Information Security Manager, Consultant IT Governance - und IT Compliance

Ausarbeitung/Optimierung/Aktualisierung von Arbeitsanweisungen unter Berücksichtigung interner Prozesse zur Sicherstellung der IT Compliance gegen BAIT mit folgenden Hauptaufgaben:

• Definition der Zielstellung gemeinsam mit dem Kunden
• Klärung der Zuständigkeiten
• Gap-Analyse gegen vorhandene Richtlinien
• Ausarbeitung Entwürfe für Richtlinien (Kryptographie, Incident Management, Schwachstellenmanagement & Monitoring u.a.)
• Qualitätschecks mit Teams
• Freigabeprozess
• Definition eines Beschaffungsprozesses

IT-Compliance & Project Management-Beratung mit folgenden Hauptaufgaben:

• Beratung zur Einführung eines bankweiten, standardisierten Projektmanagementsystems unter Berücksichtigung von Informationssicherheitsaspekten (z.B. BAIT) & Anforderungen an das Management von Projekten bei Banken (BAIT, MaRisk) und bestehender Auditpunkte (KWG)
• Ausarbeitung einer Projektmanagementrichtlinie, eines Projektmanagementhandbuchs unter Berücksichtigung der IT-Strategie
• Strukturierung und Harmonisierung bestehender und fehlender Prozesse
• Ermittlung und Integration bestehender Projektmanagement-Werkzeuge und -Strukturen
• Konzeptionierung und Umsetzung eines Tool-gestützten (Intrexx) Projektmanagements
• Schulung der Mitarbeiter

Unterstützung im Projekt "Weiterentwicklung IRBC" mit folgenden Hauptaufgaben:

• Planung und Umsetzung organisationsweiter jährlicher DR-Tests / Rechenzentrum-Volltests
• Weiterentwicklung des IRBC Managements (ITSCM) auf Basis ISO/IEC 27031 & VAIT
• Aus- und Überarbeitung der Dokumentation für das IRBC-Management (IT-Notfallpläne; IRBC-Policy; IRBC-Handbuch)
• Zuarbeit zu KRITIS-Audit und Bereitstellung von IRBC-Nachweisen
• Verzahnung von IRBC mit Geschäfts- und Governance-Prozessen (BCM)
• Entwicklung, Implementierung und Moderation IRBC-Trainings für Mitarbeiter

IT-Compliance-Beratung mit folgenden Hauptaufgaben:

• GAP-Analyse zu Feststellung Stand der Umsetzung BAIT v2021 & Empfehlungen für Folgemaßnahmen
• GAP-Analyse zu Feststellung Stand der Umsetzung Anforderungen an das (Cloud-) Outsourcing auf Basis BAIT, MaRisk, BSI OPS 2.2 und Bafin Anforderungen an Cloud-Auslagerungen & Empfehlungen für Folgemaßnahmen
• Definition des Informationsverbundes
• Senior Management & Vorstands-Reporting

Identifikation und Implementierung einer professionellen, Enterprise-tauglichen Lösung zur Entschlüsselung von eingehender und ausgehender TLS/SSL-Protokoll-basierender elektronischer Kommunikation zur Prävention vor Datenlecks und zum Schutz vor Schadsoftware.
- Einrichten des Projekts und der Projektsteuerung, Definieren der Projektziele und der Projektorganisation in einer
agilen Umgebung
- Vermittlung zwischen agilem Arbeitsumfeld und klassischer Projektumgebung
- Scrum Master: Coaching des Scrum-Teams zur Selbstorganisation und funktionsübergreifenden Teamarbeit
- Projektbezogenes Lieferanten-, Issue- und Risikomanagement
- Stakeholder Management
- Aufbau und Sicherstellung des Projekt-Reporting

Aufbau und Betrieb eines Stakeholder Managements in einem Projekt zur Einführung einer zentralen und automatisierten Certificate Management Solution (CMS).
• Kontinuierliche Identifikation, Analyse, Steuerung und Überwachung der Stakeholder Management-Aktivitäten
• Ermittlung und Strukturierung der Stakeholder-Gruppen
• Ermittlung der Bedürfnisse der wichtigsten Interessensgruppen
• Bestimmung geeigneter Kommunikationskanäle
• Client Onboarding Management

Erstellung eines Konzeptes (Consulting Thesis) im Rahmen einer „Frictionless Security“-Initiative in Zusammenarbeit mit einer international agierenden Großbank. Thema: Compliance-Management in der Informationssicherheit. Fokus: Softwareentwicklung
innerhalb global -verteilter unternehmenseigener TechCenter.
- Identifikation und Analyse bekannter Sicherheitsprobleme im Kontext Softwareentwicklung in TechCentern
- Definition möglicher Maßnahmen zur Behebung der Probleme auf Basis der Frameworks ISO 27001, SDLC und
Dev(Sec)Ops
- Entwicklung eines Implementierungsplans und eines Piloten zum Nachweis der Wirksamkeit empfohlener Lösungen
- Präsentation der Arbeitsergebnisse vor dem Management

Planung und Durchführung des jährlichen internen Qualitätsmanagement-Audits auf Basis DIN ISO 9001 bei einem mittelständischen Unternehmen im Bereich der Feinmechanik. Kunde: Geschäftsführung.
• Erstellung des internen Auditkatalogs
• Prüfung der Qualitätsmanagement-Dokumentation des Kunden
• Audittätigkeiten vor Ort
• Erstellung des Auditberichts

Beratung eines mittelständischen Unternehmens bezüglich Grundlagen von ISO 27001 / Information Security und
Weiterentwicklung der Informationssicherheit bzw. die Einführung von Informationssicherheits-Managementsystemen
(ISMS) im Unternehmen. Coaching des ISMB hinsichtlich Einführung Risiko- und Kennzahlenmanagement im Kontext
eines Information Security Management Systems. Kunden: Sicherheitsbeauftragte und Geschäftsführung.

• Durchführung einer Trainingsmaßnahme "Überblick ISO 27001" Bedeutung, Aufbau und Einsatzbereiche
• Einführung in die Bedeutung von Risiko- und Kennzahlenmanagement im Kontext eines ISMS
• Moderation und Besprechung konkreter Unternehmens-interner Problemstellungen und Ableitung erster
Lösungsansätze
• Zielgruppe: Sicherheitsbeauftragte und Geschäftsführung.

Evaluierung der Entsorgungsprozesse zur Sicherstellung der Einhaltung von Richtlinien der Informationssicherheit.
Teilnahme an einem Unternehmensaudit. > 2500 IT-Elemente/Jahr. 40 Länder, 130 Standorte.
• Ermittlung der internen globalen Richtlinien zur Informationssicherheit für die Entsorgung von Assets und Speichermedien
• Identifizierung des Status der Implementierung in den 130 globalen DCs und Anlagenstandorten
• Identifizierung von Lücken in Bezug auf die Einhaltung der Vorschriften
• Identifizierung der Hauptlieferanten und der beteiligten Parteien, die für die Einhaltung der Vorschriften verantwortlich sind
• Teilnahme am Kunden-Lieferanten-Audit als Lieferantenvertreter für Asset-Entsorgung

Globale IT-Asset-Abbau-Initiative. ~ 2500 IT-Elemente/Jahr. 40 Länder, 130 Standorte. Re-Organisation, Optimierung
und Standardisierung der Entsorgungsprozesse in eine „Decom Factory“ mit stabilem Betrieb. Führung und Entwicklung
des Decom Teams. Vendor Management. Eskalationsmanagement. Ergebnis: Höhere Durchlaufraten bei geringerer
Fehleranfälligkeit und reduzierten Gemeinkosten (~ 50%) und Übergabe in den regulären Betrieb. Budget > 1 Mio Euro
pro Jahr, bis 10 Mitarbeiter, >1500 PT/Jahr.
 Führung und Management des Aufbaus einer effizienten Ablauforganisation und Zusammenstellung eines
internationalen, aufeinander abgestimmten Teams mit klaren Rollen und Zielvorgaben
 Aufbau einer Daten-Management- und Reporting-Struktur, die Transparenz über das Volumen und den Status der
Abbauaktivitäten schafft
 Aufbau eines Priorisierungsansatzes zur Bestimmung der Rangfolgen bei der Abarbeitung des Backlogs unter
Berücksichtigung der strategischen Ziele des Kunden
 Optimierung und Harmonisierung der internen und externen Ablaufprozesse und Überführung in einen stabilen
operativen Betrieb
Erster Ansprechpartner für und Zusammenarbeit mit Stakeholdern, um die Geschäftsziele und IT Strategie durch
zeitnahe Abbau-Initiativen zu unterstützen
 Identifikation von Stakeholdern und Harmonisierung der Schnittstellen zu anderen Teams und interessierten
Parteien. Entwickeln produktiver Beziehungen zu Geschäftsprozessverantwortlichen im gesamten Unternehmen.
 Team-Führung: Leitung von Standard- und Eskalations-Meetings, Ansprechpartner für Team-Mitglieder,
Mitarbeitermotivation, Stellenbesetzungen, Arbeitszuweisungen. Kommunikation der Ziele und Motivation der
Teams, sich für die Optimierung von Kosten, Risiko und Wert von Abbauaktivitäten über den gesamten Prozess
verantwortlich zu fühlen.
 Zusammenarbeit mit Outsourcing-Partnern, technischen Teams und Vendoren und Überwachen der Aktivitäten
der Lieferanten (d. H. Subunternehmer, externe Dienstleistungen).
 Identifikation und Sicherstellung der Einhaltung regulatorischer Anforderungen bei Abbaumaßnahmen
(Informationssicherheit & Datenschutz). Teilnahme an Kunden-Lieferanten-Audit.
 Finanzverwaltung (Ermittlung des aktuellen Budgetverbrauchs, Budgetbedarfsprognose, Business Case Erstellung)

Sicherstellung der Konformität des Vereines mit den Anforderungen der DSGVO. GAP-Analyse, Identifikation von
Handlungsbedarfen und Implementierung von Lösungen. Aufbau des Management-Systems und seiner Dokumente.
Sensibilisierung von Mitarbeitern.
• Identifikation des IST-Zustandes und GAP-Analyse
• Identifikation von Handlungsbedarfen und Implementierung von Lösungen
• Aufbau und Betrieb des Management-Systems und seiner Dokumente.
• Sicherstellung der Schulung und Sensibilisierung von Mitarbeitern.
• Bericht an den Vorstand

Projektmanager für die Bereitstellung neuer Infrastruktur für die Migration kritischer Datenbanken für Depot-Verwaltung
und Risikomanagement (RMS) von veralteter Infrastruktur auf Tech Road Map-konforme und hoch performante Oracle
Exadata-Infrastruktur in US, UK & APAC. Gesamtwert ca. 4,0 Mio Euro. Supply Chain Management, Management der
international verteilten technischen Teams, Vendoren, Kunden und Senior Management. Problem- und
Eskalationsmanagement.
- Paralleles Management von zwei ORACLE Exadata-Infrastruktur-Aufbau-Projekten:
o Exadata-Projekt I (USA, GB, APAC) - Bereitstellung neuer Oracle Exadata- und ZFS-Appliances, Solace-
Appliances und virtueller Infrastruktur zur Unterstützung der Datenerfassung und Einhaltung von
Vorschriften und der Berichterstattung im Bereich Depot-Management. ~ 2,5 Mio €
o Exadata-Projekt II (GB, Russland) - Bereitstellung neuer Oracle Exadata- und ZFS-Appliances für die
Migration einer kritischen Datenbank (RMS - Risk Management System) von einer veralteten Infrastruktur
zu einer Roadmap-konformen und leistungsstarken Oracle Exadata-Infrastruktur ~ 1,5 Mio. €
- Inbetriebnahme und Initiierung des Projekts sowie Erstellung und Pflege des Projektplans
- Verwaltung der Produktlieferung:
o Koordination internationaler Teams innerhalb einer Matrix-Organisation, Problemlösung,
Sendungsverfolgung, Statusberichterstattung
o Lieferanten- und Lieferantenmanagement
o Eskalationsmanagement: Harmonisierung der Kundenerwartungen und Liefermöglichkeiten der
Organisation
o Beschaffung von Genehmigungen der Geschäftsleitung für den Einkauf von Waren und die Freigabe
von nicht standardisierter Infrastruktur.
o Teilnahme an und Moderation von Stakeholder-Workshops und -Meetings. Status-Präsentation
gegenüber Kunden- und Senior-Management.

Diverse Projekttätigkeiten im Bereich IT & Data Center Infrastructure Management

• Deployment Management im SAP-, UC4- und ETL-Umfeld für den Retail-Bereich einer Großbank.
• Projektspezialist für den Bereich Audit-Beratung und Unterstützung des Projektleiters in einem Projekt zur Sicherstellung der konzernweiten Audit-Compliance zahlungsrelevanter Payment-Gateway-Applikationen.
• Technical Coordinator in einem internationalen Oracle Patch & Upgrade Programm mit > 7500 Datenbanken.
• Team Lead Evaluation & Service Transition Build-Management für jährlich ca. 300 Service-/IT-Infrastruktur-Requests im Wert > 1,5 Mio €.
• Management der Vertragsgestaltung im Rahmen eines IT-Outsourcing-Vorhabens
• Implementierung der ITIL Prozesse Incident Management und Request Fulfillment.
• Beratung und Begleitung: Implementierung einer unternehmensweiten Projektmanagementmethode auf der Grundlage von PRINCE2.
• Sicherstellung der Akkreditierung eines Unternehmens für PMI (R.E.P), PRINCE2 (ATO) und ITIL (ATO, AEC). Vorbereitung und Begleitung von externen Audits.