21-0460 - CISO - Deventer Ziekenhuis (afgerond)

Locatie

Deventer

Over het Deventer Ziekenhuis

Het Deventer Ziekenhuis (hierna: DZ) staat voor topklinische en persoonsgerichte zorg. Het DZ is een betrokken en ambitieuze organisatie die luistert naar patiënten en daardoor continu verbetert. DZ is lid van Samenwerkende Topklinische opleidingsziekenhuizen en volgt de nieuwste ontwikkelingen, investeert veel in innovatie en wetenschappelijk onderzoek.

Jaarlijks neemt DZ circa 20.000 patiënten op en bezoeken 300.000 patiënten de poliklinieken van DZ.

In 2018 en 2020 is DZ verkozen tot Beste Werkgever in de zorg. Bij DZ werken circa 2380 personeelsleden en 187 medisch specialisten.

Ambities en uitdagingen op het gebied van ICT en security

De afgelopen periode is op het gebied van security met name op technisch gebied al veel gerealiseerd en staat de CISO nu voor de opdracht om security, risk en compliancy binnen DZ naar een volgend volwassenheidsniveau te begeleiden, verder te professionaliseren en uit te bouwen en te borgen binnen de verschillende onderdelen van DZ, rekening houdend met de belastbaarheid van de organisatie.

Voor de komende periode staat het afmaken van het reeds in gang gezette NEN7510 certificeringstraject hoog op de agenda. Daarnaast dient security meer te internaliseren, te landen in de processen (rapportage, procedures, meten, authorisatie etc.) binnen DZ en te worden geadopteerd door de DZ-organisatie, waarbij het eigenaarschap voor security meer bij het management en in de organisatie komt te liggen. Dit betekent voor de CISO dat naast het inbrengen van de security kennis, het vormgeven en begeleiden van het proces van het vergroten van de awareness en het ownership binnen DZ een belangrijk aandachtspunt is.

De functie CISO

De CISO heeft de verantwoordelijkheid voor het opzetten en borgen van de uitvoering van het security-, risk- en compliancebeleid m.b.t. informatiebeveiliging. Het doel van de functie is het zorgdragen voor een samenhangend pakket van maatregelen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen de organisatie.

Risico analyse, oog voor de bedrijfsvoering en inachtneming van de wettelijke voorschriften zijn sleutelbegrippen. De functie is organisatorisch en technisch gericht.

• Organisatorisch: doel is om binnen de organisatie voldoende organisatorische beveiligingsmaatregelen te initeren en te borgen en wel zodanig dat alle technische beveiligingsmaatregelen ook daadwerkelijk effectief zijn.
• Technisch: doel is om met de bij de functie behorende specialistische kennis en kunde het beveiligingsrisico als gevolg van de toepassing van (nieuwe) technologieën op een aanvaardbaar niveau te brengen en te houden.

De functie CISO is een adviserende staffunctie, rapporteert rechtstreeks aan de RvB en heeft een onafhankelijke en adviserende rol naar de lijn. Is intern een zichtbare ambassadeur op security gebied en vertegenwoordigt DZ in landelijke en regionale samenwerkingsverbanden.

Organisatiebreed zorgt de CISO dat informatie goed beveiligd is, risico’s op informatiebeveiligingsincidenten en cybercrime worden gemanaged en treedt op bij security incidenten. Voor DZ is de CISO de expert op het terrein van informatiebeveiliging. Identificeert de informatiebeveiligingsrisico’s, analyseert deze en formuleert maatregelen om de risico’s  tot een acceptabel niveau te beperken in lijn met het informatiebeveiligingsbeleid en de informatiebeveiligingsstrategie. Ziet toe op de naleving van de maatregelen en het effect ervan. De CISO werkt daarbij nauw samen met ondermeer de Funtionaris Gegevensbescherming.

Verantwoordelijkheids- en resultaatgebieden van de CISO

Beleid en coördinatie

• Het opstellen, onderhouden en actualiseren van het informatiebeveiligingsbeleid en afgeleide richtlijnen en maatregelen (langere termijn).
• Het zorgen voor en bijdragen aan de besluitvorming en heldere communicatie in samenwerking met alle betrokken partijen.
• Het (laten) opstellen van informatiebeveiligingsplannen voor afdelingen of deelgebieden en hen ondersteunen en adviseren ten aanzien van kaders en richtlijnen.
• Het coördineren van de werkzaamheden van personen, afdelingen en instanties die betrokken zijn bij de uitvoering van het informatiebeveiligingsbeleid.
• Het organiseren van en deelnemen aan een coördinerend overleg met betrekking tot informatiebeveiliging.
• Het volgen van nieuwe ontwikkelingen en wetgeving op het gebied van informatiebeveiliging.
• De organisatie waar nodig vertegenwoordigen in externe gremia.

Advies en rapportage

• Geeft gevraagd en ongevraagd advies aan de RvB en/of verantwoordelijk (lijn)management van de organisatie t.a.v. informatiebeveiliging.
• Rapporteert aan de RvB over het gevoerde beleid m.b.t. informatiebeveiliging, de voortgang van implementatie van nieuwe maatregelen, opgetreden incidenten, ondernomen acties, resultaten van onderzoeken en resultaten van controles.
• Stemt informatiebeveiliging af met lopende projecten binnen de organisatie.
• Werkt beveiligingsplannen uit t.a.v. maatregelen, evenals het leveren van ondersteuning bij het uitvoeren van de vastgestelde plannen.

Controle en registratie

• Houdt toezicht op de implementatie en naleving van het informatiebeveiligingsbeleid.
• Stelt een controleplan op, evenals het leveren van ondersteuning bij het uitvoeren van de daarin gedefinieerde taken.
• Verzamelt en registreert informatie over de aanwezige beveiligingsmaatregelen. Analyseert de resultaten en neemt passende maatregelen.
• Zorgt voor het opzetten of initiëren van een registratie voor beveiligingsincidenten, evenals het ondersteunen bij het afhandelen van opgetreden incidenten en het nemen van preventieve maatregelen ter voorkoming van dergelijke incidenten.
• Draagt zorg voor de monitoring en bewaking van ICT-systemen m.b.t. informatiebeveiliging.

Communicatie en voorlichting

• Verzorgt en coördineert voorlichting en interne opleidingen van het personeel op het gebied van informatiebeveiliging.
• Stimuleert het beveiligingsbewustzijn en het opstellen, uitvoeren en onderhouden van een communicatieplan m.b.t. informatiebeveiliging.
• Verhoogt via verschillende communicatie uitingen de bewustwording op het gebied van security bij management en medewerkers.
• Onderhoudt externe- en interne contacten op alle niveaus binnen de organisatie.

Uitvoering

• Borgt en ziet toe op de naleving van geldende relevante wet- en regelgeving.
• Heeft een sturende rol bij interne en externe audits en voert kwalitatieve en kwantitatieve risico-impact analyses uit.
• Wordt ingeschakeld bij (potentiële) calamiteiten en/of bedreigingen op het gebied van IT security.
• Treedt op als projectmanager bij beveiligingsprojecten, waarbij aansturing wordt gegeven aan projectleiders binnen de organisatie.

Persoonlijkheid, stijl en competenties

Een professional op zijn/haar vakgebied die in staat is om verbinding met de organisatie te maken. Is omgevingssensitief, weet met gevoelige situaties om te gaan en weet daarin draagvlak te creëren en betrokkenen/stakeholders in de noodzakelijke veranderingen te begeleiden.

Iemand die weet hoe een organisatie te bewegen is naar een meer security gedreven organisatie en weet hoe een security strategie praktisch moet worden vertaald naar tactische en operationele activiteiten. Creëert draagvlak, is overtuigend, is communicatief sterk en weet met gevoelige situaties om te gaan. De aard van de DZ-organisatie maakt dat de CISO stevig in zijn/haar schoenen moet staan. De meeste impact maak de CISO binnen DZ door awareness te creëren en samen te werken.

Iemand met een duidelijke eigen mening en strategische visie op cybervolwassenheid en de implementatie van de daarvoor benodigde security organisatie, -processen en –systemen. Iemand die in staat is security in heldere taal over te brengen en zich kan positioneren als een autoriteit op het gebied van security.

Kan zowel de rol vervullen van security expert, de rol van verandermanager en ondersteuner voor de organisatie vervullen als de rol van controleur en kwaliteitsbewaker.

Kan zich onafhankelijk opstellen in een complexe omgeving met verschillende belangen en beschikt over een grote mate van integriteit en overtuigingskracht.

Begrijpt de DZ omgeving, vindt deze interessant en kan daarin effectief meebewegen. Voelt zich zowel thuis in contacten met bestuur, management, specialisten en medewerkers als met IT- en security-professionals.

Kennis en ervaring

• Een relevante opleiding op HBO/WO-niveau.
• Relevante opleidingen op het gebied van informatiebeveiliging, zoals certificeringen CISM, CISA, CISSP of SANS en up-to-date kennis van security systemen en -tooling.
• Minimaal 8 jaar ervaring binnen het domein van informatie(beveiliging) in een complexe omgeving, waarvan minimaal 4 jaar ervaring als chief information security officer of een vergelijkbare functie.
• Kennis en ervaring op het gebied van:

      -Relevante wet- en regelgeving en normen zoals NEN 7510

      -Actuele stand van zaken en mogelijkheden van ICT

      -Bedrijfskunde/informatica/organisatiekunde

      -Informatiebeveiliging en risico analyse (methoden)

      -Projectmatig werken en projectmanagement

      -De technische infrastructuur/inschatting van de kwetsbaarheid

      -Complexe informatiebeveiligingsvraagstukken

Vaardigheden en competenties

• Conceptueel sterk en flexibel
• Geduld
• Omgevingsbewust
• Communicatief sterk (mondelinge, schriftelijke en presentatievaardigheden)
• Ambitieus
• Overtuigingskracht
• Integere en prettige gesprekspartner, een relatiebouwer en verbinder
• Sociaal vaardig
• Teamspeler

Arbeidsvoorwaarden, DZ biedt

• Een positieve werksfeer, veel vrijheid en ‘can-do mentaliteit’
• Alle kansen om elke dag een beetje beter te worden en jezelf blijvend te ontwikkelen
• Een fijne werkplek in Deventer
• Een marktconform salaris met een 13^e maand
• Arbeidsvoorwaarden conform de CAO Ziekenhuizen

Solliciteren

Deventer Ziekenhuis laat zich in deze procedure ondersteunen door Diemen & Van Gestel. Paul Fouarge, directeur van Diemen & Van Gestel, begeleidt de werving- en selectieprocedure. Hij zal gesprekken voeren met in potentie voor de functie geschikte in- en externe kandidaten.

Vervolgens zullen de cv’s van geschikte kandidaten aan de opdrachtgever worden gepresenteerd en zullen enkele kandidaten voor de selectiegesprekken worden uitgenodigd. Er worden in het eindstadium van de selectieprocedure van benoembare kandidaten referenties ingewonnen.

Een ontwikkelassessment behoort tot de mogelijkheden als onderdeel van de sollicitatieprocedure.

Jouw cv, vergezeld van een motivatiebrief, kun je t/m 12 februari a.s. toezenden aan drs. ing. Paul Fouarge, via www.diemenenvangestel.nl/vacatures.  Voor eventuele vragen: 06 5134 5935.

Reageren