Inbedden Security in Grote Projecten

Waar ligt de grens tussen jouw tuin en die van je buurman? En welk vastgoed is van wie? De opdrachtgever registreert van al het vastgoed (grond en gebouwen) in Nederland wie welke rechten heeft. Ze hebben veel data over alles onder, op en boven de grond en willen maximale waarde halen uit deze data. Naast de wettelijke taak, beheert de opdrachtgever ook voorzieningen van andere organisaties, zoals de WOZ Landelijke Voorziening en de Basisregistratie Adressen en Gebouwen (BAG). Deze gegevens omvatten alle adressen en gebouwen in Nederland, zoals bouwjaar, oppervlakte, gebruiksdoel en locatie op de kaart. De uitvoering van de interne bedrijfsprocessen van de opdrachtgever wordt in grote mate ondersteund door geautomatiseerde informatiesystemen en gegevensbestanden. Ook de dienstverlening aan de klanten wordt in grote mate ondersteund door systemen die digitale producten en diensten leveren. Goed ingerichte toegangscontrole speelt hierbij een grote rol; ‘wie mag gebruik maken van welke informatiesystemen, diensten en gegevens en om welke reden’ en ‘hoe wordt dit goed beheerd’ zijn belangrijke thema’s die mede bepalen in welke mate de belangen van de opdrachtgever en de klant worden geborgd en op basis waarvan voldaan kan worden aan wettelijke eisen. OMSCHRIJVING PROJECT De opdrachtgever is midden in de overstap van haar huidige IT-leverancier richting een multi-vendor constructie (project KITA). Ook is de vervanging van ERP in 2025 een groot project. Dit levert voor de opdrachtgever ook op de terreinen van Informatiebeveiliging (IB) nieuwe uitdagingen op die deels tijdelijk en deels structureel van aard zijn. Denk aan de advisering bij de migratie over de beveiliging van dataverbindingen, de opslag van gegevens, de inrichting van security incidentprocedures en het inrichten van overlegstructuren. Na de migratie, die vooral de focus heeft op een zo snel mogelijke transitie, zal de tweede fase moeten resulteren in verdere verhoging van de beveiliging. Hierin moet afgestemd worden met (security) architecten, interne ISO’s, de CISO, diverse projectleiders, procesdeskundigen, etc. Op korte termijn zullen de acceptatiecriteria voor security verder aangescherpt moeten worden. OPDRACHTOMSCHRIJVING De opdrachtgever zoekt een gedreven freelancer die zorg draagt dat de beveiliging goed wordt ingebed in de migratietrajecten. Deels door het opstellen van risico’s, criteria en maatregelen en door de implementatie daarvan te volgen. Dit vergt het kunnen bewegen tussen strategisch, tactisch en operationeel niveau en daarbij evenwicht aanbrengen tussen business belang en beveiliging. Inhoudelijk rapporteert de kandidaat aan de CISO. BELANGRIJKSTE TECHNIEKEN, METHODEN EN TOOLS - Risicomanagement (flexibel kunnen toepassen van verschillende werkwijzen) - BIO, ISO 27001, NIS2 (kennis van wet- en regelgeving, kunnen uitleggen en interpreteren) - IT security (inhoudelijk begrip, niet hoeven te kunnen implementeren van techniek) - Audittechnieken (als gesprekspartner) VERANTWOORDELIJKHEDEN De belangrijkste verantwoordelijkheden zijn: - Verantwoordelijk voor het correct inbrengen en laten implementeren van security maatregelen in de grote projecten van de opdrachtgever, met name de IT en ERP vervanging. Dit op basis van geïdentificeerde (business risico’s). - Verantwoordelijk voor het afstemmen van de risico’s en eisen met de CISO alvorens deze in de projecten in te brengen. Daarbij zorgdragend dat de voorstellen in lijn zijn met de strategische kaders. - Verantwoordelijk voor kennisoverdracht aan de organisatie, met name richting de ISO’s. DE OP TE LEVEREN RESULTATEN ZIJN - Duidelijke security vereisten aan diverse (technische) componenten en processen, inclusief de besluitvorming over de implementatie daarvan. Binnen één maand na start opdracht. - Monitoringsmechanisme om vast te stellen of en waar voldaan wordt aan de vereisten. Binnen twee maanden na start opdracht. - Minimaal 2 ISO’s zijn na afronding van de werkzaamheden in staat deze over te nemen en voort te zetten. Gereed december 2025 - Afwegingsmechanisme over identificatie en volgorde van realisatie van maatregelen op basis van risico’s voor de business. Gereed juli 2025 - Beschrijving van gerealiseerde niveau en nog te bereiken niveau om geïdentificeerde business risico’s af te dekken. Gereed augustus 2025 - Beschrijving van geprioriteerde business risico’s. Gereed juli 2025 (eerste versie) en december 2025 (tweede versie) - Acceptatiecriteria security. Gereed Juli 2025 - Duidelijk traceerbare documentatie voor overdracht en ten behoeve van aantoonbaarheid voor onder andere (ISO 27001) audits. Gereed september 2025 Lijkt deze freelance opdracht je wat en voldoe je aan de eisen? Reageer dan direct via de link onderaan deze pagina.