Vacature Corporate Information Security Officer (CISO)

SURF zoekt een Corporate Information Security Officer (CISO) die verantwoordelijkheid neemt voor de informatiebeveiliging van SURF. Word jij enthousiast van het pragmatisch implementeren van kwaliteitsnormenkaders zoals ISO 27001, kun je leidinggeven aan een IB-organisatie én ben je daadkrachtig in crisissituaties?

  • Werk- en denkniveau: wo
  • Locatie: Utrecht
  • Aantal uur: 32 uur per week
  • Sluitingsdatum: 10-01-2021

Wat houdt de functie in?

Na de samenvoeging van drie SURF-werkmaatschappijen functioneert de coöperatie SURF sinds oktober 2020 als één organisatie verantwoordelijk voor een breed scala aan dienstverlening voor onderwijs en onderzoek in Nederland. Op gebied van informatiebeveiliging werd al goed samengewerkt is het nu tijd ook het informatiebeveiligingsbeleid te harmoniseren. In deze harmonisering heeft de CISO een cruciale, organiserende en sturende rol. SURF is een organisatie met hoogopgeleide specialisten, vaak met veel kennis van privacy en security. Het creëren van breed draagvlak en vertrouwen in het informatiebeveiligingsbeleid is dan ook cruciaal. Anderzijds is daar ook tempo bij geboden en dat vraagt om daadkracht en doortastendheid. Als CISO combineer je kennis van relevante frameworks (zoals ISO27000 serie) met een pragmatische insteek. Normenkaders zijn voor jou geen doel, maar een middel om de dienstverlening te verbeteren.

Naast deze belangrijke interne rol vertegenwoordig je ook SURF in de (inter)nationale security community. Denk hierbij aan GÉANT, de samenwerkingsorganisatie van Europese zusterorganisaties van SURF en PRACE, maar ook het netwerk van CISO’s en FG’s van de bij SURF aangesloten instellingen. Ook speelt SURF als landelijke koepel voor het Nederlandse onderwijs en onderzoek een rol in politiek gevoelige thema’s of landelijke (security)incidenten. Dat vraagt politieke sensitiviteit van de CISO en goede samenwerking en afstemming met de koepels van aangesloten instellingen, zoals de VSNU, VH en de MBOraad.

Als CISO wordt je onderdeel van het team Kwaliteit, Inkoop en Juridisch (KI&J). Dit beleidsteam bestaat uit alle privacy- en securityofficers, de (bedrijfs)juristen en inkopers voor SURF. Dit team stelt de beleidskaders op waarbinnen andere afdelingen dienen te opereren, waarbij uiteraard ook een adviesrol wordt vervuld. Ook het toezicht op naleving van de kaders wordt uitgevoerd door team KI&J.

Wat ga je precies doen?

De CISO definieert de informatiebeveiligingsstrategie en organiseert en stuurt de informatiebeveiliging van SURF. Je denkt mee en geeft advies over praktische en werkbare implementaties van deze strategie aan je collega’s die verantwoordelijk zijn voor de dienstverlening. Je hebt dus zowel een beleidsbepalende, als een operationele rol bij incidenten en calamiteiten. Je kerntaken omvatten o.a. het volgende:

  • Je definieert de informatiebeveiligingsstrategie voor SURF en zorgt voor SURF-brede richtlijnen, standaarden en technieken voor informatiebeveiliging;
  • Je organiseert en coördineert informatiebeveiliging en de daarvoor benodigde expertise;
  • Je implementeert het information securitymanagement system;
  • Je borgt dat SURF voldoende voorbereid is op toekomstige informatiebeveiligingsrisico’s;
  • Je monitort en borgt de kwaliteit van risicoanalyses, beveiligingsontwerpen en –oplossingen;
  • Je monitort en borgt het naleven van de eisen en architectuur voor informatiebeveiliging en het consequent toepassen van Security-by-Design;
  • Je vertegenwoordigt SURF in (inter)nationale securitygremia;
  • Je draagt zorg voor het opzetten en uitvoeren van security awareness-activiteiten;
  • Je coördineert de reactie op ernstige informatiebeveiligingsincidenten;
  • Je rapporteert aan het senior management (incl. het bestuur) over de status van informatiebeveiliging en incidenten en presenteert verbetervoorstellen.

Wij vragen

Je hebt minimaal wo werk- en denkniveau. Je bent doortastend, stressbestendig en een pragmatische verbinder. Je staat open voor veranderingen, je bent communicatief sterk, en werkt gestructureerd.

Daarnaast heb je:

  • minimaal tien jaar relevante werkervaring. Daarvan is minimaal vijf jaar in een informatiebeveiligingsberoep, bij voorkeur als CISO of in een vergelijkbare functie;
  • een afgeronde relevante bachelor/master;
  • bij voorkeur erkende certificeringen, zoals CISSP, C/CISO, S-CISO, S-ISME of CISM;
  • aantoonbare kennis van en ervaring met IB-processen en normenkaders;
  • aantoonbare ervaring in risicomanagement en crisismanagement;
  • een pragmatische aanpak bij het implementeren van een IB-normenkader;
  • ruime kennis van en ervaring met informatiebeveiliging en ICT op conceptueel niveau;
  • kennis van informatiebeveiligingstandaarden zoals NEN ISO 27001/ 27002, relevante wet- en regelgeving waaronder de AVG, risicomanagement;
  • een bestaand, breed netwerk in de security-community is een pré;
  • kennis van en affiniteit met de onderwijs- of onderzoekswereld is een pré;
  • een VOG is voor deze functie een vereiste;
  • uitstekende mondelinge en schriftelijke vaardigheden;
  • uitstekende beheersing van de Nederlandse en Engelse taal.

Wij bieden

Een afwisselende en uitdagende baan in een informele en collegiale sfeer met een hoog ambitieniveau. SURF biedt uitgebreide opleidingsmogelijkheden en uitstekende secundaire arbeidsvoorwaarden, 36 vakantiedagen en een NS-business card 1e klas. Voor deze functie geldt een salarisindicatie van €4.710 tot €6.729 bruto, op basis van een voltijdaanstelling. Ons kantoor ligt op een toplocatie, op nog geen 10 minuten loopafstand van station Utrecht Centraal. In eerste instantie gaat het om een aanstelling op basis van een jaarcontract, met uitzicht op vast bij goed functioneren.

Interesse?

Stuur je motivatie en cv naar sollicitatie@surf.nl, t.a.v. Lex Sietses. Je kunt uiterlijk t/m 10-1-2021 reageren. Een assessment kan deel uitmaken van de selectieprocedure. Acquisitie naar aanleiding van deze vacature stellen wij niet op prijs.

Meer informatie

Contactpersonen

  • Neem voor inhoudelijke vragen over de functie contact op met Lex Sietses (teamhoofd KI&J) via  lex.sietses@surf.nl of na 4 januari via 06-52063936.
  • Voor HR-gerelateerde vragen is Jan Nieuwenhuis (HR adviseur) bereikbaar via jan.nieuwenhuis@surf.nl of na 4 januari via 06-12095955.