Voor Defensie in Utrecht zijn wij op zoek naar een Adviseur Kwaliteit en Informatiebeveiliging: Offsite werken bespreekbaar
Ja. Toelichting: 2 tot 3 dagen thuis, 2 dagen ntb.
VGB
VGB Niveau B
Start: per september
Duur: tot maandag 31 maart 2025 met optie op verlenging
Uren: 36 uur p.w.
Locatie: Utrecht
Opdrachtomschrijving
Binnen Defensie is het van belang dat IT diensten langs de meetlat van Defensie zijn ontwikkeld, vastgelegd en beschreven. De continuïteit van de diensten staat voorop en de inzet dient gegarandeerd te zijn. De diensten van de afdeling COC2 en IV zijn gericht op de inzet van de KMar en beveiligde omgevingen. De business analist zorgt voor inzicht, overzicht, beschrijft, borgt, verbetert, draagt oplossingen aan, stemt af met de staande organisatie, maakt templates, vult CMDB, maakt en verbetert de huidige borging en draagt bij aan het team met inzichten en verbetervoorstellen om het proces te verbeteren. Met als doel dat de staande organisatie dit kan continueren.
Rapporteert aan (en stemt af met) de Senior Systeemmanager voor wat betreft de inhoud. Rapporteert voor wat betreft de voortgang aan de projectleider.
Onderwerpen die aan de orde komen zijn:
1. CMDB op orde
2. Beheer dossiers compleet en op orde
3. Een betere sturing op Lifecycles
4. 24/7 op basis van business continuity plannen
5. Accreditaties op orde (achterstanden weg; continu proces in place
Achtergrond opdracht
6. GRIT: MKA migratie waar moet direct waar kan
De scope waar COC2&IV mee te maken heeft is: COC2 systemen: nu 47 applicaties/ systemen momenteel
I&V systemen: ongeveer 5 systemen schatten we in
Binnen de afdeling COC2&IV is een team verantwoordelijk dat de achterstanden (Technical Debt) aan het beschrijven en borgen van de IT diensten
(producten / software) wordt weggewerkt. Werkwijze / processen moeten geborgd gaan worden, zodat de staande organisatie de verbeteringen kan continueren. Dit team dient de volgende zaken op te pakken.
1. Zorgen dat leveranciers, ontwikkelaars, beheerders, juiste en kwalitatief voldoende documentatie aanleveren / aanpassen bij elke verandering. Zoals (detail) functioneel ontwerp, (detail) technisch ontwerp, beheer en gebruikers handbedieningen release notes enz.
2. Het opstellen van een ‘template’ voor het vastleggen van de RBAC en IAM richtlijnen / autorisatiegroepen voor betreffende applicatie. En zorg
dragen dat dit actueel gevuld blijft.
3. Per applicatie moet duidelijk zijn hoe omgegaan wordt met IDU (instroom, doorstroom en uitstroom) van medewerkers. Vooral indien dit afwijkt
van de standaard.
4. Per applicatie moet duidelijk zijn of deze gebruik maakt van de standaard Backup voorziening of daar juist van afwijken. Inclusief een draaiboek
voor de restore procedure.
5. Per applicatie moet aangegeven zijn wat er aan logging en monitoring plaatsvindt. Belangrijk is duidelijkheid over het doel van de logging en monitoring en de verschillende soorten die onderkent worden. Momenteel is hier veel onduidelijkheid over.
6. Alle applicaties staan geregisterd in de centrale Defensie CMDB, JIVC-Direct, waarbij er een ‘eenvoudig’ dashboard de status laat zien van diverse
“kwaliteit” eisen m.b.t. tot elke applicatie. Dat zou ook een ‘eigen’ CMDB systeem kunnen zijn.
7. Maak een standaard (Visio) template, waarmee functionele datastromen (koppelingen) overzichtelijk weergegeven worden. Waarmee per applicatie de functionele gegevens stromen weergegeven kunnen worden.
8. Controleer of alle koppelingen van het systeem beschreven zijn in het technisch (detail) ontwerp.
9. Maak een kwaliteit controle procedure of de technische details ontwerpen per applicatie van het service team voldoen op het gebied van de actuele D300 ‘hardingen’, ‘policies’ en ‘security’ maatregelen. Is het volledig? En voer de procedure ook uit.
10. Start met het maken van processen / templates waar bovenstaande in kan worden opgenomen;
Dit bovenstaande is een korte weergave van zaken die het team op moet gaan pakken en borgen. Er zal veel afstemming nodig zijn om voortgang
Samenvattende opgave en missie
Garandeert de implementatie van het informatiebeveiligingsbeleid van de organisatie door het veilige en juiste gebruik van ICT-middelen. Definieert, stelt en implementeert noodzakelijke informatiebeveiligingstechnieken en -praktijken in overeenstemming met normen en procedures voor informatiebeveiliging. Draagt bij aan beveiligingspraktijken, bewustzijn en naleving door advies, ondersteuning, informatie en training.
Taken
Evalueer informatiebeveiligingsrisico's, bedreigingen en consequenties en neem passende maatregelen
Zorg voor training en voorlichting over informatiebeveiliging
Technische validatie van beveiligingshulpmiddelen bieden, geschikte hulpmiddelen implementeren, configureren en beheren
Bijdragen aan de definitie van en actief bevorderen van normen en procedures voor informatiebeveiliging in de IT- en IT- gebruikersgemeenschappen
Identificeer en herstel beveiligingskwetsbaarheden
Monitor beveiligingsontwikkelingen om de blijvende efficiëntie en effectiviteit van informatiebeveiligingsprocessen en -controles te waarborgen
Evalueer proactief nieuwe bedreigingen en neem potentiële informatiebeveiligingsincidenten tegen
Implementeert beveiligingstechnieken op alle of een deel van een applicatie, proces, netwerk of systeem binnen het verantwoordelijkheidsdomein
Eisen
Kandidaat is tenminste in het bezit van de volgende certificeringen:
o CISSP (Certified Information Systems Security Professional);
o CISM (Certified Information Systems Manager);
o CRISC (Certified in Risk and Information Systems Control);
Kandidaat beschikt over minimaal 5 jaar aantoonbare kennis en vaardigheden op het vakgebied Informatiebeveiliging.
Beschikt over een HBO werk- en denkniveau aantoonbaar middels een diploma
Kandidaat beschikt over kennis en vaardigheden op het vakgebied defensie Informatiebeveiliging (D300)
Kandidaat heeft een goede beheersing van zowel de Nederlands als Engelse taal in woord en geschrift - 5 jaar
Kandidaat heeft aantoonbare ervaring met het uitvoeren van risocoanalyses - 5 jaar
Kandidaat kan indicatoren en maatregelen evalueren op het gebied van security management en bepalen of ze aan de normen voldoen; het onderzoeken van inbreuken op de beveiliging en nemen van correctiemaatregelen. - 5 jaar
Wensen
Kandidaat heeft bij voorkeur 1 jaar ervaring met de Koninklijke Marechaussee organisatie
Kandidaat heeft bij voorkeur 1 jaar ervaring met het begeleiden van risicoanalyse workshops
Kandidaat beschikt bij voorkeur over 5 jaar aantoonbare kennis en vaardigheden op het vakgebied Informatiebeveiliging bij de Rijksoverheid
Kandidaat beschikt bij voorkeur over 5 jaar aantoonbare werkervaring met de BIO, Baseline Informatiebeveiliging Overheid
Kandidaat beschikt bij voorkeur over 5 jaar aantoonbare werkervaring met IT-diensten met verschillende classificaties in een beveiligde omgeving
De verantwoordelijke recruiter voor deze opdracht is Sabine Knopper. U kunt solliciteren via de reageren button, of u kunt per e-mail (s.knopper@caesar.nl) of telefoon (06-29553557) contact opnemen.
