Het vertalen van de CISO visie en het uitwerken van de strategie in high level en state-of-the-art – maar praktische en pragmatische - oplossingen, processen en diensten, inclusief risicobeheer, om de bedrijfsmiddelen van de klant-organisatie (fysische en elektronische info/data alsook IT-middelen) en haar filialen op afdoende wijze te beveiligen.
Verantwoordelijkheden:
1. Identificeert security protection doelstellingen en metrics in lijn met het strategisch CISO plan en de prioriteiten.
2. Onderhoudt op een actieve wijze een ISMS (information security management system) in lijn met internationale (opgelegde) standaarden.
3. Staat in voor het actief opvolgen en aanvullen van de verschillende CISO dashboarden en andere informatiebronnen binnen de CISO wereld en initieert de gepaste correctieve maatregelen binnen de IT organisatie.
4. Trieert de CISO mailbox binnen het Cyber- & Information Security Office.
5. Volgt de gedefinieerde acties van interne en externe IT audits op binnen de IT organisatie en geeft hierover maandelijks feedback aan IT management en Interne Audit bij de klant.
6. Staat in voor het opzetten en onderhouden van een informatie risk management framework, gebaseerd op ISF IRAM.
7. Staat in voor het definiëren, uitschrijven en toepassen van “information risk analysis”, “information risk treatment” en “information risk monitoring” processen, policies en standaarden.
8. Definieert en beheert het goedkeurings- en evaluatieproces van deze nieuwe processen en standaarden.
9. Incorporeert de information risk management processen in de bestaande bedrijfs- en IT-processen.
10. Staat in voor het actief uitvoeren, praktisch en pragmatisch formuleren, opvolgen en bijsturen van information risk analyses voor nieuwe projecten en op bestaande situaties.
11. Staat in voor het opzetten en onderhouden van een information risk register.
12. Staat in voor het eenduidig rapporteren van risico’s maar ook voor het opvolgen van mitigerende acties naar de business owners.
13. Definieert requirements voor cybersecurity oplossingen en diensten.
14. Controleert de cybersecurity diensten van de IT sourcing partners bij de klant.
15. Staat in voor het opzetten, onderhouden en uitvoeren van CSIRT (computer security incident response team) activiteiten.
16. Staat in voor het opzetten van Identity & Access Management strategy, oplossingen en governance.
17. Staat in voor het opstellen, laten goedkeuren, communiceren, laten naleven en controleren van PSPG (policies, standards, procedures en guidelines) rond information security en data protection binnen de afgesproken kaders en wettelijke regelgeving volgens de afgesproken herzieningscyclus.
18. Staat in voor het opstellen en verspreiden van een company-wide lange-termijn information security awareness, communicatie en bestaande opleidingsinitiatieven om de interne en externe medewerkers attent te maken op de information security & privacy risico’s en hen best-practices aan te leren.
19. Betrekt de security liaisons bij de klant in het uitvoeren van beleid, toepassen van policies en oplossen van incidenten.
20. Staat in voor de operationele coördinatie en sturing van één of meerdere projecten en initiatieven binnen de Information Security-afdeling (prioriteiten, budgetten, resource & project planning).
21. Stemt, binnen het Cyber- & Information Security Office, af met andere afdelingen zoals IT Risk Management, CISO Solution & Services, Information Security & Compliance inclusief Data Protection qua prioriteiten, interacties en verbetert initiatieven.
22. Werkt nauw samen met IT PMO om te aligneren met bestaande IT project processen.
23. Bereidt de kwartaalrapporteringen over de CISO domeinen naar het directiecomité voor.
24. Staat in voor het opstellen, voorbereiden en opvolgen van status rapporteringen (progressie, budget, resources, planning, project templates) over deze initiatieven op senior management niveau.
25. Staat in voor het opstellen, voorbereiden en opvolgen van rapporteringen over security findings uit de dashboarden.
IT Compliance:
1. Staat in voor het opzetten en onderhouden van een IT audit en IT compliance framework, in lijn met wettelijke vereisten of strategische IT doelstellingen.
2. Zet een nauwe samenwerking met de Data Protection Officer en de Information Risk Manager (identificeren risico’s) op om audit findings en compliance inbreuken uit te wisselen.
3. Voert IT audits en IT compliance opdrachten uit om – op basis van de information security en data protection policies en Information risk management processen – gebreken of inbreuken vast te stellen.
4. Faciliteert het uitschrijven van de findings, zowel op high-level niveau (exec summary), als technisch niveau (architecten/engineers/developers), met inbegrip van het aanreiken van mitigation scenario’s.
5. Staat in voor het administratief opvolgen van openstaande IT audit recommendations.
6. Blijft op de hoogte van nieuwe ontwikkelingen inzake CISO domeinen en gaat na hoe deze toegepast kunnen worden binnen de klant-organisatie.
7. Blijft op de hoogte van nieuwe beveiligingsdreigingen, marktontwikkelingen, technologieën, relevante wetgevingen, IT technische- en andere beveiligingsontwikkelingen.
8. Volgt op continue basis opleidingen, seminaries, ...
Verantwoordelijkheidsbereik:
1. Coördinatie en management van één of meerdere projecten en initiatieven binnen de Information Security-afdeling.
2. Rapportering over de CISO domeinen en security findings.
3. De opvolging van IT Compliance.
4. Het actueel houden en uitbreiden van de eigen kennis.
Mogelijke gevolgen van onjuiste beslissingen en/of onjuist uitgevoerde activiteiten:
1. Laattijdige of ontoereikende Security policies, procedures en guidelines.
2. Laattijdige identificatie en behandeling van risico’s aangaande informatiebeveiliging.
3. Gebrek aan awareness bij interne en externe medewerkers m.b.t. information security & privacy risico’s en best-practices.
4. Oplevering van projecten m.b.t. Information Security niet-conform vooropgestelde projectplan.
5. Laattijdige en/of onvolledige rapportering over de CISO-domeinen aan directie en senior management.
6. Mogelijke infecties aan de systemen met verregaande gevolgen voor de werking.
7. Mogelijke inbreuken of geldende wet- en regelgeving.
Kennis en complexiteit:
1. Kennisniveau Master of gelijkwaardig door ervaring.
2. Relevante werkervaring van 3-5 jaar.
3. Inwerkperiode van enkele maanden.
4. Kennis van ISO2700x standaard.
5. Grondige kennis van één of meerdere CISO domeinen (IT Risk Management, CISO Solution & Services, Information Security & Compliance, ...).
6. Kennis van IT processen en technologie.
7. Kennis van program management.
#J-18808-Ljbffr