Senior information security officer GRC

Jij zorgt voor de mobiliteit van Nederland

Jij zorgt voor de mobiliteit van Nederland

Mogelijkheid tot doorgroeien

Volop ontwikkelmogelijkheden

Goede arbeidsvoorwaarden

Goede arbeidsvoorwaarden

Daarom wil je als information security officer bij NS werken

  • In deze breed georiënteerde en strategische cyber risk rol kom je in aanraking met alle aspecten van informatiebeveiliging.
  • Je werkt vanuit de tweede lijn en zorgt voor beleid en het toezicht op de riskmanagementprocessen, de uitvoering van beleid en procedures en het rapporteren van de compliance aan de Raad van Bestuur.
  • Je bent in staat om een effectieve GRC-koers te bepalen en deze uit te werken in een plan. Tevens ben je een cybersparringpartner op directieniveau, een trusted advisor.

Quote (Dimitri van Zantvliet, directeur Cybersecurity / CISO): “Het cyberveilig houden van een onderdeel van de vitale infrastructuur van Nederland is een belangrijke taak. Samen met de overige disciplines binnen NS-cybersecurity zorgen we continu voor de weerbaarheid op de digitale dreigingen van buiten en binnen. Dat is gewoonweg gaaf en dankbaar werk!” 

Dit ga je doen als sr. information security officer

In deze breed georiënteerde en strategische cyberrisk rol kom je in aanraking met alle aspecten van informatiebeveiliging. NS is van vitaal belang voor Nederland. Je kunt in ons team mede het beleid en de strategie bepalen voor de cyberveiligheid van NS en daarmee ook die van al je collega’s en onze reizigers. Jij draagt daardoor direct bij aan de cyber security van de mobiliteit in Nederland. 

Van jou wordt verwacht dat je initiatief neemt en verantwoordelijkheid toont. Het CISO Office werkt vanuit de tweede lijn en zorgt voor beleid en het toezicht op de cyberriskmanagementprocessen, de uitvoering van beleid en procedures en het rapporteren van de compliance aan de Raad van Bestuur en directies. Het CISO Office is eigenaar van het Cybersecurity Management Systeem (CSMS), van diverse beleidsonderdelen en borgt de Plan Do Check Act (PDCA) cirkel. Het vastleggen, bewaken en rapporteren van de controls gebeurt via GRC tooling die momenteel wordt geïmplementeerd.  

De organisatie is volop in beweging. De cyberbesturing heeft juist een grote verandering doorgemaakt en de rollen en rapportagelijnen worden nog verder vormgegeven. Van jou wordt verwacht dat je in deze veranderlijke tijden in staat bent een effectieve GRC-koers te bepalen en deze uit te werken in een plan om dat vervolgens op gestructureerde wijze in te vullen. Uiteraard doe je dat niet alleen dus samenwerking binnen én buiten het team is uitermate belangrijk. 

Als senior information security officer GRC ben je verantwoordelijk voor het verder optuigen en onderhouden van het CSMS, het control framework en strategische koers op het gebied van o.a. 

  • Doorontwikkeling GRC tooling.
  • Vaststellen KPI's, KRI's en ontwikkelen dasboards hieromheen.
  • Toezicht op implementatie cybersecuritybeleid intern en bij strategische leveranciers.
  • Verzorgen en verder ontwikkelen van de cybersecurity compliance reporting.
  • Het verder ontwikkelen van de cybersecurityriskmanagement modellen en het kwantificeren van onderliggende risico's.
  • Het begeleiden van Learning from Control Incidents (lessons learned) na incidenten.
  • Adviseren van de resultaatgebiedleiders in de business.
  • Meekijken op aanschaf nieuwe technologie met de cyberbril op.

Je werkt samen met collega’s van CyberSecurity Operations, RISK, Audit, de business, IT en OT-organisatie om tot een praktisch uitvoerbaar beleid en control framework te komen en af te spreken hoe dit wordt geïmplementeerd. Je zorgt ervoor dat de compliance met het beleid en wetgeving kan worden verantwoord en dat de effectiviteit van maatregelen kan worden gemeten met KPI’s. 

Vanuit de tweede lijn ga je de bedrijfsonderdelen adviseren bij de implementatie van het beleid en toezien op de juiste uitvoering ervan. De senior information security officer houdt wetgeving, technologie, standaarden en dreigingslandschap in de gaten. Naast je taken op het gebied van GRC geef je met de rest van het team vorm aan de cybersecurity roadmap en ons veranderprogramma voor cybersecurity verbeteringen.  

Om succesvol te zijn in deze functie heb je ervaring met het verkrijgen van draagvlak in een grote organisatie met uiteenlopende belangen en weet je informatiebeveiliging stevig op de kaart te zetten. Je bent goed in het bijeenbrengen van mensen, samenwerking te stimuleren en gedifferentieerde belangen te verenigen tot gedragen doelstellingen. Tot slot ben je goed op de hoogte van actuele ontwikkelingen op het gebied van informatiebeveiliging.  

Hier ga je werken

NS is aangewezen als Aanbieder Essentiële Dienst (Vitaal) en zal de komende jaren actief en integraal de Wet Bescherming Netwerken en Informatiesystemen (WBNI), de CER en de NIS2 implementeren. Daarnaast zal NS de ZeroTrust filosofie omarmen en hier verder invulling aan gaan geven. 

In het CISO-Office, onderdeel van NS-RISK, krijg je alle ruimte om je eigen ideeën te ontwikkelen en uit te dragen binnen de NS cybercommunity en in de rest van de organisatie. We zijn een team met ervaren experts en professioneel werken staat hoog in het vaandel. We zijn als team verantwoordelijk voor de grote lijnen en bepalen mede de strategie en het NS-brede cybersecuritybeleid. Verder is het team inhoudelijk verantwoordelijk voor een aantal NS-brede onderwerpen zoals bijvoorbeeld cyber-awareness en het bijhouden van het dreigingslandschap. Ook hebben we veel interactie met alle andere cyber-disciplines binnen NS dus je moet goed op de hoogte zijn en blijven wat er op ons vakgebied én binnen de organisatie allemaal speelt, in binnen- en buitenland. 

We zijn een relatief nieuw team en sinds ongeveer een jaar een zelfstandig nieuw directoraat onder de RvB. We moeten dus deels het samenwerken en de afstemming met de rest van de organisatie nog verder uitwerken en vormgeven. Je kunt hier meteen aan meewerken. De rol van het team is met de komst van de WBNI belangrijker geworden en de verantwoording voor andere normenkaders zoals de ISO27001, ISAE3402, SOC2/2, PCI/DSS, NIST en uiteraard de AVG is een continu punt van aandacht. Als team dienen we hiervoor de juiste aanpak te kiezen én te zorgen dat deze ook worden geïmplementeerd en gemonitord. De organisatie verwacht veel van ons en iedereen in het team doet zijn uiterste best om invulling te geven aan de verbetering van de cyberveiligheid van NS.  

Dit zijn de functie-eisen

De NS Cybersecurity directie acteert als de onafhankelijke tweede lijn op het gebied van cybersecurity en geeft de business richting door beleid en normering. Om in deze veelomvattende functie te slagen ben je een conceptueel denker, een pragmatisch uitvoerder en resultaatgericht. Daarbij zet je het volgende in:  

  • Academisch werk- en denkniveau, bij voorkeur een afgeronde opleiding op het gebied van ICT of cybersecurity.  
  • Aanvullende opleidingen op het gebied van cyber security, informatiemanagement of IT-audit en cybersecurity architectuur (zoals CISM, CISA, CISM, CRISC, GICSP, Privacywetgeving).  
  • Minimaal 8 jaar praktijkervaring met en actuele kennis van cyber security, ICT /informatievoorziening en privacywetgeving.  
  • Eerdere ervaring als cybersecurity GRC-medewerker.
  • Ervaring met ISO27001 certificering. 
  • Uiteenlopende belangen, lange trajecten en sterke karakters slaan je niet uit het veld. Sterker nog: jouw verbindingsvermogen, aanstekelijke drive en pragmatisme leiden je naar het beste gezamenlijk resultaat.   
  • Met jouw visie op cyber security weet hoe je een risico-gebaseerde strategie voor cyber security vormgeeft.   
  • Vanzelfsprekend heb je voldoende ICT-kennis om conceptueel mee te kunnen praten, denken en richting te geven.  

Dit zijn de arbeidsvoorwaarden

Werken bij NS betekent dat jij hét verschil kunt maken in de dynamische wereld van duurzame mobiliteit. Jij helpt mee om Nederland bereikbaar te houden, voor iedereen. Bij NS krijg je veel vrijheid. De mogelijkheden om je te ontwikkelen zijn groot. We beloven je dat geen dag hetzelfde is. En als één van de mooiste werkgevers van Nederland hebben we nog meer te bieden. Voor deze functie onder meer:  

  • Een salaris tussen € 4.910,- en € 8.381,- bruto per maand (schaal 62)  (o.b.v. 36-urige werkweek). 
  • Een 36-urige werkweek.  
  • 144 uur wettelijk verlof (o.b.v. een fulltime dienstverband) + extra verlof afhankelijk van leeftijd (minimaal een week). 
  • De mogelijkheid om 3 christelijke feestdagen om te ruilen voor 3 niet-christelijke feestdagen. 
  • 3% eindejaarsuitkering, 8% vakantietoeslag en een uitstekende pensioenregeling.  
  • Je treinreizen in de 2e klas zijn gratis; in de 1e klas reizen kan tegen een kleine eigen bijdrage.  
  • Je gezin reist gratis in de daluren. 
  • Korting op Europese treinreizen zodra je 1 jaar bij NS werkt.  
  • Professionele ontwikkelingsmogelijkheden  
  • Een keuzeplan met o.a. fietsenplan, extra pensioenopbouw of extra vakantiedagen. 
  • Wil je meer weten? Bekijk onze arbeidsvoorwaarden en cao

Solliciteren naar deze baan

Solliciteer direct via de sollicitatiebutton. Binnen enkele minuten ontvang je een automatische sollicitatiebevestiging, binnen 2 weken reageren wij op jouw sollicitatie.

Je kunt je sollicitatie richten aan Gülcan Zirh, corporate recruiter.

Nog vragen over het sollicitatieproces? Mail naar Karin van onze frontoffice via: [email protected]. Ook voor vragen over anoniem solliciteren kun je daar terecht.

Heb je liever telefonisch contact? Bel dan met onze frontoffice via 0886713666.

Goed om te weten:

  • De eerste gesprekken voor deze rol vinden bij voorkeur plaats op Laan van Puntenburg 100 te Utrecht Centraal. 
  • Een achtergrondonderzoek, met o.a. VOG (Verklaring omtrent Gedrag), maakt deel uit van de sollicitatieprocedure. Denk hierbij ook aan het tekenen van een integriteitsverklaring en geheimhoudingsverklaring.
  • We vinden het belangrijk dat iedereen die bij ons werkt zich thuis voelt. Dit zie je in alles wat we doen, en dus ook in ons aannamebeleid. Lees hier meer.
  • Met deze vacature willen wij zelf onze nieuwe collega werven. Dit is dan ook géén oproep voor acquisitie. Deze functie kan niet op interim basis worden vervuld. Bekijk daarvoor onze inhuur pagina.

Daarom wil je als information security officer bij NS werken

  • In deze breed georiënteerde en strategische cyber risk rol kom je in aanraking met alle aspecten van informatiebeveiliging.
  • Je werkt vanuit de tweede lijn en zorgt voor beleid en het toezicht op de riskmanagementprocessen, de uitvoering van beleid en procedures en het rapporteren van de compliance aan de Raad van Bestuur.
  • Je bent in staat om een effectieve GRC-koers te bepalen en deze uit te werken in een plan. Tevens ben je een cybersparringpartner op directieniveau, een trusted advisor.

Quote (Dimitri van Zantvliet, directeur Cybersecurity / CISO): “Het cyberveilig houden van een onderdeel van de vitale infrastructuur van Nederland is een belangrijke taak. Samen met de overige disciplines binnen NS-cybersecurity zorgen we continu voor de weerbaarheid op de digitale dreigingen van buiten en binnen. Dat is gewoonweg gaaf en dankbaar werk!” 

Dit ga je doen als sr. information security officer

In deze breed georiënteerde en strategische cyberrisk rol kom je in aanraking met alle aspecten van informatiebeveiliging. NS is van vitaal belang voor Nederland. Je kunt in ons team mede het beleid en de strategie bepalen voor de cyberveiligheid van NS en daarmee ook die van al je collega’s en onze reizigers. Jij draagt daardoor direct bij aan de cyber security van de mobiliteit in Nederland. 

Van jou wordt verwacht dat je initiatief neemt en verantwoordelijkheid toont. Het CISO Office werkt vanuit de tweede lijn en zorgt voor beleid en het toezicht op de cyberriskmanagementprocessen, de uitvoering van beleid en procedures en het rapporteren van de compliance aan de Raad van Bestuur en directies. Het CISO Office is eigenaar van het Cybersecurity Management Systeem (CSMS), van diverse beleidsonderdelen en borgt de Plan Do Check Act (PDCA) cirkel. Het vastleggen, bewaken en rapporteren van de controls gebeurt via GRC tooling die momenteel wordt geïmplementeerd.  

De organisatie is volop in beweging. De cyberbesturing heeft juist een grote verandering doorgemaakt en de rollen en rapportagelijnen worden nog verder vormgegeven. Van jou wordt verwacht dat je in deze veranderlijke tijden in staat bent een effectieve GRC-koers te bepalen en deze uit te werken in een plan om dat vervolgens op gestructureerde wijze in te vullen. Uiteraard doe je dat niet alleen dus samenwerking binnen én buiten het team is uitermate belangrijk. 

Als senior information security officer GRC ben je verantwoordelijk voor het verder optuigen en onderhouden van het CSMS, het control framework en strategische koers op het gebied van o.a. 

  • Doorontwikkeling GRC tooling.
  • Vaststellen KPI's, KRI's en ontwikkelen dasboards hieromheen.
  • Toezicht op implementatie cybersecuritybeleid intern en bij strategische leveranciers.
  • Verzorgen en verder ontwikkelen van de cybersecurity compliance reporting.
  • Het verder ontwikkelen van de cybersecurityriskmanagement modellen en het kwantificeren van onderliggende risico's.
  • Het begeleiden van Learning from Control Incidents (lessons learned) na incidenten.
  • Adviseren van de resultaatgebiedleiders in de business.
  • Meekijken op aanschaf nieuwe technologie met de cyberbril op.

Je werkt samen met collega’s van CyberSecurity Operations, RISK, Audit, de business, IT en OT-organisatie om tot een praktisch uitvoerbaar beleid en control framework te komen en af te spreken hoe dit wordt geïmplementeerd. Je zorgt ervoor dat de compliance met het beleid en wetgeving kan worden verantwoord en dat de effectiviteit van maatregelen kan worden gemeten met KPI’s. 

Vanuit de tweede lijn ga je de bedrijfsonderdelen adviseren bij de implementatie van het beleid en toezien op de juiste uitvoering ervan. De senior information security officer houdt wetgeving, technologie, standaarden en dreigingslandschap in de gaten. Naast je taken op het gebied van GRC geef je met de rest van het team vorm aan de cybersecurity roadmap en ons veranderprogramma voor cybersecurity verbeteringen.  

Om succesvol te zijn in deze functie heb je ervaring met het verkrijgen van draagvlak in een grote organisatie met uiteenlopende belangen en weet je informatiebeveiliging stevig op de kaart te zetten. Je bent goed in het bijeenbrengen van mensen, samenwerking te stimuleren en gedifferentieerde belangen te verenigen tot gedragen doelstellingen. Tot slot ben je goed op de hoogte van actuele ontwikkelingen op het gebied van informatiebeveiliging.  

Hier ga je werken

NS is aangewezen als Aanbieder Essentiële Dienst (Vitaal) en zal de komende jaren actief en integraal de Wet Bescherming Netwerken en Informatiesystemen (WBNI), de CER en de NIS2 implementeren. Daarnaast zal NS de ZeroTrust filosofie omarmen en hier verder invulling aan gaan geven. 

In het CISO-Office, onderdeel van NS-RISK, krijg je alle ruimte om je eigen ideeën te ontwikkelen en uit te dragen binnen de NS cybercommunity en in de rest van de organisatie. We zijn een team met ervaren experts en professioneel werken staat hoog in het vaandel. We zijn als team verantwoordelijk voor de grote lijnen en bepalen mede de strategie en het NS-brede cybersecuritybeleid. Verder is het team inhoudelijk verantwoordelijk voor een aantal NS-brede onderwerpen zoals bijvoorbeeld cyber-awareness en het bijhouden van het dreigingslandschap. Ook hebben we veel interactie met alle andere cyber-disciplines binnen NS dus je moet goed op de hoogte zijn en blijven wat er op ons vakgebied én binnen de organisatie allemaal speelt, in binnen- en buitenland. 

We zijn een relatief nieuw team en sinds ongeveer een jaar een zelfstandig nieuw directoraat onder de RvB. We moeten dus deels het samenwerken en de afstemming met de rest van de organisatie nog verder uitwerken en vormgeven. Je kunt hier meteen aan meewerken. De rol van het team is met de komst van de WBNI belangrijker geworden en de verantwoording voor andere normenkaders zoals de ISO27001, ISAE3402, SOC2/2, PCI/DSS, NIST en uiteraard de AVG is een continu punt van aandacht. Als team dienen we hiervoor de juiste aanpak te kiezen én te zorgen dat deze ook worden geïmplementeerd en gemonitord. De organisatie verwacht veel van ons en iedereen in het team doet zijn uiterste best om invulling te geven aan de verbetering van de cyberveiligheid van NS.  

Dit zijn de functie-eisen

De NS Cybersecurity directie acteert als de onafhankelijke tweede lijn op het gebied van cybersecurity en geeft de business richting door beleid en normering. Om in deze veelomvattende functie te slagen ben je een conceptueel denker, een pragmatisch uitvoerder en resultaatgericht. Daarbij zet je het volgende in:  

  • Academisch werk- en denkniveau, bij voorkeur een afgeronde opleiding op het gebied van ICT of cybersecurity.  
  • Aanvullende opleidingen op het gebied van cyber security, informatiemanagement of IT-audit en cybersecurity architectuur (zoals CISM, CISA, CISM, CRISC, GICSP, Privacywetgeving).  
  • Minimaal 8 jaar praktijkervaring met en actuele kennis van cyber security, ICT /informatievoorziening en privacywetgeving.  
  • Eerdere ervaring als cybersecurity GRC-medewerker.
  • Ervaring met ISO27001 certificering. 
  • Uiteenlopende belangen, lange trajecten en sterke karakters slaan je niet uit het veld. Sterker nog: jouw verbindingsvermogen, aanstekelijke drive en pragmatisme leiden je naar het beste gezamenlijk resultaat.   
  • Met jouw visie op cyber security weet hoe je een risico-gebaseerde strategie voor cyber security vormgeeft.   
  • Vanzelfsprekend heb je voldoende ICT-kennis om conceptueel mee te kunnen praten, denken en richting te geven.  

Dit zijn de arbeidsvoorwaarden

Werken bij NS betekent dat jij hét verschil kunt maken in de dynamische wereld van duurzame mobiliteit. Jij helpt mee om Nederland bereikbaar te houden, voor iedereen. Bij NS krijg je veel vrijheid. De mogelijkheden om je te ontwikkelen zijn groot. We beloven je dat geen dag hetzelfde is. En als één van de mooiste werkgevers van Nederland hebben we nog meer te bieden. Voor deze functie onder meer:  

  • Een salaris tussen € 4.910,- en € 8.381,- bruto per maand (schaal 62)  (o.b.v. 36-urige werkweek). 
  • Een 36-urige werkweek.  
  • 144 uur wettelijk verlof (o.b.v. een fulltime dienstverband) + extra verlof afhankelijk van leeftijd (minimaal een week). 
  • De mogelijkheid om 3 christelijke feestdagen om te ruilen voor 3 niet-christelijke feestdagen. 
  • 3% eindejaarsuitkering, 8% vakantietoeslag en een uitstekende pensioenregeling.  
  • Je treinreizen in de 2e klas zijn gratis; in de 1e klas reizen kan tegen een kleine eigen bijdrage.  
  • Je gezin reist gratis in de daluren. 
  • Korting op Europese treinreizen zodra je 1 jaar bij NS werkt.  
  • Professionele ontwikkelingsmogelijkheden  
  • Een keuzeplan met o.a. fietsenplan, extra pensioenopbouw of extra vakantiedagen. 
  • Wil je meer weten? Bekijk onze arbeidsvoorwaarden en cao

Solliciteren naar deze baan

Solliciteer direct via de sollicitatiebutton. Binnen enkele minuten ontvang je een automatische sollicitatiebevestiging, binnen 2 weken reageren wij op jouw sollicitatie.

Je kunt je sollicitatie richten aan Gülcan Zirh, corporate recruiter.

Nog vragen over het sollicitatieproces? Mail naar Karin van onze frontoffice via: [email protected]. Ook voor vragen over anoniem solliciteren kun je daar terecht.

Heb je liever telefonisch contact? Bel dan met onze frontoffice via 0886713666.

Goed om te weten:

  • De eerste gesprekken voor deze rol vinden bij voorkeur plaats op Laan van Puntenburg 100 te Utrecht Centraal. 
  • Een achtergrondonderzoek, met o.a. VOG (Verklaring omtrent Gedrag), maakt deel uit van de sollicitatieprocedure. Denk hierbij ook aan het tekenen van een integriteitsverklaring en geheimhoudingsverklaring.
  • We vinden het belangrijk dat iedereen die bij ons werkt zich thuis voelt. Dit zie je in alles wat we doen, en dus ook in ons aannamebeleid. Lees hier meer.
  • Met deze vacature willen wij zelf onze nieuwe collega werven. Dit is dan ook géén oproep voor acquisitie. Deze functie kan niet op interim basis worden vervuld. Bekijk daarvoor onze inhuur pagina.

Wil je meer weten over deze vacature?

Neem dan contact op met

Gülcan Zirh

Recruiter

Sollicitatieprocedure

Jouw droombaan in je mailbox?

Mis nooit meer jouw ideale vacature met onze persoonlijke job alerts.