Verkeer en Openbare Ruimte – Auditor

Plaats: Amsterdam
Uren per week: 24
Startdatum: 16-03-2026
Einddatum: 31-12-2026
Optie op verlenging: Ja

Opdrachtomschrijving:

De opdracht heeft tot doel in kaart brengen welke kernprocessen er binnen V&OR zijn en het bepalen of deze kernprocessen voldoen aan de eisen van de wet (Cbw – cyberbeveiligingswet). Binnen V&OR is de expertise niet aanwezig en binnen de gemeente is de expertise schaars, terwijl er grote haast is om aan de wettelijke eisen te voldoen
Werkzaamheden

• Samen met proceseigenaren het uitvoeren Quick Scans volgens Basis Beveiligings Niveau 2.
• Het uitvoeren van een gap-analyse security op de onderdelen van V&OR waar dat nog niet is gebeurd  door middel van gesprekken met de uitvoeringsverantwoordelijken en proceseigenaren om te bepalen in welke mate de relevante controls zijn ingericht en worden beheerst.
• Het opstellen van een verbeterplan.
• Het uitvoeren en begeleiden van de acties die worden genoemd in het verbeterplan.
• Het vastleggen van de resultaten van de quickscans en het overzicht van de genomen maatregelen per proces in het ISMS (Information Security Management System) en het risicoregister van de gemeente (“Fully in Control”).
• Het rapporteren op de voortgang van het verbeterplan.
• Het opstellen van een stappenplan voor het controleren of processen en maatregelen van de applicaties (nog) voldoen aan de eisen.

Het resultaat (product) dat moet worden bereikt

1. Individualiseren kernprocessen Q1 2026 (5%)
2. Quick Scans Q1 2026 (5%)
3. gap-analyses security Q2 2026 (20%)
4. Verbeterplan Q2 2026 (20%)
5. Het uitvoeren en begeleiden van de acties in het verbeterplan Q2/Q3 2026 (10%)
6. Invullen van het ISMS en het risicoregister Q2/Q3 2026 (10%)
7. Het rapporteren op de voortgang van het verbeterplan Q2/Q3 2026 (10%)
8. Stappenplan voor continue controle door de eigen organisatie Q3 2026 (10%)

Periodiek voortgangsoverleg
De opdrachtnemer bepaalt zelf hoe hij zijn opdracht uitvoert, maar rapporteert aan de opdrachtgever.
Er is elke week een kort overleg over de voortgang.

Wat voor afstemming is er tijdens de opdracht
De opdrachtnemer schakelt de opdrachtgever in als hij tegen belemmeringen aanloopt.

Gemeentelijke organisatie
De gemeentelijke organisatie bestaat uit 5 clusters, een bestuurs- en concernstaf, 7 stadsdelen en 1 stadsgebied. De stadsdelen besturen samen met de gemeenteraad, burgemeester en wethouders de stad Amsterdam. De 5 clusters zijn: Ruimte en Economie, Sociaal, Stadbeheer, Bedrijfsvoering, Digitalisering, Innovatie en Informatie. De clusters hebben expertise op een specifiek terrein, zoals sport, jeugd of parkeren. Zij werken beleid uit tot stadsbrede kaders waarbinnen de stadsdelen het uitvoerende werk kunnen doen. Ook bieden zij directe ondersteuning aan bewoners die dit nodig hebben, bijvoorbeeld op het gebied van participatie of werk. De stadsdelen houden zich onder andere bezig met de inrichting van straten en pleinen, groen en parken en welzijnswerk in de buurt. Ze zorgen ervoor dat wat ze doen, past bij de behoeften in hun stadsdeel en bij het beleid voor de hele stad.

Eisen, waar 100% aan moet worden voldaan:

• Minimaal 1 relevante referentie
• In de afgelopen 2 jaar niet in loondienst geweest bij de gemeente Amsterdam
• Het Curriculum Vitae is opgesteld in het Nederlands
• Minimaal over een wo-werk- en denkniveau, bij voorkeur met een opleiding in Bedrijfsmatige Informatica
• Gecertificeerd als Information Systems Auditor (CISA – ISACA) en ISO27701
• Kennis van en ervaring met Information Security Management (CISM – ISACA)
• Kennis van en ervaring met IT-risicomanagement en compliance, waaronder ISO 27005, BIA’s, DPIA’s, BBN-toetsing (BIO), NIS2 en dreigingenanalyses
• Kennis van en ervaring met IT security gap-analyse en implementatie van bijbehorende maatregelen

Wensen:

• Ervaring met IT-risicomanagement bij overheidsorganisaties
• Kennis van en ervaring met risicomanagement bij OT-systemen