Informatiebeveiligingseisen bij Leveranciers

Informatiebeveiligingseisen bij Leveranciers

Opdrachtgever: Kadaster
Locatie: Apeldoorn
Duur: 15 april 2025 – 31 december 2025 (optie tot verlenging: 2 x 3 maanden)
Uren per week: 32-40 uur
Tarief: Maximaal €120,- per uur
Deadline: 31 maart 2025
Opleidingsniveau: WO/HBO+

Functieomschrijving

Het Kadaster wil meer grip krijgen op de keten van leveranciers en de bijbehorende informatiebeveiligingseisen. Dit betekent het implementeren van een nieuwe werkwijze om eisen te stellen aan leveranciers en deze doorlopend te toetsen. De focus ligt op het opstellen, controleren en bijstellen van beveiligingseisen gedurende de levenscyclus van contracten.

De kandidaat zal zich bezighouden met het opstellen van IB-eisen, het ontwikkelen van een menukaart van beveiligingseisen en het uitvoeren van peer review gesprekken met leveranciers. Daarnaast speelt risicomanagement een cruciale rol in deze functie.

Let op: Het Kadaster hecht waarde aan een praktische en werkbare aanpak, in plaats van een volledig dichtgetimmerd standaardboekwerk.

Taken en verantwoordelijkheden

• Opstellen van informatiebeveiligingseisen voor circa 60 aanbestedingen per jaar.
• Plannen en uitvoeren van minimaal 10 peer review gesprekken met leveranciers.
• Zelfstandig selecteren van leveranciers voor reviews op basis van risicoanalyse.
• Ontwikkelen en implementeren van een menukaart met beveiligingseisen voor aanbestedingen.
• Documenteren van werkinstructies voor het toepassen en onderhouden van de menukaart.
• Ontwikkelen van een quickscan-methode om snel te bepalen of een aanbesteding verdere analyse vereist.
• Toetsen en bijstellen van beveiligingseisen op basis van veranderende risico’s en marktontwikkelingen.
• Overdragen van werkwijzen en instructies aan interne security officers (ISO’s).
• Documentatie en rapportage voor audits (ISO 27001, BIO, NIS2).

Op te leveren resultaten

• Menukaart beveiligingseisen voor aanbestedingen (eerste versie na 2 maanden, definitieve versie na 4 maanden).
• Werkinstructies voor het toepassen en onderhouden van de menukaart (binnen 2 maanden).
• Quickscan-methode voor risicoanalyse (binnen 2 maanden).
• Uitwerking van peer review gesprekken en uitvoering van ten minste 10 gesprekken (gereed in december 2025).
• ISO’s getraind in het proces en werkwijze (gereed in december 2025).
• Documentatie voor audits (gereed in september 2025).

Functie-eisen

• WO-werk- en denkniveau, aantoonbaar met een afgeronde HBO+ opleiding en minimaal 8 jaar werkervaring in informatiebeveiliging.
• Minimaal 10 jaar ervaring in informatievoorziening en/of IT, in rollen zoals adviseur, informatie-analist, procesmodelleur of security specialist.
• Minimaal 8 jaar ervaring in risicomanagement en/of security specialisme.
• Minimaal 4 jaar ervaring met overheidsorganisaties die wettelijke taken uitvoeren en werken met een breed stakeholderveld.
• Minimaal 2 relevante voorbeelden van ervaringen met het inrichten van risicomanagementprocessen.
• Minimaal 3 projecten waarin ervaring is opgedaan met procesontwerp en ontwikkeling.
• Minimaal 4 jaar ervaring met risicomanagement als onderdeel van andere werkzaamheden, of minimaal 2 jaar als risicomanager.
• Globale kennis van IT-security, aantoonbaar in het CV.

Nice to have

• Ervaring met audit-technieken en gesprekspartner voor audits.
• Kennis van wet- en regelgeving zoals BIO, ISO 27001 en NIS2.
• Ervaring met verschillende aanbestedingsmethoden.
• Begrip van IT-security zonder implementatievereisten.

Competenties

• Resultaatgericht
• Besluitvaardig en vasthoudend
• Omgevingsbewust
• Sterke communicatieve vaardigheden
• Proactief en initiatiefrijk
• Analytisch vermogen