Organisatie
Bij de Provincie Flevoland zetten we vol in op de digitale transformatie en bouwen we daarom aan een weerbaar digitaal ICT en IV (InformatieVoorziening) fundament. Dit digitale fundament draagt bij aan veilige connectiviteit en toegang tot onze werkplekken en systemen. En aan de digitale weerbaarheid van onze organisatie, met een open en transparante informatiehuishouding. Hierbij staat efficiënt samenwerken, kennisdelen en informatie-uitwisseling hoog in het vaandel.

Doelstellingen
Wij snappen dat om grote doelen te behalen je kleine stappen moet zetten. Daarom zijn wij op zoek naar (senior) adviseur(s) informatiebeveiliging die ons helpen met het actief verrichten van risicomanagement, het inrichten van een Information Security Management System (ISMS) en het borgen van de informatiebeveiliging.

Opdracht
Als Operationeel Security Officer (OSO) draag je zorg voor de informatiebeveiliging binnen Flevoland en haar omgeving, met nadruk op het ICT- en asset- “landschap” van het expertiseteam INFRA. Dit doe je door beveiligingsbeleid te maken en implementeren, risico’s te beheersen en audits uit te voeren voor de operationele technologie (OT).

Je rapporteert naar de Programmaleider Cyberweerbaarheid infrastructuur en de Chief Information Security Officer (CISO). In deze rol deel jij je kennis en werk je aan de ontwikkeling van de het expertiseteam Infra op het vlak van informatiebeveiliging. Als OSO binnen de afdeling INFRA ben jij het aanspreekpunt voor alles wat met informatiebeveiliging te maken heeft: Opstellen en Up-to-date houden Cybersecurity Managementsysteem (CSMS), voorkomen en oplossen van incidenten, creëren van bewustzijn en het adviseren bij werkprocessen en aanbestedingen.

Je werkt als Operationeel security officer, die de programmaleider Cyberweerbaarheid infrastructuur ondersteunt bij Opstellen en Up-to-date houden Cybersecurity Managementsysteem (CSMS). Het CSMS is gebaseerd op de CSIR (deze bestaat uit de IEC 62443 & BIO norm) en heeft betrekking op de procesbesturing van bruggen, sluizen, gemalen en iVRI’s (intelligente Verkeer Regel Installaties).

Werkzaamheden kunnen onder andere zijn:
Opstellen en Up-to-date houden Cybersecurity Managementsysteem (CSMS): Het opstellen en up-to-date houden van een CSMS omvat het identificeren van organisatorische kwetsbaarheden, het definiëren van beveiligingsbeleid en -procedures, het implementeren van technische en organisatorische maatregelen, het monitoren van bedreigingen en het regelmatig evalueren en bijwerken van deze maatregelen.

Risicoanalyse en -beoordeling: De OSO is verantwoordelijk voor het identificeren, evalueren en beheren van beveiligingsrisico’s binnen de organisatie. Dit omvat het begrijpen van potentiële bedreigingen en kwetsbaarheden die zowel de IT- als OT-infrastructuur kunnen beïnvloeden. Door deze analyse kan de OSO prioriteiten stellen en passende beveiligingsmaatregelen nemen.

Beveiligingsbeleid en -procedures ontwikkelen en implementeren: De OSO speelt een sleutelrol bij het opstellen en implementeren van beveiligingsbeleid en -procedures. Deze documenten vormen de basis voor het beveiligingskader van de provincie Flevoland en helpen medewerkers te begrijpen wat er van hen wordt verwacht om de informatiebeveiliging te waarborgen.

Beveiligingsbewustzijn bevorderen: Het creëren van een cultuur van informatiebeveiligingsbewustzijn is essentieel. De OSO organiseert trainingen, workshops en bewustmakingsprogramma’s om medewerkers en belanghebbenden op te leiden over informatiebeveiligingsrisico’s, best practices en gedragsrichtlijnen.

Beveiligingsincidenten detecteren en reageren: De OSO is verantwoordelijk voor het opzetten van systemen voor continue monitoring om verdachte activiteiten te detecteren. In geval van een beveiligingsincident leidt de OSO de respons, coördineert de herstelmaatregelen en verzorgt de rapportage. Dit minimaliseert de impact van incidenten op bij de provincie Flevoland.

Compliance en regelgeving naleven: De provincie Flevoland moet voldoen aan wettelijke vereisten op het gebied van informatiebeveiliging. De OSO zorgt ervoor dat de provincie Flevoland aan deze vereisten voldoet en dat de provincie Flevoland in lijn is met de BIO, CSIR 3.4 & Nis2.

Beveiligingsmaatregelen beheren en verbeteren: Beveiligingsmaatregelen moeten regelmatig worden geëvalueerd en aangepast aan veranderende bedreigingen en technologieën. De OSO beheert deze maatregelen, houdt ze up-to-date en optimaliseert ze voor maximale efficiëntie en effectiviteit.

Samenwerken met belanghebbenden: Cybersecurity is een inspanning van de hele organisatie. De OSO werkt nauw samen met IT- en OT- expertiseteams, management, externe leveranciers en partners om een pragmatische benadering van cybersecurity te garanderen.

Technische expertise bijhouden: Beveiligingstechnologieën en -bedreigingen evolueren voortdurend. De OSO blijft op de hoogte van de nieuwste ontwikkelingen in beveiliging om de organisatie te beschermen tegen opkomende bedreigingen.

Rapportage en communicatie: De OSO rapporteert aan de CISO en programmaleider cyberweerbaarheid over de status van de informatiebeveiliging, incidenten, compliance en voortgang van beveiligingsinitiatieven. Dit zorgt voor transparantie en helpt bij het nemen van beslissingen.

Benodigd aantal professionals
1.

Werkdagen
De opdracht kan worden vervuld op alle dagen in de week. Een deel van de werkzaamheden kan ‘op afstand’ uitgevoerd worden.

Minimumeisen/ knock-outcriteria
1. Bij uitvoering van de opdracht worden geen IT-middelen ter beschikking gesteld, Onder IT-middelen wordt verstaan: laptop en toebehoren. Indien nodig stelt de opdrachtgever een token ter beschikking;
2. Uurtarief maximaal € 125,- exclusief BTW / inclusief reiskosten woon-werkverkeer en fee Flextender;
3. Minimaal 1 jaar aantoonbare werkervaring als informatiebeveiliging adviseur , bij een overheid, semi-overheid organisatie of vergelijkbaar (benoem dit duidelijk in het cv middels een projectbeschrijving op een aparte pagina in het cv;
4. Minimaal 1 jaar aantoonbare werkervaring met (de coördinatie van) de beveiliging van procesbesturing bijvoorbeeld van de besturing van bruggen, sluizen, gemalen en/of verkeer regel installaties (conform de daarvoor geldende (internationale/nationale) normen (zoals de CSIR 3.0 / CSIR 3.4 en de IEC 62443) (benoem dit duidelijk in het cv middels een projectbeschrijving op een aparte pagina in het cv).

Gunningscriteria te beoordelen door Flextender (weging, totaal 100 punten)
5. Minimaal 1 Aantoonbare werkervaring met de toetsing op normenkaders, zoals de CSIR 3.0/CSIR 3.4 en de IEC 62443 (benoem dit duidelijk in het cv);
a. Geen aantoonbare werkervaring;
b. 1 tot 3 jaar aantoonbare werkervaring met de toetsing op normenkaders, zoals de CSIR 3.0/CSIR 3.4 en de IEC 62443 (benoem dit duidelijk in het cv) (10 punten);
c. 3 tot 4 jaar aantoonbare werkervaring met de toetsing op normenkaders, zoals de CSIR 3.0/CSIR 3.4 en de IEC 62443 (benoem dit duidelijk in het cv) (15 punten);
d. Meer dan 4 jaar aantoonbare werkervaring met de toetsing op normenkaders, zoals de CSIR 3.0/CSIR 3.4 en de IEC 62443 (benoem dit duidelijk in het cv) (20 punten);
6. Minimaal 1 jaar aantoonbare werkervaring met het coördineren van en/of de implementatie van beheersmaatregelen (conform de CSIR 3.0 / CSIR 3.4 en de IEC 62443) (benoem dit duidelijk in het cv);
a. Geen aantoonbare werkervaring;
b. 1 tot 3 jaar aantoonbare werkervaring met het coördineren van en/of de implementatie van beheersmaatregelen (conform de CSIR 3.0 / CSIR 3.4 en de IEC 62443) (10 punten);
c. Meer dan 3 jaar aantoonbare werkervaring met het coördineren van en/of de implementatie van beheersmaatregelen (conform de CSIR 3.0 / CSIR 3.4 en de IEC 62443) (20 punten);
7. Aantoonbare werkervaring als adviseur informatiebeveiliging;
a. Tot 1 jaar aantoonbare werkervaring als adviseur informatiebeveiliging (0 punten);
b. 1 tot 2 jaar aantoonbare werkervaring als adviseur informatiebeveiliging (15 punten);
c. Meer dan 2 jaar aantoonbare werkervaring als adviseur informatiebeveiliging (30 punten).
8. Aantoonbare werkervaring in het opstellen en implementeren van een CSMS;
a. Tot 1 jaar Aantoonbare werkervaring in het opstellen en implementeren van een CSMS (0 punten);
b. 1 tot 2 jaar Aantoonbare werkervaring in het opstellen en implementeren van een CSMS (15 punten);
c. Meer dan 2 jaar Aantoonbare werkervaring in het opstellen en implementeren van een CSMS (30 punten).

Geef in het cv duidelijk aan in hoeverre u/ de door u aangeboden kandidaat aan het bovengenoemde profiel voldoet.

Competenties

• Is een netwerker, die zelfstandig zijn weg zoekt en vindt binnen de provinciale organisatie en buiten de organisatie (interprovinciaal, netwerk partijen, leveranciers)
• Is in staat om zelfstandig zorg te dragen voor afstemming, coördinatie, vaststelling van (deel)producten en (deel)projecten en het verkrijgen van draagvlak en akkoord op directie en bestuurlijk niveau (gedeputeerde).

Cv-richtlijnen
Maximaal 5 pagina’s, opgesteld in het Nederlands, minimaal 2 referenties. Uit het cv dient duidelijk naar voren te komen waarom de kandidaat geschikt is voor deze functie.

Beoordeling
Stap 1: Beoordeling cv’s op minimumeisen
Flextender beoordeelt de cv’s op de minimumeisen/ knock-outcriteria in het bovengenoemd profiel. Kandidaten die voldoen aan de minimumeisen in het bovengenoemde profiel worden geselecteerd voor stap 2 in de beoordeling. De kandidaten die niet voldoen worden niet verder beoordeeld.

Stap 2: Selectie tien (10) cv’s die aan de organisatie worden voorgelegd
Flextender beoordeelt de cv’s van de kandidaten die voldoen aan de minimumeisen in het bovengenoemde profiel in onderlinge vergelijking op de bovengenoemde “gunningscriteria te beoordelen door Flextender”.

De tien (10) kandidaten die het beste scoren op bovengenoemde criteria worden geselecteerd voor stap 3 in de beoordeling. Bij een gelijke score is het uurtarief doorslaggevend. Inschrijvingen met een lager uurtarief krijgen in dat geval de voorkeur boven inschrijvingen met een hoger uurtarief. De overige kandidaten worden niet voorgelegd aan de opdrachtgever voor verdere beoordeling.

Stap 3: Uitnodiging voor een selectiegesprek
De opdrachtgever beoordeelt de cv’s van de kandidaten die door Flextender zijn geselecteerd in onderlinge vergelijking op de volgende criteria.

1. Relevante werkervaring op soortgelijke opdrachten.
2. Relevante werkervaring bij soortgelijke organisaties.

De kandidaten die na deze beoordeling het beste scoren op de beoordeelde gunningscriteria worden uitgenodigd voor een selectiegesprek (stap 4 in de beoordeling). In principe worden de beste drie kandidaten worden uitgenodigd voor een gesprek. De overige kandidaten worden niet uitgenodigd voor een gesprek.

Stap 4: Selectiegesprek
In het selectiegesprek wordt door de opdrachtgever nader getoetst in hoeverre de betreffende kandidaten voldoen aan het bovengenoemde profiel (met name wordt getoetst op de competenties). Het selectiegesprek wordt gevoerd met minimaal twee vertegenwoordigers van de provincie. De kandidaten dienen op elke competentie minimaal een voldoende te scoren. Indien geen van de geselecteerde kandidaten op alle competenties minimaal een voldoende scoort zal stap drie van de beoordeling worden herhaald.

De opdracht wordt gegund aan de kandidaat die naar het oordeel van de organisatie het beste voldoet aan het bovengenoemde profiel. Alle overige kandidaten worden geïnformeerd dat de opdracht niet aan hen wordt gegund. Er wordt een opschortende termijn van 7 dagen gehanteerd ter behandeling van eventuele bezwaren.

Functieschaal
Deze functie is ingedeeld in functieschaal 11. Deze functieschaal is (eventueel) verbonden aan de desbetreffende CAO van de opdrachtgever inzake de inlenersbeloning.

Fee Flextender
Flextender brengt voor deze opdracht €2,25 per gewerkt uur in rekening bij de winnende leverancier. 

Overige informatie

• De provincie kan verzoeken tot het ondertekenen van een geheimhoudingsverklaring;
• Voorafgaande het selectiegesprek kan een casus verstuurd worden ter voorbereiding;
• Er wordt voor zakelijke ritten een reiskostenvergoeding gehanteerd. Dienstreizen worden bij voorkeur met het openbaar vervoer gemaakt. De kosten hiervoor kunnen worden gedeclareerd. Is de plaats van bestemming alleen per auto bereikbaar, dan wordt een kilometervergoeding van €0,37 gehanteerd. Is de bestemming wel bereikbaar met openbaar vervoer, maar wordt er toch met de eigen auto gereisd, dan is de kilometervergoeding €0,14. De basis voor de uitbetaling van het aantal kilometers is de snelste reisafstand vanaf je standplaats, gemeten via routenet.nl. Reis je vanaf je huisadres rechtstreeks naar een bestemming en is die afstand korter dan vanaf je standplaats? Dan krijg je een volledige vergoeding op basis van deze kortere afstand. Reis je naar een bestemming waarbij je je standplaats passeert? Dan kun je alleen de afstand vanaf je standplaats naar de bestemming declareren;
• Indien opdrachtnemer personeel ter beschikking stelt, staat opdrachtnemer in het handelsregister geregistreerd als bedrijf dat personeel ter beschikking stelt (conform Waadi);
• De Verwerkersovereenkomst kan onderdeel uitmaken van de opdracht welke is te vinden onder de Algemene Inkoopvoorwaarden van de Provincie Flevoland.
• De provincie Flevoland is niet verplicht de Opdracht te gunnen.

De provincie Flevoland behoudt zich het recht voor het aanbestedingsproces geheel of gedeeltelijk, tijdelijk of volledig, stop te zetten en/of de Opdracht niet te gunnen.

Door deel te nemen aan of in te schrijven op deze aanbestedingsprocedure stemt deelnemer in met alle voorwaarden van deze uitvraag.

Planning en meer informatie
Vragen kunnen ingediend worden tot dinsdag 21 november 2023, 09.00 uur. De vragen en bijbehorende antwoorden worden op woensdag 22 november 2023 gepubliceerd op onze website. Inhoudelijke vragen kunt u indienen bij Flextender, via de onderstaande button. Vragen omtrent de procedure kunt u telefonisch stellen. Flextender is bereikbaar op telefoonnummer 035-7510777.

De gesprekken bij de provincie zijn gepland op dinsdag 28 november 2023 tussen 11.00 uur en 14.00 uur. De kandidaten die hiervoor uitgenodigd zijn, ontvangen uiterlijk maandag 27 november 2023 bericht. Overige kandidaten ontvangen na de gesprekken bericht over de uitkomst van de procedure.

De reactietermijn van deze inhuuropdracht duurt tot vrijdag 24 november 2023, 09.00 uur. Tot die tijd kunt u reageren.