Security Architect (2x)

Geplaatst op donderdag 12 februari 2026
Geplaatst door author-avatar op donderdag 12 februari 2026
Reacties uitgeschakeld voor Security Architect (2x)
  • Bemiddeling
  • Bij opdrachtgever
  • Freelance
  • Full Time
  • Den Haag
  • In overleg (afh. van ervaring) Euro / Uur

Ictu

Overheid

Voor onze opdrachtgever Ictu zijn wij op zoek naar twee Security Architecten

Startdatum: 1-4-2026
Einddatum: 31-12-2027
Tarief: In overleg
Deadline aanbieden: 19-2-2026 om 13.00
Inzet: 40 uur per week
Standplaats: Den Haag/Vnl. remote
Optie tot verlenging: Ja

Opdrachtomschrijving

Beschrijving project/programma: 
De Koninklijke Marechaussee (KMar) waakt over de veiligheid van de staat binnen diverse vitale processen. Om dit te kunnen bereiken, wordt er steeds meer gebruik gemaakt van eigen ontwikkelde en beheerde IT. De KMar heeft steeds meer behoefte aan softwareontwikkeling door middel van een Agile/SCRUM proces. Het risicomanagement binnen deze processen is nog niet volledig uitgewerkt en in lijn gebracht met breder vigerende beleid. Hierdoor ontstaat er een mismatch tussen werkzaamheden van de softwareontwikkelteams en risicomanagementteams, met het gevolg dat IT niet met de gewenste snelheid en/of risicoafwegingen wordt gerealiseerd.

Het doel van dit project is om ontwikkeling van IT te versnellen, zonder dat hierbij aan risicomanagement tekort wordt gedaan. Onderdeel van dit project is om werkzaamheden van beide teams beter op elkaar te laten aansluiten, waardoor ze in continue harmonie en hetzelfde tempo met elkaar kunnen samenwerken. Dat moet ervoor zorgen dat zodra IT klaar is, het risicomanagementproces ook is afgerond, waardoor de software bijna onmiddellijk na afronding in gebruik kan worden genomen.

Omschrijving einde project/programma: 
Het project komt ten einde zodra er is aangetoond dat het risicomanagementproces een zodanig voorspelbaar en gedefinieerd proces is dat deze door functionarissen van alle disciplines goed begrepen en uitgevoerd wordt, en dat deze effectief is voor het realiseren van betrouwbare IT.

Welke rol heeft de professional binnen het project/programma: 
De Security Architect heeft een leidende en inhoudelijke rol. Hij/zij werkt zelfstandig, neemt initiatief en realiseert een uitgewerkt, afgestemd ontwerp en implementatie(plan) voor het operating model van hoe de KMar betrouwbare IT realiseert d.m.v. gestandaardiseerde DevOps-methodieken, -processen -tooling, -beleid, et cetera. Het operating model moet passen bij de IT-en risicomanagementbehoeftes van de KMar. Vanuit ervaring met softwareontwikkeling, maar ook met risicomanagement binnen ontwikkel- en beheerprocessen, zal de Security Architect een verbindende rol hebben om tussen de disciplines als brug te fungeren en beiden te adviseren op het gebied van procesgang, werkwijzen, beleid en bovenal samenwerking.

De activiteiten die horen bij het realiseren van de opdracht zijn:

  • Identificeren van het current en target operating model voor (informatiebeveiligings) risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
  • Het opstellen en uitwerken van de security architectuur (denk aan benodigde tooling, uitwerking van operationele processen, andere producten) benodigd voor de Sectie DevOps en het CISO-office, inclusief een implementatieplan.
  • Het ontwerpen en uitwerken van conceptbeleid voor risicomanagement binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO) en in lijn met de wensen uit de organisatie;

Welke deelresultaten zal de professional dienen te behalen gedurende de opdracht: 

  • Concepten van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
  • Concepten/voorstellen voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
  • Concepten van Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.

Welke eindresultaten zal de professional aan het einde van de opdracht dienen op te leveren.

  • Een uitwerking van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
  • Een voorstel voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
  • Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.
Wanneer is de opdracht afgerond en beëindigd: 
Zodra de hierboven benoemde eindresultaten zijn opgeleverd die voldoen aan vooraf afgesproken kwaliteitsnormen/acceptatiecriteria.
Hoe wat en wanneer zal het werk/de resultaten worden beoordeeld? 
Detailleer de criteria en momenten voor feedback en beoordeling. Voorbeeld: maandelijkse voortgangsrapporten en een eindbeoordeling bij projectafsluiting.
Maandelijkse briefing op voortgang door professional aan (vertegenwoordiging van) CISO KMar en Hoofd DevOps. Conceptresultaten zullen na hun akkoord door de professional met een bredere groep belanghebbenden moeten worden afgestemd alvorens er een (eind)beoordeling kan plaatsvinden.
Wat is de kans dat de verwachte duur wordt overschreden, c.q. welke onzekerheden er zijn t.a.v. de verwachte duur? 
Vanwege de onderlinge afhankelijkheden tussen de verschillende teams binnen de samenwerking en het adoptievermogen van elk team ten aanzien van de nieuwe werkwijze, bestaat het risico dat de verwachte doorlooptijd wordt overschreden. De kans hierop wordt momenteel als laag ingeschat, maar door het ontbreken van diepgaande expertise kan pas in een later stadium een nauwkeurigere inschatting worden gemaakt.
Over welke specifieke kennis beschikt de professional, waarover het eigen personeel van de Opdrachtgever niet beschikt en waar een eventuele vervanger ook over zou moeten beschikken? 
De aangevraagde professional die we zoeken heeft zowel diepgaande technische kennis van security architectuur (specifiek binnen een DevOps-omgeving), als kennis van information security management, en weet organisatiebehoeftes te vertalen naar concrete elementen uit een operating model (cultuur, beleid, rollen, tooling, processen, werkwijzen et cetera). De professional weet uit eerdere ervaringen wat wel en niet werkt (de architertuur), en welke stappen gezet moeten worden om het operating model te realiseren (het plan/implementatievoorstel). Die kennis is binnen de KMar uniek en moet dus bij een eventuele vervanger ook weer aanwezig zijn.

Functie-eisen

  • HBO+/WO werk- en denkniveau, in de richting van Informatica, Cybersecurity, Technische bedrijfskunde, technische bestuurskunde of iets vergelijkbaars.
  • Minimaal 5 jaar aantoonbare ervaring in een senior rol op het gebied van IT security en/of security architectuur.
  • Aantoonbare ervaring met het ontwerpen en implementeren van beveiligde IT-architectuur, bij voorkeur binnen DevOps/DevSecOps-omgevingen.
  • Aantoonbare ervaring met het vertalen van IT beveiligingsbeleid, kaders en risico’s naar IT-architectuur en operationele processen.
  • Ervaring met het opstellen van architectuur- en implementatievoorstellen, inclusief roadmap en veranderaanpak.
  • Ervaring met werken in complexe (overheids)organisaties of organisaties met hoge eisen aan betrouwbaarheid en compliance is een pré.
  • Kennis van relevante standaarden en frameworks, zoals ISO 2700x, NIST CSF, NIST 800-x zij richtinggevend.
  • Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk.

We zoeken een security professional die aantoonbaar kennis heeft van processen, techniek én beleid die nodig is voor het realiseren van betrouwbare IT voor de uitvoering van KMar-taken. De professional is in staat om in korte tijd complexe processen van verschillende disciplines te versimpelen, verenigen en met verschillende stakeholders samen te werken aan verandering. Hij/zij doet dit door vanuit een architectuurperspectief een operating model uit te werken met oog voor aansluitende processen, ondersteunende tooling, en eventueel ook benodigde rollen, kennis en cultuurshift. De professional is een leider pur sang en weet uit aantoonbare ervaring hoe we als organisatie de eerste zo belangrijke stappen zetten naar een DevSecOps-wijze van IT realiseren.

Functie-wensen

  • Kennis en/of ervaring met IT-risicomanagement binnen Defensie of een andere hoogrisico IT-omgeving (het bankwezen en/of verzekeringswezen), of (high)techbedrijven met hoge beschikbaarheids- en compliance-eisen.
  • Ervaring met het ontwerpen, conceptualiseren en implementeren van risicomanagement- en IT-processen binnen DevOps-praktijken. Zowel op strategisch/architectuurniveau als op het niveau van concrete ways of working van verschillende teams. Ervaring met of kennis van NIST RMF is een pré.
  • Praktische ervaring met security- en risicomanagement in CI/CD pipelines, inclusief Infrastructure as Code (IaC), containerisatie (bijv. Docker/Kubernetes).
  • Ervaring met innovatieve technologieën vanuit een security- en risicoperspectief, zoals Robotica, IoT, LLM’s/AI, Cloudplatformen, Low-code platforms en/of RPA.
  • Praktische ervaring met IAM, secrets management en het werken met of inrichten van SIEM/SOC-omgevingen

Competenties

  • Leiderschap: Vermogen om cross-functionele teams te begeleiden en te coachen bij beveiligingspraktijken.
  • Probleemoplossend vermogen: Sterke analytische vaardigheden om complexe informatiebeveiligingsproblemen te identificeren en op te lossen. Can-do mentaliteit.
  • Communicatie: Duidelijke en effectieve communicatie met technische en niet-technische belanghebbenden.
  • Oog voor detail: Nauwgezette aanpak bij het identificeren en conceptualiseren van ways of working tussen IT-teams en risicomanagementteams.
  • Samenwerking: Vermogen om effectief te werken in een teamomgeving en een cultuur van gedeelde verantwoordelijkheid voor beveiliging te bevorderen.

Sollicitatie

Solliciteer of stel een vraag via de “solliciteer” button! We ontvangen bij een sollicitatie graag je CV en motivatiebrief. Onderschrijf in je motivatiebrief los van je algemene motivatie svp ook de functie-eisen per eis. Svp puntsgewijs aantonen dat je voldoet aan de functie-eisen of toelichten hoe jij denkt dit dan wel aan te vliegen als je niet (helemaal) aan de eis voldoet.

Keer terug naar alle vacatures

Om te solliciteren op deze vacature stuur je je sollicitatie naar info@berkhofenterprises.nl

Nieuwer
Front-end developer – Rich Text Editor
Ouder Beveiligingsbeheerder Monitoring & Response