Implementatie ISMS en BCM

Organisatie
Het Kadaster registreert en verstrekt gegevens over de ligging van vastgoed in Nederland en de daarmee samenhangende rechten, zoals eigendom en hypotheek. Als zelfstandig bestuursorgaan is dat onze wettelijke taak. Onze gegevens bieden houvast bij het onderzoeken van maatschappelijke vraagstukken, of het nu gaat om de beste route voor een nieuwe snelweg, actuele ontwikkelingen op de woningmarkt of het in beeld brengen van leegstand.

We hebben heel veel data over alles onder, op en boven de grond en willen maximale waarde halen uit deze data. Naast onze wettelijke taak, beheert het Kadaster ook voorzieningen van andere organisaties, de Landelijke Voorzieningen. Zo beheren wij onder andere de WOZ Landelijke Voorziening en de Basisregistratie Adressen en gebouwen (BAG): alle adressen en gebouwen in Nederland, zoals bouwjaar, oppervlakte, gebruiksdoel en locatie op de kaart. 

 De uitvoering van de interne bedrijfsprocessen van het Kadaster wordt in grote mate ondersteund door geautomatiseerde informatiesystemen en gegevensbestanden. Ook de dienstverlening aan de klanten van het Kadaster wordt in grote mate ondersteund door systemen die digitale producten en diensten leveren. Goed ingerichte toegangscontrole speelt hierbij een grote rol; ‘wie mag gebruik maken van welke informatiesystemen, diensten en gegevens en om welke reden’ en ‘hoe wordt dit goed beheerd’ zijn belangrijke thema’s die mede bepalen in welke mate de belangen van het Kadaster en de klant worden geborgd en op basis waarvan voldaan kan worden aan wettelijke eisen.

Omschrijving van de opdracht
Het Kadaster heeft zowel haar ISMS als haar BCM eind vorig jaar herzien. Voor het verder in werking brengen van het ISMS dienen de bestaande werkwijzen beschouwd te worden en te worden geoptimaliseerd in lijn met het ISMS, daarbij nadrukkelijk ook de voortbrenging en implementatie van maatregelen en het toezicht daarop versterken. Dit alles gerelateerd aan de business risico’s die het Kadaster wil mitigeren.

Voor het BCM is een kanteling van herstel van applicaties naar herstel van integrale bedrijfsprocessen opgestart. Hiertoe moeten alle relevante onderdelen en samenhang in kaart gebracht worden, inclusief de wijze en volgorde van herstel. Vanzelfsprekend eerst voor de maatschappelijk meest relevante processen.

Hierin zal samengewerkt worden met (security) architecten, interne ISO’s, de CISO, diverse projectleiders, procesdeskundigen, etc.

De kandidaat dient zorg te dragen dat:

• De bestaande werkprocessen in lijn worden gebracht met het nieuwe ISMS, zodanig dat een gesloten PDCA cyclus ontstaat: vanuit business belang en risico’s komen tot plannen, plannen omzetten in uitvoering, toezicht houden op de voortgang en bijstellen waar nodig.

• Het uitvoeren van analyses op bestaande documentatie rondom de geprioriteerde processen en voeren van gesprekken over de samenhang en afhankelijkheden van bedrijfsmiddelen voor de bedrijfsprocessen, zodanig dat continuïteitsplannen ontstaan.

Inhoudelijk rapporteert de kandidaat aan de CISO.

Belangrijkste technieken, methoden en tools

• Risicomanagement (flexibel kunnen toepassen van verschillende werkwijzen)

• BIO, ISO 27001, NIS2 (kennis van wet- en regelgeving, kunnen uitleggen en interpreteren)

• IT security (inhoudelijk begrip, niet hoeven te kunnen implementeren van techniek)

• Audittechnieken (als gesprekspartner)

• BCM

• ISMS

De belangrijkste verantwoordelijkheden

• Verantwoordelijk voor het inbedden van informatiebeveiliging in de PDCA cyclus.

• Verantwoordelijk voor het inrichten van besluitvormingsprocessen om informatiebeveiligingsbelangen mee te wegen in roadmaps voor de primaire processen.

• Verantwoordelijk voor het opstellen en testen van twee continuïteitsplannen.

• Verantwoordelijk voor kennisoverdracht aan de organisatie, met name richting de ISO’s

De op te leveren resultaten

• Werkende en gedocumenteerde processen binnen het ISMS. Binnen drie maanden na start opdracht eerste versie, december 2025 definitieve versies.

• Werkwijze hoe beveiliging in te bedden in roadmaps van de primaire processen. Augustus 2025

• Keuzemechanismen over business belang, dreigingen en risico’s in relatie tot te nemen maatregelen en daar een consistentie relatie tussen blijven leggen. September 2025

• Werkwijzen die rekening houden met bestaande overlegorganen en besluitvormingsprocessen. Oktober 2025.

• Werkende en gedocumenteerde aanpak om te komen tot continuïteitsplannen. Binnen twee maanden na start opdracht.

• Goedgekeurde continuïteitsplannen voor akteverwerking en KLIC (kabels en leidingen). December 2025

• Planning, identificatie en prioritering van bedrijfsprocessen die in 2026 uitgewerkt moeten worden naar continuïteitsplannen. December 2025

• Minimaal 2 ISO’s zijn na afronding van de werkzaamheden in staat deze over te nemen en voort te zetten. December 2025

• Duidelijk traceerbare documentatie voor overdracht en ten behoeve van aantoonbaarheid voor o.a. (ISO 27001) audits. September 2025

Vereisten / knock-outcriteria

1. Inschrijver voldoet aan de gestelde uitvoeringsvoorwaarde zoals bovenaan benoemd in de uitvraag;

2. Een aantoonbare afgeronde hbo bachelor opleiding;

3. Minimaal 8 jaar aantoonbare werkervaring in informatievoorziening en/of IT in rollen als adviseur, informatie-analist, procesmodelleur, security specialist, etc;.

4. Minimaal 8 jaar aantoonbare werkervaring in riskmanagement en/of als security specialist(benoem dit duidelijk in het cv);.

5. Minimaal 4 jaar aantoonbare werkervaring met overheidsorganisaties die wettelijke taken uitvoert en werkt met een breed stakeholderveld;.

6. Minimaal 2 aantoonbare projecten met het inrichten van risicomanagement processen en de opvolging daarvan (benoem dit duidelijk in het cv).

7. Aantoonbare werkervaring met procesontwerp en ontwikkeling, aan te tonen door 3 relevante trajecten (benoem dit duidelijk in het cv);.

8. Aantoonbare werkervaring met risico-management, minimaal 4 jaar als onderdeel van andere werkzaamheden of minimaal 2 jaar specifiek als risicomanager.

9. Aantoonbare kennis van IT-security aan te tonen door relevante passages en ervaring in het CV;.

10. Aantoonbare werkervaring met BCM, ten minste 2 grote trajecten bij andere opdrachtgevers (benoem dit duidelijk in het cv);.

11. Aantoonbare werkervaring met implementatie van ISMS, te minste bij één andere opdrachtgever(benoem dit duidelijk in het cv);.

12. Een maximum uurtarief van €130 exclusief btw, inclusief woon-werkverkeer en Fee.

Gunningscriteria  (weging, totaal 100 punten) verdeelt in:

1. Een door de kandidaat zelf beschreven plan van aanpak voor de uit te voeren werkzaamheden (max 400 woorden) (20 Punten);

2. Aantoonbare werkervaring met kennis en overdracht in begrijpelijke taal, en de aansluitende ervaring met security uitleg (benoem dit duidelijk in het cv) (20 punten);

3. Aantoonbare werkervaring met business belangen en security eisen, motiveer je ervaring (max. 100 woorden) (10 punten);

4. Aantoonbare ervaring met stakeholders en besluitvorming beïnvloeden. Beschrijf hoe je dit aanpakt (max 300 woorden) (30 punten);

5. Aantoonbare kennis en werkervaring met het ontwikkelen en uitzetten van nieuwe werkwijzen (motiveer dit in max. 200 woorden) (10 punten);

6. Aantoonbare werkervaring met het flexibel interpreteren van standaarden, motiveer (max 400 woorden) hoe de standaarden als BIO, ISO27001 of direct vergelijkbaar ingezet kan worden zonder dat dit blokkerend werkt (10 punten).

Competenties

• Resultaatgericht;

• Besluitvaardig en vasthoudend; kan zijn/haar eigen pad trekken in complex krachtenveld;

• In staat om zelfstandig binnen een organisatie te bewegen en omgevingssensitief;

• Communicatief zowel schriftelijk als mondeling sterk;

• Proactief en initiatiefrijk;

• Analytisch vermogen.

CV-eisen
Maximaal 7 pagina’s, opgesteld in het Nederlands.

Fee
De externe partij brengt voor deze opdracht €1,90 per gewerkt uur in rekening bij de winnende leverancier.

CV-eisen
Maximaal 577 pagina’s, opgesteld in het Nederlands.

Planning
De verificatiegesprekken bij de opdrachtgever zijn gepland op . De kandidaten die hiervoor uitgenodigd zijn, ontvangen uiterlijk op  bericht. Overige kandidaten ontvangen na de gesprekken bericht over de voortgang van deze inhuuropdracht.
LET OP; de datums voor deze gesprekken fysiek in Apeldoorn of via TEAMS zijn vastgelegd en word niet van afgeweken.

Conceptovereenkomsten

• Voor deze opdracht gaat het Kadaster een tweepartijen-overeenkomst aan met de opdrachtnemer in lijn met de overeenkomst zoals vermeld onder de inkoopvoorwaarden, te weten:

• Bijlage 1a 'concept modelovereenkomst’; indien inschrijver zich aanbiedt als ZZP'er;

  • Bijlage 1b concept opdrachtovereenkomst indirecte ZZP’ers’; indien inschrijver als bemiddelaar een ZZP'er als kandidaat aanbiedt;

  • Bijlage 1c 'concept opdrachtovereenkomst inhuur’; indien inschrijver een eigen werknemer als kandidaat aanbiedt.

   Afhankelijk van de aangeboden kandidaat kiest het Kadaster de best passende overeenkomst. Indien u niet akkoord gaat met de gekozen overeenkomst c.q. inhoud van de overeenkomst zal uw offerte terzijde worden gelegd en niet worden meegenomen in de beoordeling van de gunningscriteria

Contractpartijen
Het Kadaster gaat uitsluitend met de inschrijvende partij de overeenkomst aan.

Voorwaarden
Op deze offerteaanvraag zijn uitsluitend de inkoopvoorwaarden (ARVODI 2018) en de concept overeenkomst van het Kadaster, als toegevoegd in de bijlage, van toepassing. Eventuele andere voorwaarden worden van de hand gewezen.

Geheimhoudingsverklaring 
Het Kadaster verplicht geselecteerde Inschrijver haar in te zetten kandidaat een geheimhoudingsverklaring (zie bijlage 2c) te laten tekenen. De geheimhoudingsverklaring dient bij het Kadaster ondertekend in het bezit te zijn bij aanvang van de werkzaamheden.

VOG
De opdrachtgever zal om een Verklaring Omtrent het Gedrag (VOG) vragen.

WAADI
Indien opdrachtnemer personeel ter beschikking stelt, staat opdrachtnemer in het handelsregister geregistreerd als bedrijf dat personeel ter beschikking stelt (conform Waadi).

Uitvoeringsvoorwaarde:
Met het verstrekken van de opdracht, aan de ondernemer die inschrijft op de onderhavige opdracht en voor gunning in aanmerking komt, en het Kadaster mag géén arbeidsrelatie/dienstbetrekking tot stand komen. De inschrijver dient dit te waarborgen. Bij het inschrijven op de onderhavige opdracht moet in dit kader rekening worden gehouden dat de uitvoering van de werkzaamheden plaatsvindt onder direct leiding en toezicht van het Kadaster. Dit betekent dat niet wordt voldaan aan de criteria voor zelfstandigheid zoals vereist onder de Wet Deregulering Beoordeling Arbeidsrelaties (Wet DBA). Het Kadaster merkt hierbij op dat aan de voornoemde uitvoeringsvoorwaarde niet wordt voldaan als de inschrijver een ZZP-er is (ongeacht of dit een eenmanszaak of een BV is).