Voor onze klant ICTU, zoeken wij een Security Architect (2FTE)
 

Start	01-03-2026
Einddatum	31-12-2027
Optie op verlenging	Ja
Uren per week	40
Locatie	staf KMar Den Haag
Bijzonderheden	Deze aanvraag is geschikt voor een ZZP'er. 3CV's kan ik aanbieden echter 2 fte wordt er gevraagd
Tarief	In overleg
Deadline	19-2-2026 om 13.00

  bijzonderheden : VOG Verklaring Geen Bezwaar B KMar. Indien reeds in bezit, is een eerdere start mogelijk.
 

Omschrijf de context van het project/programma waarin de activiteiten plaatsvinden, wanneer en op grond waarvan is het project/programma afgerond en welke rol heeft de professional binnen het project/programma?
Beschrijving project/programma:  De Koninklijke Marechaussee (KMar) waakt over de veiligheid van de staat binnen diverse vitale processen. Om dit te kunnen bereiken, wordt er steeds meer gebruik gemaakt van eigen ontwikkelde en beheerde IT. De KMar heeft steeds meer behoefte aan softwareontwikkeling door middel van een Agile/SCRUM proces. Het risicomanagement binnen deze processen is nog niet volledig uitgewerkt en in lijn gebracht met breder vigerende beleid. Hierdoor ontstaat er een mismatch tussen werkzaamheden van de softwareontwikkelteams en risicomanagementteams, met het gevolg dat IT niet met de gewenste snelheid en/of risicoafwegingen wordt gerealiseerd. Het doel van dit project is om ontwikkeling van IT te versnellen, zonder dat hierbij aan risicomanagement tekort wordt gedaan. Onderdeel van dit project is om werkzaamheden van beide teams beter op elkaar te laten aansluiten, waardoor ze in continue harmonie en hetzelfde tempo met elkaar kunnen samenwerken. Dat moet ervoor zorgen dat zodra IT klaar is, het risicomanagementproces ook is afgerond, waardoor de software bijna onmiddellijk na afronding in gebruik kan worden genomen.   Omschrijving einde project/programma:  Het project komt ten einde zodra er is aangetoond dat het risicomanagementproces een zodanig voorspelbaar en gedefinieerd proces is dat deze door functionarissen van alle disciplines goed begrepen en uitgevoerd wordt, en dat deze effectief is voor het realiseren van betrouwbare IT.   Welke rol heeft de professional binnen het project/programma:  De Security Architect heeft een leidende en inhoudelijke rol. Hij/zij werkt zelfstandig, neemt initiatief en realiseert een uitgewerkt, afgestemd ontwerp en implementatie(plan) voor het operating model van hoe de KMar betrouwbare IT realiseert d.m.v. gestandaardiseerde DevOps-methodieken, -processen -tooling, -beleid, et cetera. Het operating model moet passen bij de IT-en risicomanagementbehoeftes van de KMar. Vanuit ervaring met softwareontwikkeling, maar ook met risicomanagement binnen ontwikkel- en beheerprocessen, zal de Security Architect een verbindende rol hebben om tussen de disciplines als brug te fungeren en beiden te adviseren op het gebied van procesgang, werkwijzen, beleid en bovenal samenwerking.
Welke opdracht gaat de professional uitvoeren en welke activiteiten horen daarbij?
De activiteiten die horen bij het realiseren van de opdracht zijn:  Identificeren van het current en target operating model voor (informatiebeveiligings) risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen; Het opstellen en uitwerken van de security architectuur (denk aan benodigde tooling, uitwerking van operationele processen, andere producten) benodigd voor de Sectie DevOps en het CISO-office, inclusief een implementatieplan. Het ontwerpen en uitwerken van conceptbeleid voor risicomanagement binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO) en in lijn met de wensen uit de organisatie;
Welke concrete resultaten dient de professional te behalen? Resultaten dienen concreet en meetbaar te zijn.
Welke deelresultaten zal de professional dienen te behalen gedurende de opdracht:  Concepten van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen; Concepten/voorstellen voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO); Concepten van Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc. Welke eindresultaten zal de professional aan het einde van de opdracht dienen op te leveren. Een uitwerking van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen; Een voorstel voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO); Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.   Wanneer is de opdracht afgerond en beëindigd:  Zodra de hierboven benoemde eindresultaten zijn opgeleverd die voldoen aan vooraf afgesproken kwaliteitsnormen/acceptatiecriteria.
Hoe wat en wanneer zal het werk/de resultaten worden beoordeeld?  Detailleer de criteria en momenten voor feedback en beoordeling. Voorbeeld: maandelijkse voortgangsrapporten en een eindbeoordeling bij projectafsluiting.
Maandelijkse briefing op voortgang door professional aan (vertegenwoordiging van) CISO KMar en Hoofd DevOps. Conceptresultaten zullen na hun akkoord door de professional met een bredere groep belanghebbenden moeten worden afgestemd alvorens er een (eind)beoordeling kan plaatsvinden.
Wat is de kans dat de verwachte duur wordt overschreden, c.q. welke onzekerheden er zijn t.a.v. de verwachte duur?
Vanwege de onderlinge afhankelijkheden tussen de verschillende teams binnen de samenwerking en het adoptievermogen van elk team ten aanzien van de nieuwe werkwijze, bestaat het risico dat de verwachte doorlooptijd wordt overschreden. De kans hierop wordt momenteel als laag ingeschat, maar door het ontbreken van diepgaande expertise kan pas in een later stadium een nauwkeurigere inschatting worden gemaakt.
Over welke specifieke kennis beschikt de professional, waarover het eigen personeel van de Opdrachtgever niet beschikt en waar een eventuele vervanger ook over zou moeten beschikken?
De aangevraagde professional die we zoeken heeft zowel diepgaande technische kennis van security architectuur (specifiek binnen een DevOps-omgeving), als kennis van information security management, en weet organisatiebehoeftes te vertalen naar concrete elementen uit een operating model (cultuur, beleid, rollen, tooling, processen, werkwijzen et cetera). De professional weet uit eerdere ervaringen wat wel en niet werkt (de architertuur), en welke stappen gezet moeten worden om het operating model te realiseren (het plan/implementatievoorstel). Die kennis is binnen de KMar uniek en moet dus bij een eventuele vervanger ook weer aanwezig zijn.
Gewenste profiel
We zoeken een security professional die aantoonbaar kennis heeft van processen, techniek én beleid die nodig is voor het realiseren van betrouwbare IT voor de uitvoering van KMar-taken. De professional is in staat om in korte tijd complexe processen van verschillende disciplines te versimpelen, verenigen en met verschillende stakeholders samen te werken aan verandering. Hij/zij doet dit door vanuit een architectuurperspectief een operating model uit te werken met oog voor aansluitende processen, ondersteunende tooling, en eventueel ook benodigde rollen, kennis en cultuurshift. De professional is een leider pur sang en weet uit aantoonbare ervaring hoe we als organisatie de eerste zo belangrijke stappen zetten naar een DevSecOps-wijze van IT realiseren. Benodigde competenties: Leiderschap: Vermogen om cross-functionele teams te begeleiden en te coachen bij beveiligingspraktijken. Probleemoplossend vermogen: Sterke analytische vaardigheden om complexe informatiebeveiligingsproblemen te identificeren en op te lossen. Can-do mentaliteit. Communicatie: Duidelijke en effectieve communicatie met technische en niet-technische belanghebbenden. Oog voor detail: Nauwgezette aanpak bij het identificeren en conceptualiseren van ways of working tussen IT-teams en risicomanagementteams. Samenwerking: Vermogen om effectief te werken in een teamomgeving en een cultuur van gedeelde verantwoordelijkheid voor beveiliging te bevorderen.
Eisen
HBO+/WO werk- en denkniveau, in de richting van Informatica, Cybersecurity, Technische bedrijfskunde, technische bestuurskunde of iets vergelijkbaars. Minimaal 5 jaar aantoonbare ervaring in een senior rol op het gebied van IT security en/of security architectuur. Aantoonbare ervaring met het ontwerpen en implementeren van beveiligde IT-architectuur, bij voorkeur binnen DevOps/DevSecOps-omgevingen. Aantoonbare ervaring met het vertalen van IT beveiligingsbeleid, kaders en risico’s naar IT-architectuur en operationele processen. Ervaring met het opstellen van architectuur- en implementatievoorstellen, inclusief roadmap en veranderaanpak. Ervaring met werken in complexe (overheids)organisaties of organisaties met hoge eisen aan betrouwbaarheid en compliance is een pré. Kennis van relevante standaarden en frameworks, zoals ISO 2700x, NIST CSF, NIST 800-x zij richtinggevend. Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk.
Wensen
Nr	Omschrijving	Gewicht	Beoordeling
W1	Kennis en/of ervaring met IT-risicomanagement binnen Defensie of een andere hoogrisico IT-omgeving (het bankwezen en/of verzekeringswezen), of (high)techbedrijven met hoge beschikbaarheids- en compliance-eisen.	20%	≥ 8 jaar ervaring = 10 punten ≥ 6 jaar < 8 jaar ervaring = 8 punten ≥ 4 jaar < 6 jaar ervaring = 6 punten ≥ 2 jaar < 4 jaar ervaring = 4 punten ≥ 1 jaar < 2 jaar ervaring = 2 punten < 1 jaar ervaring = 0 punten
W2	Ervaring met het ontwerpen, conceptualiseren en implementeren van risicomanagement- en IT-processen binnen DevOps-praktijken. Zowel op strategisch/architectuurniveau als op het niveau van concrete ways of working van verschillende teams. Ervaring met of kennis van NIST RMF is een pré.	20%	≥ 8 jaar ervaring = 10 punten ≥ 6 jaar < 8 jaar ervaring = 8 punten ≥ 4 jaar < 6 jaar ervaring = 6 punten ≥ 2 jaar < 4 jaar ervaring = 4 punten ≥ 1 jaar < 2 jaar ervaring = 2 punten < 1 jaar ervaring = 0 punten
W3	Praktische ervaring met security- en risicomanagement in CI/CD pipelines, inclusief Infrastructure as Code (IaC), containerisatie (bijv. Docker/Kubernetes).	15%	≥ 8 jaar ervaring = 10 punten ≥ 6 jaar < 8 jaar ervaring = 8 punten ≥ 4 jaar < 6 jaar ervaring = 6 punten ≥ 2 jaar < 4 jaar ervaring = 4 punten ≥ 1 jaar < 2 jaar ervaring = 2 punten < 1 jaar ervaring = 0 punten
W4	Ervaring met innovatieve technologieën vanuit een security- en risicoperspectief, zoals Robotica, IoT, LLM’s/AI, Cloudplatformen, Low-code platforms en/of RPA.	15%	≥ 8 jaar ervaring = 10 punten ≥ 6 jaar < 8 jaar ervaring = 8 punten ≥ 4 jaar < 6 jaar ervaring = 6 punten ≥ 2 jaar < 4 jaar ervaring = 4 punten ≥ 1 jaar < 2 jaar ervaring = 2 punten < 1 jaar ervaring = 0 punten
W5	Praktische ervaring met IAM, secrets management en het werken met of inrichten van SIEM/SOC-omgevingen.	10%	≥ 8 jaar ervaring = 10 punten ≥ 6 jaar < 8 jaar ervaring = 8 punten ≥ 4 jaar < 6 jaar ervaring = 6 punten ≥ 2 jaar < 4 jaar ervaring = 4 punten ≥ 1 jaar < 2 jaar ervaring = 2 punten < 1 jaar ervaring = 0 punten

 

Prijs
Gewicht van prijs bij beoordeling	20%

ICTU behoudt zich het recht voor om indien onverwacht een te hoog uurtarief (qua budget) wordt aangeboden, om op basis hiervan een kandidaat als niet passend te verklaren
Algemeen beoordeling werkzaamheden
De professional verricht het werk naar eigen inzicht. ICTU kan wel aanwijzingen en instructies geven omtrent het resultaat en de doorlooptijd van de werkzaamheden. In geval van samenwerking met anderen vindt afstemming plaats met ICTU, voor zover dat voor de uitvoering van de werkzaamheden nodig is.

BYOD
ICTU biedt BYOD voorzieningen aan voor externe medewerkers. Van de externe medewerker wordt verwacht dat diegene beschikt over een passend apparaat (laptop) en een mobiele telefoon om diens werk uit te voeren. Aan de externe medewerker gevraagd (digitaal) akkoord te gaan met het ingevoerde reglement zakelijke apparatuur.
Tijdens het intakegesprek zal dit reglement op hoofdlijnen worden doorgenomen. ICTU hanteert voor ICT voorzieningen een N-1 beleid, concreet betekent dit dat naast de huidige versie, 1 lagere voorgaande versie, mits door de leverancier ondersteund, wordt toegelaten tot de ICTU infrastructuur.


1.Nederlandstalig CV (Word doc.) van max 5 a 6 pagina's. Indien een Engelstalig CV nodig is dan staat dit in de aanvraag bij de eisen vermeld.
2.Motivatie gericht op de vacature. Dit kan kort d.m.v. ja de ervaring heb ik opgedaan / de werkzaamheden heb ik gedaan in de perioden x  bij de organisaties y. Dus puntsgewijs per eis, wens en werkzaamheden (graag deze ervaring & werkzaamheden in het CV vermelden in de betreffende perioden).
Naast de puntsgewijze motivatie van de wensen ook het aantal punten er bij vermelden; zie kolom beoordeling, dit geldt alleen voor de ICTU aanvragen!
3.Volledige naam + de officiële voorletters zoals in het paspoort staat
4.Vakantieplannen in de komende 3 maanden

Met vriendelijke groeten,
 
Arnold Vonk
Recruitment Consultant
Vrije dag op vrijdag, even weken
+31 6 14668383
arnold@flexvalue.nl