Supply Chain Risk Management consultant, Utrecht

Voor ProRail in Utrecht is Harvey Nash op zoek naar een Supply Chain Risk Management consultant
Start: 1-5-2024
Eind: 31-12-2024 (optie op verlenging mogelijk)
Inzet: 24 uur per week
Deadline inschrijfperiode: 9 mei vòòr 09:00 uur
Max tarief: 82,09 Euro all-in (inc. evt. Reis- en/of verblijfskosten)

Rechstreeks reageren met CV + aanvullende motivatie kan via: maud.vanderscheer@harveynash.com.

Profielinformatie
Organisatieomschrijving De afdeling Cybersecurity is een snelgroeiende afdeling die ProRail adviseert, ondersteunt en monitort op het gebied van informatiebeveiliging binnen het ICT en OT domein. Een van de verantwoordelijkheden is het (begeleiden van het) implementeren van nieuwe wet- en regelgeving op dit gebied, waarbij we verder gaan dan alleen het papier. Een van de actuele dossiers is de voorbereiding op de nieuwe Europese (NIS2) en Nederlandse (Wet Digitale Veiligheid) wetgeving rond cybersecurity.

Functiebeschrijving
Opdracht: Een van de eisen uit de NIS2 is dat ProRail beter in control komt op de risico’s die kunnen optreden in de toeleveringsketen: Cyber Supply Chain Risk Management.
ProRail wil daarom haar beleid en eisen rond information security in de leveranciersketen aanscherpen en beter borgen in de processen. Hiervoor worden onder andere het bestaande beleid herzien, kritieke leveranciers in kaart gebracht, een toetsingskader ontwikkeld en diverse pilots uitgevoerd. Dit gebeurt in nauwe samenwerking met de afdelingen Procurement, BCM, Privacy en Leefomgeving, Juridische zaken & Vastgoed.
De werkzaamheden worden verricht in nauwe samenwerking met en onder aansturing van de dossierhouder, een Information Security Manager van de afdeling Cybersecurity.
De inzet betreft gemiddeld 2 dagen per week gedurende 6 maanden.

Verantwoordelijkheden
De werkzaamheden omvatten in ieder geval:

• Update ProRail information security leveranciersbeleid en -eisen, door toetsing aan eisen uit de ISO22001/2-BIO-NIS2-CSIR en vertaling van de IT en OT security baselines;
• Opzetten en uitvoeren van pilots met leveranciers (toetsing beleid in bestaande contracten, borging van nieuw beleid in nieuwe contracten);
• (Meewerken aan) het opstellen procesontwerp van de gewenste situatie;
• (Meewerken aan) het opstellen toetsingskader t.b.v. leverancierscategorieën;
• Borging van de information security eisen in de relevante standaarddocumenten i.s.m. de andere disciplines. Dit is een op te starten ProRail brede actie, waarin het belang van de afdeling Cybersecurity vertegenwoordigd moet worden.

Resultaat

• Herijkt leveranciersbeleid en verwerking van relevante items in de security baselines.
• Gedocumenteerde procesbeschrijving van de borging van cybersecurity in inkoop- en aanbestedingsprocessen, inclusief de afspraken met afdelingen zoals Procurement, Juridische Zaken en de eerste lijnsafdelingen.
• Afgeronde pilots met leveranciers inclusief leveranciersdossiers.
• Borging leveranciersdat in het ISMS tool.
• Vormgeven van de rapportage, KPI’s en prestatiecriteria t.b.v. contract en leveranciersmanagement op het gebied van cybersecurity.

Functie eisen

• Toepassing van relevante normenkaders en wetgeving zoals de ISO27001/2, Wbni, NIS2. Ervaring met ISO22301 in leveranciersrelaties is een pré.
• Kennis van inkoop- en aanbestedingsprocessen en de rol van information security daarin.
• Ontwikkeling van beleid en security baselines.
• Ervaring met risicomanagement, liefst in ketens;
• Uitstekende beheersing van de Nederlandse taal, zowel in woord als schrift, vereist
• Nederlandstalig CV vereist
• Ervaring in de spoorse sector is een pré
• Opstellen en uitvoeren van assessments
• Teamspeler.
• Communicatievaardig,
• Zelfstandig werkend,
• Omgevingssensitief.
• Doorzetter.

Bij reageren op de aanvraag graag het volgende vermelden:

• Eerst mogelijke startdatum
• Beschikbaarheid in uren per week
• Vakantieplanning op korte termijn
• Woonplaats
• Dienstverband/ZZP
• Toegevoegde aanvullende motivatie o.b.v. verantwoordelijkheden en eisen