Voor APG, is Magnit op zoek naar een Information Risk & Security Officer.

Functieomschrijving:

Als Information Risk & Security Officer binnen APG Shared IT Services, geef jij, samen met 9 andere collega’s, vorm aan de volgende grote stappen in de verdere professionalisering van IT risicomanagement binnen APG Shared IT Services (hierna SIS). Je begeleidt de SIS-organisatie met risico management activiteiten ten aanzien van de operationele en strategische risico’s en rapporteert daarover het management. Omdat wij actief zijn binnen de pensioensector, lopen we andere risico’s dan bijvoorbeeld banken en verzekeraars. Dit vraagt om een risicobeheersing op maat. Belangrijk daarbij is het identificeren, analyseren en beheersen van operationele en strategische risico’s. Naast risicomanagement voert ons team ook onderzoeken uit naar aanleiding van of ter voorkoming van incidenten. Verder spelen we een belangrijke rol in het verhogen van bewustwording over IT risk en informatiebeveiliging binnen SIS. Tot slot zijn wij spin in het web voor SIS als het gaat om interne beheersing en externe verantwoording. Denk aan beheersing en verantwoording omtrent DNB, ISAE, Swift, DigiD, CSA en ISO27001.     

Dit ga je doen:

Deze vacature is bedoeld voor een doelgroep met verschillende hoeveelheid werkervaring. We zoeken zowel mediors als seniors op het gebied van IT risicobeheersing en informatiebeveiliging. Afhankelijk van jouw ervaring en kennisniveau schalen we jou in op taken en verantwoordlijkheden in het team.

Tijdens de weekstart brengt het team elkaar op de hoogte over lopende zaken, delen jullie successen met elkaar en stellen jullie wanneer nodig de hulpvraag aan elkaar. Natuurlijk is er ook ruimte om te horen hoe het met iedereen gaat! Daarna tref je de voorbereidingen voor het Risk Committee. Hierin worden de ontwikkelingen van het afgelopen kwartaal besproken en mogelijke acties bepaald. Samen met twee teamleden stel je een integrale risico rapportage op met input van verschillende stakeholders. Na een korte koffiebreak heb je een bespreking van de scope voor de jaarlijkse ISAE 3402 audit met de externe accountant en interne stakeholders uit andere business units.

In deze rol rapporteer en adviseer je aan het management van SIS. Daarbij ben jij ook direct een belangrijke sparringpartner voor hen en voor andere stakeholders. Jouw verantwoordelijkheden bestaan uit:

• Het vertalen van 2e lijn risk & security beleid naar IT procedures en standaarden;
• Het adviseren op het gebied van risicobeheersing en informatiebeveiliging van IT teams in hun dagelijkse werkzaamheden en projecten;
• Het rapporteren aan en adviseren van het IT management over risico’s, interne beheersing en specialistische onderzoeken;
• Het onderhouden en bijsturen van het IT beheersingsraamwerk van SIS;
• Het stimuleren en verbeteren van risico gedreven bewustwording en besluitvorming in de IT organisatie;
• Het opstellen en presenteren van risico rapportages aan management en andere teams in de APG-organisatie;
• Het onderhouden van ons ISAE 3402 raamwerk, coördineren van testwerkzaamheden en aanspreekpunt voor onze teams en onze accountant;
• Periodieke inventarisatie en herziening van risico’s op MT-niveau;
• Registreren van operationele incidenten, faciliteren van root cause analyses en rapporteren daarover;
• Uitvoeren van (operationele) risk (self) assessments op team-, project-, product- en proces niveau.

Dit breng je mee:

Een hands-on mentaliteit en een goede dosis gezond verstand zorgen ervoor dat jij een goede vertaalslag kan maken van strategie en beleid naar de praktijk. Je ziet snel de samenhang tussen bedrijfsonderdelen, processen en informatiebeveiligingsvereisten en bent in staat om analytisch, logisch en abstract te denken. Verder ben je een extravert persoon, ben je sterk in oordeelsvorming, bezit je overtuigingskracht en werk je goed samen maar kun je ook makkelijk zelfstandig opereren. Integriteit en betrouwbaarheid zijn hierbij vanzelfsprekend.

Verder vragen wij:

• Een HBO+/WO opleidingsniveau in business management of vergelijkbare opleiding;
• Tussen de 3 en 10 jaar aantoonbare en relevante werkervaring op het gebied van IT risico management en/of informatiebeveiliging;
• Certificeringen op het gebied van security en auditing zoals RE, CISM, CRISC, ISO27001 lead implementer of auditor zijn een pre;
• Je beschikt over goede communicatieve vaardigheden en bent oplossingsgericht;
• Je hebt kennis van bedrijfsprocessen en ervaring met veranderingen en requirements management;
• Je hebt ervaring met procesmatig werken en AO/IC.

Aanvullende info:

• Locatie: Heerlen, 2 dagen per week op locatie in goed overleg
• Uren per week: 40 uur
• Dienstverband: Loondienst, GEEN ZZP
• Functieschaal: 9