21-0467 - CISO - Maastricht UMC+ (afgerond)

Locatie

Maastricht

Over het Maastricht UMC+

Het Maastricht Universitair Medisch Centrum+ (MUMC) is een samenwerkingsverband van het academisch ziekenhuis Maastricht en de Faculty of Health, Medicine & Life Sciences van de Universiteit Maastricht.

Het MUMC onderscheidt zich nationaal en internationaal door niet alleen te focussen op gezondheidsherstel, maar ook op gezondheidsbehoud en gezondheidsbevordering. De kerntaken zijn – naast topreferente en topklinische patiëntenzorg – wetenschappelijk onderzoek, onderwijs en opleiding, en valorisatie. Jaarlijks neemt het Maastricht UMC circa 25.000 patiënten op en bezoeken 434.000 patiënten de poliklinieken. Het Maastricht UMC+ beschikt over 715 bedden, ruim 7500 medewerkers en 4000 studenten.

Ambities en uitdagingen op het gebied van security

De afgelopen periode is op het gebied van security al veel gerealiseerd en staat de CISO nu voor de opdracht om security, risk en compliancy binnen MUMC naar een volgend volwassenheidsniveau te begeleiden, verder te professionaliseren en uit te bouwen en te borgen binnen de verschillende onder-delen van het MUMC, rekening houdend met de belastbaarheid van de organisatie. Daarbij dient security meer te internaliseren, te landen in de processen (rapportage, procedures, meten, authorisatie etc.) binnen het MUMC en te worden geadopteerd door de MUMC-organisatie, waarbij het eigenaarschap voor security meer bij het management en in de organisatie komt te liggen.

Om de security weerbaarheid te verhogen ligt er voor de komende periode een security roadmap waar de CISO een belangrijke rol in speelt en de volgende belangrijke opdrachten meekrijgt:

• Het opbouwen van het privacy team en het borgen van privacy in huis, ondermeer middels het realiseren van een goede samenwerking met betrokkenen in het MUMC.
• Het organiseren en opzetten van de samenwerking binnen het MUMC op het gebied van security.
• Het opstellen van een voorstel hoe risicomanagement binnen MUMC in te richten en vorm te geven, awareness te vergroten en de organisatie meer security minded te maken.
• Verder zal de CISO komende periode extra aandacht moeten geven aan het nieuwe EPD.

Dit betekent voor de CISO dat naast het inbrengen van de security kennis, het mede vormgeven en begeleiden van het ontwikkelproces binnen MUMC een belangrijk aandachtspunt is.

De functie CISO

De CISO valt hiërarchisch onder de Chief Information Officer die verantwoordelijk is voor de afdeling Medische Instrumentatie en Informatie Technologie (MIT) waar circa 250 medewerkers werkzaam zijn.

Daarbij heeft de CISO een onafhankelijke positie en een directe rapportagelijn naar de Raad van Bestuur.

De CISO geeft leiding aan 6 medewerkers van het security- en privacy-team.

Het doel van de functie is het zorgdragen voor een samenhangend pakket van maatregelen ter waar-borging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen het ziekenhuis.

De CISO is verantwoordelijk voor het ontwikkelen van strategie en beleid op het gebied van informatie-veiligheid en ziet toe op de implementatie van informatiebeveiliging.

De CISO begeleidt risicoanalyses en past overwogen maatregelen toe. Zoekt daarbij de juiste balans tussen beveiligingseisen en de uitvoering van de primaire processen en voelt zich vanzelfsprekend thuis in het toepassen van nationale en inter-nationale wetgeving, normen en standaarden op het gebied van security, privacy en risicomanagement.

Verantwoordelijkheids- en resultaatgebieden van de CISO

De taken van de Chief Information Security Officer (CISO) zijn in hoofdlijnen: 

• Ontwerpen, implementeren en bijhouden van het Informatiebeveiligingsbeleid.
• Implementeren van een Informatie security functie met aandacht voor mensen, proces en technologie.
• Definiëren en implementeren van informatiebeveiligingsprocessen met bijbehorende procescontroles.
• Coördinereren en adviseren rondom het oplossen en mitigeren van (high impact)beveiligings-incidenten.
• Leiding geven aan het security en privacy team.
• Wanneer van toepassing, ondersteunen en/of uitvoeren van forensisch onderzoek.
• Gevraagd en ongevraagd advies geven aan de CIO, de RvB en/of verantwoordelijk (lijn)management van de organisatie t.a.v. informatiebeveiliging.
• Verzorgen van ‘security awareness’ binnen de organisatie en bij externen in coördinatie met de Universiteit Maastricht.
• Verzorgen van securitytrainingen voor zowel technische als niet-technische collega’s.
• Uitvoeren van risicoassessments en rapporteren over bevindingen. Indien nodig projecten aansturen om risico’s te mitigeren.
• Blijft op de hoogte rondom dreiging zowel binnen als buiten het ziekenhuis. Gebruikt zowel eigen netwerk als die van het ziekenhuis om nieuwe dreiging voor te zijn, en stemt maatregelen daar op af.
• Regievoering voor beveiligingscontroles zoals pentesten, red teaming, etc.
• Regievoering voor ISO27000 en NEN7510 compliance en auditing.
• Verantwoordelijk voor jaarlijkse securityrapportages en jaarplanning voor de afdeling, inclusief bewaking van het budget.
• Aanspreekpunt voor personen en instanties binnen én buiten het ziekenhuis voor informatiebeveiligings- en privacyzaken. Vertegenwoordiger van het ziekenhuis in relevante gremia (NFU, SURF, etc.).
• Voorzitter CERT-team binnen het Ziekenhuis.

Persoonlijkheid, stijl en competenties

Een professional op zijn/haar vakgebied die in staat is om verbinding met de organisatie te maken. Is omge-vingssensitief, weet met gevoelige situaties om te gaan en weet daarin draagvlak te creëren en betrokkenen cq. stakeholders in de noodzakelijke veranderingen te begeleiden.

Iemand met visie, die weet hoe een organisatie te bewegen is naar een meer security gedreven organisatie en weet hoe een security strategie praktisch moet worden vertaald naar tactische en operationele activi-teiten. Creëert draagvlak, is overtuigend, is communicatief sterk en weet met gevoelige situaties om te gaan. De aard van de MUMC-organisatie maakt dat de CISO stevig in zijn/haar schoenen moet staan.

Iemand met een duidelijke eigen mening en strategische visie op cybervolwassenheid en de implementatie van de daarvoor benodigde security organisatie, -processen en –systemen. Iemand die in staat is security op alle niveau’s binnen het MUMC in heldere taal over te brengen en zich kan positioneren als een autoriteit op het gebied van security.

Kan zowel de rol vervullen van security expert, de rol van verandermanager en ondersteuner voor de orga-nisatie vervullen als de rol van controleur en kwaliteitsbewaker.

Kan zich onafhankelijk opstellen in een complexe omgeving met verschillende belangen en beschikt over een grote mate van integriteit en overtuigingskracht. Begrijpt de MUMC omgeving, vindt deze interessant en kan daarin effectief meebewegen. Voelt zich zowel thuis in contacten met bestuur, management, specialisten en medewerkers als met IT- en security-professionals.

Kennis en ervaring

• Academisch werk- en denkniveau (HBO of WO opleiding).
• CISM (ISACA), CRISC, CISSP (ISC2) of andere informatiebeveiligingsopleiding/certificering is een pre.
• Minimaal vijf jaar werkervaring in een informatiebeveiligingsberoep, bij voorkeur als CISO of in een vergelijkbare functie in een vergelijkbare omgeving.
• Bezit ruime technische kennis van en ervaring met informatiebeveiliging en ICT.
• Aantoonbare ervaring in risicomanagement en crisismanagement.
• Een pragmatische aanpak bij het implementeren van een IB-normenkader.
• Heeft ervaring met certificering en audits rondom NEN 7510 en ISO 27001/27002 naast ervaring met relevante wet- en regelgeving waaronder de AVG.
• Aantoonbare ervaring in risicomanagement en crisismanagement.
• Goede schriftelijke en mondelinge adviesvaardigheden in woord en geschrift in het Nederlands en het Engels.
• Beschikt over een goed analytisch vermogen en heeft een proactieve houding.
• Is een enthousiaste teamspeler met een klantgerichte instelling.
• Heeft ervaring met het leiden van teams.
• Bezit de volgende kernwaarden en kenmerken: integriteit, dienende leiderschapsstijl, transparant opereren, stelt het team vóór zichzelf, overtuigingskracht en stressbestendigheid.

Vaardigheden en competenties

• Integriteit
• Dienende leiderschapsstijl
• Transparant opereren
• Stelt het team vóór zichzelf
• Overtuigingskracht
• Stressbestendigheid
• Relatiebouwer en verbinder

Arbeidsvoorwaarden
Het MUMC biedt: 

• De cao universitair medische centra (umc) is op deze functie van toepassing. Afhankelijk van opleiding en ervaring zal er een passend salarisaanbod worden gedaan conform de cao umc.
• Eindejaarsuitkering van 8,3% van je bruto jaarsalaris.
• Goede pensioenvoorziening bij het ABP.
• Mogelijkheid om je collectief te verzekeren voor o.a. ziektekosten (umc) en arbeidsongeschiktheid (Loyalis).
• Cao à la Carte, waaronder bijvoorbeeld een fietsregeling en sportabonnement.
• Diverse incompany trainingen en mogelijkheid tot ontwikkeling via e-learning methodiek.

Het betreft een arbeidsovereenkomst voor 36 uur per week.

Voor deze functie geldt dat voor aanvang van het dienstverband een Verklaring Omtrent Gedrag (VOG) moet worden overhandigd.

Solliciteren

Het MUMC laat zich in deze procedure ondersteunen door Diemen & Van Gestel.

Paul Fouarge van Diemen & Van Gestel begeleidt de werving- en selectieprocedure. Hij zal gesprekken voeren met in potentie voor de functie geschikte kandidaten. Vervolgens zullen de cv’s van geschikte kandidaten aan de opdrachtgever worden gepresenteerd en zullen enkele kandidaten voor de selectiegesprekken worden uitgenodigd.

Jouw cv, vergezeld van een motivatiebrief, kun je toezenden aan Paul Fouarge, via www.diemenenvangestel.nl/vacatures. Voor eventuele vragen: 06 5134 5935.

Reageren