Compliance Beheerder IV - Freelance opdracht

Het IMG rapporteert op compliancy aan de hand van (externe) normenkaders en verbetert dit waar nodig.

Dit geldt onder meer voor de BIO2 normen, het door de Audit Dienst Rijk (ADR) opgestelde GITC-normenkader, en de in de jaarlijkse ICT-beveiligingsassessment voor DigiD gehanteerde selectie uit het document 'ICT-beveiligingsrichtlijnen voor webapplicaties' van het Nationaal Cyber Security Centrum (NCSC).

Jouw opdracht is de compliancy op deze normenkaders continu te borgen en te verbeteren, en het IMG daarnaast in staat te stellen

opzet/bestaan/werking op individuele normen bij audits aan te tonen.

Het principe is om het eenmalig in opzet procedures te beschrijven en te implementeren en daarmee Interne Controle (IC), Interne Audit Dienst (IAD) of ADR-audits, DigiD assessment, Management Systeem IV en COBIT 2019 raamwerk op een gestructureerde manier van informatie te voorzien. Daarnaast is onderdeel van de opdracht de opzet van uitvoeringsprocessen verder uit te werken en verbeteren. (zoals bijvoorbeeld uitwerken van acties in jaarplannen, opzetten van beheerkalenders)

Dit doe je door:

• De aanbevelingen van de Interne/Externe auditors en de Autoriteit Persoonsgegevens op de normenkaders op te volgen door in de kennisbank van IMG IV operationele procedures op te stellen en inbedding van de procedures in het team te realiseren.

• Je doet dit onder meer op basis van de bestaande GAP-analyse op compliancy met het GITC-normenkader, volgens de prioritering o.b.v. een risicoanalyse die je samen met de IV-controller maakt.

• Je werkt operationele procedures (Opzet) uit in afstemming met het aan jou gekoppelde uitvoerende team binnen de afdeling Informatievoorziening.

• Bij deze uitwerkingen draag je zorg dat in opzet wordt opgenomen dat wanneer externe normen vereisen dat "Werking" aangetoond kan worden, in de opzet is opgenomen hoe dit georganiseerd is.

• Bij deze uitwerking draag je zorg dat deze uitwerkingen in lijn zijn met IMG-beleid. Je hebt daarbij oog (en toetst dit) voor de uitvoerbaarheid binnen de operatie. Wanneer beleid ontbreekt en noodzakelijk is om te voldoen aan externe normen, dan doe je daar een aanzet toe in samenwerking met de beleidseigenaar.

• Je zorgt dat de in opzet opgestelde/bijgestelde uitvoeringsprocessen worden geïmplementeerd.

• Je creëert draagvlak voor de adoptatie bij de uitvoerende teams.

• Je draagt bij aan de koppeling tussen testscripts van (nu bekende) audit aanpakken en de aan te leveren documentatie daarop als onderdeel van een werkgroep die dit organiseert.

• Je draagt bij aan de volwassenheid van de IMG IV control framework door in samenwerking met de IV controller de bij jouw onderhanden normen en uitwerkingen in te voegen in het Cobit Framework.

Het mijnbouwdossier kenmerkt zich door grote complexiteit en multidimensionale vraagstukken in de regio Groningen. Burgers komen in aanmerking voor vergoeding van schade als gevolg van mijnbouwactiviteiten in het Groningenveld. Daarnaast komen een deel van de burgers ook in aanmerking voor versterkingsmaatregelen aan hun woning. Voorts is er een recente grote politieke druk en wens buiten de causaliteit schades af te handelen. Deze wens leidt tot een substantiële wijziging van de werkzaamheden van het IMG, terwijl tegelijkertijd de behandeling van huidige dossiers nog aan de orde is. Het IMG is in zijn bestaansperiode explosief gegroeid. De organisatie-inrichting is gebaseerd op de veronderstelling dat het aantal aanvragen minder omvangrijk zou zijn. De groei en het middellange termijn perspectief vraagt om een aanpassing van de ordening van de besturing van het IMG. Denk hierbij aan het managen van de totale veranderkalender/portfolio, het verbeteren van de ‘control’ in het algemeen en de IV gerelateerde control in het bijzonder (zoals informatiebeveiliging en privacy, beheersing van de proces- en gegevensarchitectuur, risicomanagement, autorisatiebeheer etc.). De afdeling IV bestaat uit de teams Architectuur, Beheer, Ontwikkeling, Data & Inzicht, Datamanagement & Platformen, Informatiebeveiliging & Privacy, Control en Sourcing.