Information Security Officer (ISO) (AI26-1640)

• Je ontwikkelt, actualiseert en monitort beleid, kaders en procedures op het gebied van informatiebeveiliging, risicomanagement en compliance (BIO2 en Cyberbeveiligingswet/NIS2).
• Je voert regie op het risicomanagementproces: je identificeert risico's, helpt deze te analyseren en zorgt dat ze actief worden belegd bij proceseigenaren en management.
• Je borgt dat risico's aantoonbaar worden gemitigeerd en volgt de voortgang via de GRC-tool en het ISMS.
• Je draagt zorg voor het opzetten en bijhouden van een actueel overzicht van assets, waaronder IoT-toepassingen, en integreert deze in het risicomanagementproces.
• Je versterkt het leveranciersmanagement door risico's in de keten inzichtelijk te maken, contractuele beveiligingseisen te toetsen en leveranciers te beoordelen op compliance met BIO2 en NIS2.
• Je werkt verder aan de implementatie van BIO2- en NIS2-maatregelen en vertaalt deze naar concrete acties binnen de organisatie.
• Je ondersteunt en adviseert bij DPIA's, risicoanalyses, security assessments en audits en stelt heldere adviesrapportages op.
• Je ontwikkelt en beheert (namens de CISO) het Information Security Management System (ISMS) en draagt bij aan verdere professionalisering en aantoonbaarheid.
• Je plant en voert Business Impact Analyses (BIA's) uit en vertaalt de uitkomsten naar concrete beheersmaatregelen.
• Je ondersteunt bij audits (zoals ENSIA) en zorgt voor goede dossiervorming en bewijsvoering.
• Je vertegenwoordigt informatiebeveiliging in overleggen en projecten en zorgt voor verbinding met IT, Infrastructuur, bedrijfsvoering en management.
• Je volgt actief ontwikkelingen rondom de Cyberbeveiligingswet (NIS2) en BIO2 en vertaalt deze naar impact en benodigde maatregelen voor de organisatie.
• Je adviseert gevraagd en ongevraagd collega's en management over informatiebeveiliging en risicomanagement.
• Je draagt bij aan bewustwording en gedragsverandering door het organiseren van campagnes, trainingen en gerichte communicatie.

• Je hebt een afgeronde relevante HBO- of WO-opleiding, bijvoorbeeld in de richting van (technische) bedrijfskunde, informatiemanagement, cybersecurity of rechten.
• Je hebt minimaal 3 jaar werkervaring als Information Security Officer binnen een gemeente, provincie of overheid in de afgelopen 5 jaar.
• Je hebt aantoonbare en actuele kennis van informatiebeveiliging, risicomanagement en governance, inclusief de BIO2 en de Cyberbeveiligingswet (NIS2).
• Je hebt ervaring met het inrichten en uitvoeren van risicomanagementprocessen (identificeren, analyseren, beleggen en monitoren van risico's).
• Je hebt kennis van en ervaring met leveranciersmanagement en ketenrisico's, inclusief het stellen en toetsen van beveiligingseisen.
• Je hebt affiniteit met assetmanagement, waaronder het inzichtelijk maken en beheersen van risico's rondom IoT en andere (niet-traditionele) assets.
• Je hebt een uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk.

• Je hebt ervaring met het inrichten en uitvoeren van risicomanagementprocessen (identificeren, analyseren, beleggen en monitoren van risico's). (Weging: 15)
• Je hebt kennis van en ervaring met leveranciersmanagement en ketenrisico's, inclusief het stellen en toetsen van beveiligingseisen. (Weging: 15)
• Je hebt ervaring met assetmanagement, waaronder het inzichtelijk maken en beheersen van risico's rondom IoT en andere (niet-traditionele) assets. (Weging: 10)
• Je hebt bij voorkeur relevante certificeringen zoals CISM, CISSP, CRISC of vergelijkbaar. (Weging: 10)

• Proactief en resultaatgericht
• Analytisch sterk, met focus op risico's en samenhang
• Overtuigingskracht en bestuurlijke sensitiviteit
• Organisatiebewust en verbindend
• Flexibel en pragmatisch
• Sterke communicatieve vaardigheden (mondeling en schriftelijk)

• Resultaten/praktijkvoorbeelden vanuit vorige werkzaamheden.
• Competenties voor deze uitvraag.
• In hoeverre de professional overtuigt de opdracht succesvol af te ronden.

Optie tot verlenging: Er is een mogelijkheid tot verlenging. Deze verlenging wordt voor afloop van de opdracht besproken en de exacte duur is nu nog niet bekend.

Hybride: Geen verdere informatie

Overig algemeen: VOG

Iedereen die bij de gemeente Amstelveen of Aalsmeer komt werken moet vóór aanvang van zijn werkzaamheden een Verklaring Omtrent het Gedrag (VOG) overleggen. De gemeente geeft aan waarop gescreend moet worden door het Centraal Orgaan Verklaring Omtrent Gedrag. Dit is afhankelijk van de werkzaamheden die uitgevoerd gaan worden. De gemeente stuurt de extern ingehuurde professional een e-mail met een link waarmee hij/zij de aanvraag voor een VOG kan afronden.

Aanleveren na gunning:

• VOG
• Gegevens crediteuren
• Verklaring van geheimhouding en integriteit

Het checken van referenties kan onderdeel zijn van de procedure. Bij de gevraagde werkervaring, onder het onderdeel 'eisen', is het opgeven van een referentie vereist. Onder een referentie wordt het volgende verstaan: de naam en contactgegevens van een teamleider/leidinggevende van een recente opdrachtgever, die relevant is voor de uitgevraagde opdracht, zoals opgesteld door Gemeente Amstelveen.

Indien t.z.t. mogelijk en gewenst, bestaat de optie om de professional na 1 jaar inhuur kosteloos over te nemen. Hiermee gaat de leverancier automatisch akkoord bij het aanbieden van een kandidaat.