Security Architect 2FTE 40u/w
Volgnummer: 115767
Publicatiedatum: 13-02-2026
Locatie: 'S-GRAVENHAGE
Standplaats: 'S-GRAVENHAGE
Duur: 01-04-2026 - 01-04-2027
Optie tot verlenging: Ja
Reageren voor: 18-02-2026
Organisatie:
ICTU
!! Let op. Het aanleveren van een toelichting op de eisen en de wensen en een persoonlijke motivatie is verplicht. Gelieve de eisen en de wensen letterlijk over te nemen vanuit de uitvraag. Zonder deze toelichting en motivatie kunnen wij het aangeboden CV helaas niet verder meenemen in de procedure.
Beschrijving project/programma:
De Koninklijke Marechaussee (KMar) waakt over de veiligheid van de staat binnen diverse vitale processen. Om dit te kunnen bereiken, wordt er steeds meer gebruik gemaakt van eigen ontwikkelde en beheerde IT. De KMar heeft steeds meer behoefte aan softwareontwikkeling door middel van een Agile/SCRUM proces. Het risicomanagement binnen deze processen is nog niet volledig uitgewerkt en in lijn gebracht met breder vigerende beleid. Hierdoor ontstaat er een mismatch tussen werkzaamheden van de softwareontwikkelteams en risicomanagementteams, met het gevolg dat IT niet met de gewenste snelheid en/of risicoafwegingen wordt gerealiseerd.
Het doel van dit project is om ontwikkeling van IT te versnellen, zonder dat hierbij aan risicomanagement tekort wordt gedaan. Onderdeel van dit project is om werkzaamheden van beide teams beter op elkaar te laten aansluiten, waardoor ze in continue harmonie en hetzelfde tempo met elkaar kunnen samenwerken. Dat moet ervoor zorgen dat zodra IT klaar is, het risicomanagementproces ook is afgerond, waardoor de software bijna onmiddellijk na afronding in gebruik kan worden genomen.
Omschrijving einde project/programma:
Het project komt ten einde zodra er is aangetoond dat het risicomanagementproces een zodanig voorspelbaar en gedefinieerd proces is dat deze door functionarissen van alle disciplines goed begrepen en uitgevoerd wordt, en dat deze effectief is voor het realiseren van betrouwbare IT.
Welke rol heeft de professional binnen het project/programma:
De Security Architect heeft een leidende en inhoudelijke rol. Hij/zij werkt zelfstandig, neemt initiatief en realiseert een uitgewerkt, afgestemd ontwerp en implementatie(plan) voor het operating model van hoe de KMar betrouwbare IT realiseert d.m.v. gestandaardiseerde DevOps-methodieken, -processen -tooling, -beleid, et cetera. Het operating model moet passen bij de IT-en risicomanagementbehoeftes van de KMar. Vanuit ervaring met softwareontwikkeling, maar ook met risicomanagement binnen ontwikkel- en beheerprocessen, zal de Security Architect een verbindende rol hebben om tussen de disciplines als brug te fungeren en beiden te adviseren op het gebied van procesgang, werkwijzen, beleid en bovenal samenwerking.
Welke opdracht gaat de professional uitvoeren en welke activiteiten horen daarbij?
De activiteiten die horen bij het realiseren van de opdracht zijn:
•
• Identificeren van het current en target operating model voor (informatiebeveiligings) risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Het opstellen en uitwerken van de security architectuur (denk aan benodigde tooling, uitwerking van operationele processen, andere producten) benodigd voor de Sectie DevOps en het CISO-office, inclusief een implementatieplan.
• Het ontwerpen en uitwerken van conceptbeleid voor risicomanagement binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO) en in lijn met de wensen uit de organisatie
Welke concrete resultaten dient de professional te behalen?
Welke deelresultaten zal de professional dienen te behalen gedurende de opdracht:
•
• Concepten van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Concepten/voorstellen voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
• Concepten van Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.
Welke eindresultaten zal de professional aan het einde van de opdracht dienen op te leveren.
•
• Een uitwerking van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Een voorstel voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
• Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.
Wanneer is de opdracht afgerond en beëindigd:
Zodra de hierboven benoemde eindresultaten zijn opgeleverd die voldoen aan vooraf afgesproken kwaliteitsnormen/acceptatiecriteria.
Hoe wat en wanneer zal het werk/de resultaten worden beoordeeld?
Maandelijkse briefing op voortgang door professional aan (vertegenwoordiging van) CISO KMar en Hoofd DevOps. Conceptresultaten zullen na hun akkoord door de professional met een bredere groep belanghebbenden moeten worden afgestemd alvorens er een (eind)beoordeling kan plaatsvinden.
Over welke specifieke kennis beschikt de professional
De aangevraagde professional die we zoeken heeft zowel diepgaande technische kennis van security architectuur (specifiek binnen een DevOps-omgeving), als kennis van information security management, en weet organisatiebehoeftes te vertalen naar concrete elementen uit een operating model (cultuur, beleid, rollen, tooling, processen, werkwijzen et cetera). De professional weet uit eerdere ervaringen wat wel en niet werkt (de architertuur), en welke stappen gezet moeten worden om het operating model te realiseren (het plan/implementatievoorstel). Die kennis is binnen de KMar uniek en moet dus bij een eventuele vervanger ook weer aanwezig zijn.
Gewenst profiel
We zoeken een security professional die aantoonbaar kennis heeft van processen, techniek én beleid die nodig is voor het realiseren van betrouwbare IT voor de uitvoering van KMar-taken. De professional is in staat om in korte tijd complexe processen van verschillende disciplines te versimpelen, verenigen en met verschillende stakeholders samen te werken aan verandering. Hij/zij doet dit door vanuit een architectuurperspectief een operating model uit te werken met oog voor aansluitende processen, ondersteunende tooling, en eventueel ook benodigde rollen, kennis en cultuurshift. De professional is een leider pur sang en weet uit aantoonbare ervaring hoe we als organisatie de eerste zo belangrijke stappen zetten naar een DevSecOps-wijze van IT realiseren.
Functie-eisen:
HBO+/WO werk- en denkniveau, in de richting van Informatica, Cybersecurity, Technische bedrijfskunde, technische bestuurskunde of iets vergelijkbaars.
Minimaal 5 jaar aantoonbare ervaring in een senior rol op het gebied van IT security en/of security architectuur.
Aantoonbare ervaring met het ontwerpen en implementeren van beveiligde IT-architectuur, bij voorkeur binnen DevOps/DevSecOps-omgevingen.
Aantoonbare ervaring met het vertalen van IT beveiligingsbeleid, kaders en risico’s naar IT-architectuur en operationele processen.
Ervaring met het opstellen van architectuur- en implementatievoorstellen, inclusief roadmap en veranderaanpak.
Ervaring met werken in complexe (overheids)organisaties of organisaties met hoge eisen aan betrouwbaarheid en compliance is een pré.
Kennis van relevante standaarden en frameworks, zoals ISO 2700x, NIST CSF, NIST 800-x zij richtinggevend.
Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk
Wensen:
Kennis en/of ervaring met IT-risicomanagement binnen Defensie of een andere hoogrisico IT-omgeving (het bankwezen en/of verzekeringswezen), of (high)techbedrijven met hoge beschikbaarheids- en compliance-eisen
Ervaring met het ontwerpen, conceptualiseren en implementeren van risicomanagement- en IT-processen binnen DevOps-praktijken. Zowel op strategisch/architectuurniveau als op het niveau van concrete ways of working van verschillende teams. Ervaring met of kennis van NIST RMF is een pré
Praktische ervaring met security- en risicomanagement in CI/CD pipelines, inclusief Infrastructure as Code (IaC), containerisatie (bijv. Docker/Kubernetes)
Ervaring met innovatieve technologieën vanuit een security- en risicoperspectief, zoals Robotica, IoT, LLM’s/AI, Cloudplatformen, Low-code platforms en/of RPA
Praktische ervaring met IAM, secrets management en het werken met of inrichten van SIEM/SOC-omgevingen Solliciteer nu!
Duur: 01-04-2026 - 01-04-2027
Optie tot verlenging: Ja
Reageren voor: 18-02-2026
Organisatie:
ICTU
!! Let op. Het aanleveren van een toelichting op de eisen en de wensen en een persoonlijke motivatie is verplicht. Gelieve de eisen en de wensen letterlijk over te nemen vanuit de uitvraag. Zonder deze toelichting en motivatie kunnen wij het aangeboden CV helaas niet verder meenemen in de procedure.
Beschrijving project/programma:
De Koninklijke Marechaussee (KMar) waakt over de veiligheid van de staat binnen diverse vitale processen. Om dit te kunnen bereiken, wordt er steeds meer gebruik gemaakt van eigen ontwikkelde en beheerde IT. De KMar heeft steeds meer behoefte aan softwareontwikkeling door middel van een Agile/SCRUM proces. Het risicomanagement binnen deze processen is nog niet volledig uitgewerkt en in lijn gebracht met breder vigerende beleid. Hierdoor ontstaat er een mismatch tussen werkzaamheden van de softwareontwikkelteams en risicomanagementteams, met het gevolg dat IT niet met de gewenste snelheid en/of risicoafwegingen wordt gerealiseerd.
Het doel van dit project is om ontwikkeling van IT te versnellen, zonder dat hierbij aan risicomanagement tekort wordt gedaan. Onderdeel van dit project is om werkzaamheden van beide teams beter op elkaar te laten aansluiten, waardoor ze in continue harmonie en hetzelfde tempo met elkaar kunnen samenwerken. Dat moet ervoor zorgen dat zodra IT klaar is, het risicomanagementproces ook is afgerond, waardoor de software bijna onmiddellijk na afronding in gebruik kan worden genomen.
Omschrijving einde project/programma:
Het project komt ten einde zodra er is aangetoond dat het risicomanagementproces een zodanig voorspelbaar en gedefinieerd proces is dat deze door functionarissen van alle disciplines goed begrepen en uitgevoerd wordt, en dat deze effectief is voor het realiseren van betrouwbare IT.
Welke rol heeft de professional binnen het project/programma:
De Security Architect heeft een leidende en inhoudelijke rol. Hij/zij werkt zelfstandig, neemt initiatief en realiseert een uitgewerkt, afgestemd ontwerp en implementatie(plan) voor het operating model van hoe de KMar betrouwbare IT realiseert d.m.v. gestandaardiseerde DevOps-methodieken, -processen -tooling, -beleid, et cetera. Het operating model moet passen bij de IT-en risicomanagementbehoeftes van de KMar. Vanuit ervaring met softwareontwikkeling, maar ook met risicomanagement binnen ontwikkel- en beheerprocessen, zal de Security Architect een verbindende rol hebben om tussen de disciplines als brug te fungeren en beiden te adviseren op het gebied van procesgang, werkwijzen, beleid en bovenal samenwerking.
Welke opdracht gaat de professional uitvoeren en welke activiteiten horen daarbij?
De activiteiten die horen bij het realiseren van de opdracht zijn:
•
• Identificeren van het current en target operating model voor (informatiebeveiligings) risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Het opstellen en uitwerken van de security architectuur (denk aan benodigde tooling, uitwerking van operationele processen, andere producten) benodigd voor de Sectie DevOps en het CISO-office, inclusief een implementatieplan.
• Het ontwerpen en uitwerken van conceptbeleid voor risicomanagement binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO) en in lijn met de wensen uit de organisatie
Welke concrete resultaten dient de professional te behalen?
Welke deelresultaten zal de professional dienen te behalen gedurende de opdracht:
•
• Concepten van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Concepten/voorstellen voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
• Concepten van Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.
Welke eindresultaten zal de professional aan het einde van de opdracht dienen op te leveren.
•
• Een uitwerking van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;
• Een voorstel voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO);
• Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.
Wanneer is de opdracht afgerond en beëindigd:
Zodra de hierboven benoemde eindresultaten zijn opgeleverd die voldoen aan vooraf afgesproken kwaliteitsnormen/acceptatiecriteria.
Hoe wat en wanneer zal het werk/de resultaten worden beoordeeld?
Maandelijkse briefing op voortgang door professional aan (vertegenwoordiging van) CISO KMar en Hoofd DevOps. Conceptresultaten zullen na hun akkoord door de professional met een bredere groep belanghebbenden moeten worden afgestemd alvorens er een (eind)beoordeling kan plaatsvinden.
Over welke specifieke kennis beschikt de professional
De aangevraagde professional die we zoeken heeft zowel diepgaande technische kennis van security architectuur (specifiek binnen een DevOps-omgeving), als kennis van information security management, en weet organisatiebehoeftes te vertalen naar concrete elementen uit een operating model (cultuur, beleid, rollen, tooling, processen, werkwijzen et cetera). De professional weet uit eerdere ervaringen wat wel en niet werkt (de architertuur), en welke stappen gezet moeten worden om het operating model te realiseren (het plan/implementatievoorstel). Die kennis is binnen de KMar uniek en moet dus bij een eventuele vervanger ook weer aanwezig zijn.
Gewenst profiel
We zoeken een security professional die aantoonbaar kennis heeft van processen, techniek én beleid die nodig is voor het realiseren van betrouwbare IT voor de uitvoering van KMar-taken. De professional is in staat om in korte tijd complexe processen van verschillende disciplines te versimpelen, verenigen en met verschillende stakeholders samen te werken aan verandering. Hij/zij doet dit door vanuit een architectuurperspectief een operating model uit te werken met oog voor aansluitende processen, ondersteunende tooling, en eventueel ook benodigde rollen, kennis en cultuurshift. De professional is een leider pur sang en weet uit aantoonbare ervaring hoe we als organisatie de eerste zo belangrijke stappen zetten naar een DevSecOps-wijze van IT realiseren.
Functie-eisen:
HBO+/WO werk- en denkniveau, in de richting van Informatica, Cybersecurity, Technische bedrijfskunde, technische bestuurskunde of iets vergelijkbaars.
Minimaal 5 jaar aantoonbare ervaring in een senior rol op het gebied van IT security en/of security architectuur.
Aantoonbare ervaring met het ontwerpen en implementeren van beveiligde IT-architectuur, bij voorkeur binnen DevOps/DevSecOps-omgevingen.
Aantoonbare ervaring met het vertalen van IT beveiligingsbeleid, kaders en risico’s naar IT-architectuur en operationele processen.
Ervaring met het opstellen van architectuur- en implementatievoorstellen, inclusief roadmap en veranderaanpak.
Ervaring met werken in complexe (overheids)organisaties of organisaties met hoge eisen aan betrouwbaarheid en compliance is een pré.
Kennis van relevante standaarden en frameworks, zoals ISO 2700x, NIST CSF, NIST 800-x zij richtinggevend.
Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk
Wensen:
Kennis en/of ervaring met IT-risicomanagement binnen Defensie of een andere hoogrisico IT-omgeving (het bankwezen en/of verzekeringswezen), of (high)techbedrijven met hoge beschikbaarheids- en compliance-eisen
Ervaring met het ontwerpen, conceptualiseren en implementeren van risicomanagement- en IT-processen binnen DevOps-praktijken. Zowel op strategisch/architectuurniveau als op het niveau van concrete ways of working van verschillende teams. Ervaring met of kennis van NIST RMF is een pré
Praktische ervaring met security- en risicomanagement in CI/CD pipelines, inclusief Infrastructure as Code (IaC), containerisatie (bijv. Docker/Kubernetes)
Ervaring met innovatieve technologieën vanuit een security- en risicoperspectief, zoals Robotica, IoT, LLM’s/AI, Cloudplatformen, Low-code platforms en/of RPA
Praktische ervaring met IAM, secrets management en het werken met of inrichten van SIEM/SOC-omgevingen Solliciteer nu!