Als Chief Information Security Officer definieer je de informatiebeveiligingsstrategie, gebaseerd op een risicomanagement-benadering. Hierbij houd je rekening met het dreigingsbeeld van de informatiebeveiliging, trends en behoefte van de RUG. Je initieert en coördineert de implementatie van informatiebeveiliging voor de gehele organisatie en houdt daar toezicht op. Je zorgt voor een geschikt niveau van informatiebeveiliging en informatiebeveiligingsgedrag in de organisatie, gebaseerd op de behoeften en de risicobereidheid van de organisatie. Je wordt door interne en externe stakeholders beschouwd als dé deskundige op het gebied van informatiebeveiligingsstrategie. Je ondersteunt de faculteiten en diensten bij het behalen van het gewenste volwassenheidsniveau en staat, samen met de Chief Privacy Officer, in nauw contact met de privacy & security-coördinatoren (P&S-coördinatoren).
Dit ga je doen
- Organiseren van een NIS2/ Cyber Beveiligingswet 0 meting en het organiseren NIS2 programma en zorgen voor bestuurlijk draagvlak voor dit RUG brede programma. Dit doe je in samenwerking met de CIO en de Chief Privacy Officer.
- Het definiëren en uitdragen van de informatiebeveiligingsstrategie voor de RUG, inclusief het realiseren van de noodzakelijke NIS2‑maatregelen hierbove, op het gebied van governance, risicobeheer, incidentrespons, continuïteit en leveranciersbeveiliging.
- Organiseren van de informatiebeveiliging en de daarvoor benodigde expertise
- Afstemming verzorgen tussen informatiebeveiliging met andere beveiligingsdomeinen, waaronder privacybescherming, fysieke beveiliging en continuïteitsmanagement;
- Samen met de Chief Privacy Officer functioneel aansturen van het (virtuele) privacy- en security-team
- Coördineren van de reactie op ernstige informatiebeveiligings- of IT-incidenten;
- Ontwikkelen en bewaken van de RUG-brede richtlijnen, standaarden, methoden en technieken voor informatiebeveiliging
- Rapporteren over de algehele volwassenheid van informatiebeveiliging binnen RUG, inclusief de beoordeling ten opzichte van het huidige SURF-toetsingskader en de voorbereiding op de aangescherpte eisen uit de NIS2‑richtlijn:
- monitoren en borgen van het naleven van de eisen en architectuur voor informatiebeveiliging en het consequent toepassen van Security-by-Design en Privacy-by-Design
- monitoren en borgen van de kwaliteit van informatie-risicoanalyses, beveiligingsontwerpen en -oplossingen
- monitoren van het informatiebeveiligingsbewustzijn binnen de RUG
- monitoren van de relevante risico’s voor de RUG
- Borgen dat de RUG voldoende voorbereid is op toekomstige informatiebeveiligingsrisico’s en ICT-beveiligingsrisico’s
- Monitoren en borgen van de kwaliteit van informatiebeveiliging-assessments, -tests, -reviews en –audits
- Monitoren op basis van assessments, test, reviews en audits in hoeverre de organisatie compliant is met het informatiebeveiligingsbeleid en wet- en regelgeving;
- Informeren van het College van Bestuur over de status van informatiebeveiliging en incidenten en presenteert verbetervoorstellen
- Navragen en toezien op de informatiebeveiliging binnen faculteiten en diensten en afstemmen voortgang ten opzichte van afgesproken verbeteringen met het bestuur van de faculteiten en/of diensten
- Samen met de Chief Privacy Officer begeleiden van het P&S-gilde; de RUG-brede samenwerking op het gebied van Privacy en Security
- Beoordelen van besluiten van externe gremia op de security-impact voor de RUG, en toezien op naleving tijdens de implementatie
- Contact onderhouden met de interne crisisorganisatie en waar nodig de relevante autoriteiten of hulpdiensten in geval van informatiebeveiligingscrises (Politie, SURFcert, Nationaal Cyber Security Centrum)
- Adviseren van belanghebbenden en betrokkenen binnen de instelling, faculteiten of diensten over vragen en thema’s betreffende het aandachtsgebied/beleidsterrein informatiebeveiliging
- Initiëren en onderhouden van overlegstructuren en samenwerkingsverbanden met partijen binnen en buiten de instelling
Functie-eisen
Functie-eisen
● Een afgeronde relevante Masteropleiding of daarmee vergelijkbaar niveau van kennis en vaardigheden
● Relevante certificeringen voor informatiebeveiliging zoals CISSP, CRISC, CISM, managementsystemen of audits (CISA, Lead Auditor ISO27001 of Register EDP-auditor)
● Kennis op het gebied van strategieontwikkeling informatiebeveiliging, risicomanagement, relatiemanagement en informatiebeveiligingsmanagement
● Je beschikt over aantoonbare ervaring en vaardigheid in het effectief opereren binnen een bestuurlijk complexe organisatie. Je weet belangen te verbinden, besluitvorming te navigeren en draagvlak te creëren op verschillende niveaus. Daarbij beweeg je soepel tussen strategische, tactische en operationele lagen en ben je in staat om in een dynamische omgeving richting te geven, te beïnvloeden en voortgang te realiseren.
● Vijf jaar aantoonbare werkervaring in een informatiebeveiligingsberoep
● Vijf jaar werkervaring in een managementfunctie
Verder breng je de volgende vaardigheden en eigenschappen mee
● Leiderschap
● Goede sociale- en communicatievaardigheden
● Organisatiesensitiviteit
● Analytisch vermogen
● Integriteit
● Goede beheersing van de Nederlandse en Engelse taal in woord en geschrift