek-bestuurlijke en technologische ontwikkelingen naar de consequenties op zijn taakgebied.

Er is sprake is van strategisch en gevoelige vraagstukken op politiek-bestuurlijk of maatschappelijk terrein door de toename van externe cyberdreigingen (van criminele organisaties tot statelijke actoren) en de digitalisering van de primaire processen maken dat informatiebeveiliging chefsache is van de ambtelijke top en de aandacht heeft van de politieke leiding. De taak van de departementale CISO is om de keuze op het gebied van informatiebeveiliging te vertalen naar politieke-bestuurlijke keuzes en hier positie in te nemen naar de ambtelijke en politieke top.

De informatiebeveiliging is het primaire onderdeel van het informatievoorzieningsbeleid en heeft vanwege de digitalisering van primaire processen direct impact op de primaire processen.

Daarnaast is er sprake van verantwoording naar ministeries in de ketens waarin JenV deel uitmaakt en naar het Ministerie van BZK (CIO en CISO Rijk). Bovendien legt de departementale CISO zelfstandig verantwoording af over bestuurlijke de lagen heen: naast CIO-niveau en ambtelijke leiding is dat ook aan CIO-Rijk en rechtsreeks aan CISO-Rijk.

Taken, verantwoordelijkheden en bevoegdheden

De CISO heeft de volgende bevoegdheden:

• Het gevraagd en ongevraagd adviseren over het beleidsgebied van de betreffende CISO.
• Het opvragen van informatie bij CxO’s, CIO’s en het verantwoordelijk management van de organisatie(- onderdelen) om inzicht te verkrijgen in de stand van zaken met betrekking tot naleving van wet- en regelgeving en beleid binnen het beleidsgebied van de betreffende CISO.
• Kan de departementale CIO adviseren te escaleren naar SG of minister in het geval van, mogelijk, ernstig nalaten van de naleving van wetgeving, met als doel de inbreuk weg te nemen en schade te beperken.

De CISO is verantwoordelijk voor:

• Het opstellen van een informatiebeveiligingsvisie, -strategie en -governance voor het departement, de inrichting daarvan binnen het departement en het monitoren van de werking binnen de dienstonderdelen.
• Het inrichten van een PDCA-cyclus en het daarmee monitoren van de stand van zaken van de naleving van informatiebeveiligingswet- en regelgeving en informatiebeveiligingsbeleid bij alle dienstonderdelen.
• Het informeren van de leden van de bestuursraad over uitkomsten van de stand van zaken en adviseren over de te nemen vervolgstappen.
• Het adviseren van de ambtelijke en politieke leiding van het departement over complexe vraagstukken met een informatiebeveiligingscomponent.

De CISO heeft onder meer de volgende taken:

• Adviseert over, bewaakt en zorgt voor optimaal gebruik van kennis en middelen op het gebied van informatiebeveiliging en de vertaling van en bijdrage aan het rijksbeleid.
• Haalt informatie over informatiebeveiligingsrisico’s op bij de onderdelen van het ministerie.
• Adviseert op basis van analyse van decentrale en centrale informatie en oplossingsadviezen of de kaders en richtlijnen moeten worden bijgesteld.
• Geeft, indien nodig en na afstemming met de departementale CIO, namens de secretaris-generaal aanwijzingen met betrekking tot het eigen aandachtsgebied in het CxO-stelsel, in het geval van een, mogelijke, ernstige en acute inbreuk op de kaders. Dit geld voor het hele departement.
• Geeft gevraagd en ongevraagd advies aan de organisatie over vraagstukken op het gebied van informatiebeveiliging en rapporteert over het gevoerde beleid, voortgang van de implementatie van maatregelen, incidenten, onderzoeken en audits.
• Heeft een belangrijke rol in het stimuleren van het beveiligingsbewustzijn binnen de organisatie.
• Adviseert de BVA inzake de afhandeling van informatiebeveiligingsincidenten (waaronder datalekken) die meer dienstonderdelen of departementen betreffen.
• Definieert de informatiebeveiligingsstrategie (inclusief het hieruit voortvloeiende informatiebeveiligingsbeleid) en organiseert en stuurt de informatiebeveiliging van de organisatie overeenkomstig de behoeften en de risicobereidheid van de organisatie.
• Adviseert JenV-breed en Rijksbreed (CISO beraad maar ook bij andere overleggen met bijvoorbeeld een NCSC of de AIVD)over de strategische doelstellingen en het strategisch beleid (waarbij de BVA als toezichthouder fungeert) op het gebied van informatiebeveiliging en geeft aan waar de informatiebeveiliging breed I-beleid raakt en wat de consequenties zijn voor I-beleid en kaderstelling.
• Coördineert de afstemming met de concernonderdelen via de Chief Information Security Officers (CISO’s) van de decentrale onderdelen binnen JenV.
• Is verantwoordelijk voor het creëren van draagvlak binnen het gehele concern, het uitdragen en verdedigen van het informatiebeveiligingsbeleid en het functioneren van het centrale – decentrale stelsel op het gebied van informatiebeveiliging.
• Toetst de stand van zaken met betrekking tot informatiebeveiliging binnen het gehele departement, rapporteert over de voortgang en legt verantwoording af over de informatiebeveiliging van het gehele departement.
• Stuurt op politiek-bestuurlijk niveau, heeft regie op contacten intern bij JenV en met het Rijksbrede CISO overleg, wat als voorportaal dient voor het CIO beraad en mobiliseert alle partijen en creëert draagvlak om verbeteringen te realiseren. Het gaat hier om multidisciplinaire, complexe verbeterprojecten waarbij primaire processen en andere werkterreinen op het gebied van beveiliging en i-beleid geraakt worden en waarbij verbinding en samenwerking tussen deze werkterreinen van groot belang is.
• Is verantwoordelijk voor departementsbrede onderzoeken en verbeterprogramma’s en –projecten op het gebied van informatiebeveiliging. De CISO stuurt deze verbeterprogramma’s aan, zorgt ervoor dat onvolkomenheden opgelost worden en dat het volwassenheidsniveau van JenV op het aandachtsgebied stijgt.

Functie-eisen

• WO-niveau ondersteund met een afgeronde opleiding op het gebied van informatiebeveiliging, securitymanagement, cybersecurity, IT security of vergelijkbaar.
• Opleidingen of trainingen gevolgd op het gebied van Informatietechnologie zoals CISM, C/CISO en/of CISSP
• Minimaal vijf jaar werkervaring binnen een grote (overheids)organisatie in een sturende functie en actuele kennis op het gebied van informatiebeveiliging in grote (overheid)organisaties.
• Ervaring met het adviseren op bestuurlijk niveau of binnen complexe organisaties.
• Sterke analytische en probleemoplossende vaardigheden en in staat om beleidsmatige vraagstukken te vertalen naar concrete adviezen.
• Uitstekende communicatievaardigheden, zowel mondeling als schriftelijk.

Competenties

• Organisatiesensitiviteit: Houdt rekening met de gevolgen van interne ontwikkelingen, beslissingen en acties voor de organisatie. Herkent gevoeligheden, risico’s en kansen en handelt daarnaar.
• Bestuurssensitiviteit: Houdt rekening met de gevolgen van ontwikkelingen, beslissingen en acties voor de bewindspersonen, het beleid en de ambtelijke top. Herkent politieke en bestuurlijke gevoeligheden, risico’s en kansen en handelt daarnaar.
• Overtuigingskracht: Spant zich in om anderen te winnen voor een idee of standpunt. Gebruikt logische, onderbouwde en relevante argumenten.
• Omgevingsbewustzijn: Houdt rekening met relevante externe ontwikkelingen en omstandigheden. Signaleert ontwikkelingen en omstandigheden die invloed hebben op het eigen werkterrein en vertaalt externe ontwikkelingen en omstandigheden naar het eigen werkterrein.
• Netwerken: Ontwikkelt, onderhoudt en benut relaties en contacten, binnen en buiten de organisatie in binnen- en buitenland, om informatie en medewerking te verwerven. Legt en onderhoudt contacten met voor de eigen functie relevante personen en organisaties. Wisselt informatie uit met relevante personen en organisaties.
• Aansturen organisatie: Geeft vanuit een visie sturing aan de organisatie. Vertaalt de missie en visie van de organisatie in een strategie en operationele doelen. Draagt de strategie en operationele doelen uit én stuurt op het realiseren van de strategie en de operationele doelen.
• Aansturen groep: Stuurt binnen een groep op samenwerking en op het bereiken van doelen. Benut de kwaliteiten en eigenschappen van de groepsleden optimaal. Spant zich in om een hecht teamverband te bereiken.
• Ontwikkelen medewerkers: Bevordert en begeleidt de ontwikkeling van medewerkers. Stimuleert medewerkers om zich te ontwikkelen binnen de huidige functie en richting toekomstige functies.
• Reflecteren: Reflecteert op eigen functioneren, het functioneren van de organisatie en het maatschappelijk domein (van de functie) en creëert daarbij een veilig leerklimaat onder invloed van nieuwe zienswijzen. Heeft inzicht in de eigen sterke punten en ontwikkelkanten. Kent het effect van het eigen gedrag op anderen en de omgeving. Staat open voor nieuwe zienswijzen op de ontwikkeling van de organisatie.

Arbeids­voorwaarden

• Salaris­niveau

schaal 14

Maand­salaris: Min €5864 – Max €8550