Beschreibung
Für unseren Kunden in der Logistikbranche sind wir auf der Suche nach einemCISM zertifizierter Executive Consultant | CyberSecurity/KRITIS (m/w/d)
Start: 11.01.2021
Ende: 02.07.2021
Volumen: 125 PT
Ort: Frankfurt am Main / remote (Leistungen bis Ende Q1/2021 sollen nach Möglichkeit remote erbracht werden)
Muss-Anforderungen:
- Die verständliche Darlegung und Strukturierung komplexer Sachverhalte und Problemlagen, die Bewertung der Konsequenzen in eigenen Verantwortungsbereichen und die Ableitung, Bewertung von Handlungsoption gegenüber Dritten muss ein Aspekt der Fähigkeiten sein. Er führt zusätzlich seine Kunden sicher durch Analyse- und Entscheidungsprozesse von erheblicher geschäftlicher Bedeutung.
- Mehrjährige Erfahrung in der eigenverantwortlichen Durchführung von Beratungsprojekten im Umfeld von Prozess und/oder Organisationprojekten im Bereich ICT und/oder Transport & Logistik
- Eine Mehrjährige Branchenerfahrung (>2 Jahre) im für den jeweiligen Auftrag relevanten Bereich (IT-SiG und ISO 270xx) sollte mitgebracht werden.
- Erstellen von Präsentationen neuer Themen und Sachverhalte für größere Gruppen und in bereichsübergreifenden Gremien sind Routine.
Soll-Anforderungen:
- Zertifizierung im IT-Sicherheitsumfeld bspw. CISM sollten
- Lenken, steuern und motivieren kleinerer Teams, inkl. eigenverantwortlicher, praxiserprobter Strukturierung von (Teil-) Projekten, nach jeweils relevanten Vorgehensmodell (Wassfall oder Agil)
- Schnelle Auffassungsgabe im Hinblick auf technische Zusammenhänge und das unterbreiten von Lösungsvorschlägen im Leistungsumfeld.
- Unterstüzung der Projektmanager eines oder mehrerer (Groß)Projekte mit fachlich fundierten Lösungen bei schwierigen Fragestellungen und komplexen Sachverhalten
- Moderation größerer Veranstaltungen (z.B. Workshops), auch bei konfliktgeladenen Themen
- Verstehen, aktives Gestalten und Optimierung von Geschäftsprozesse und Organisationen, vor allem aktuelle Kenntnisse von Geschäftsprozessen im spezifischen Themengebiet „Kritischer Infrastrukturen“
Aufgaben im Projekt:
Überprüfung der festgestellten Mängel der §8a-Prüfung und Erfassung der darauf definierten Maßnahmen aller KRITIS-GF der DBAG
- Die Überprüfung der definierten Maßnahmen auf den Mangel (Angemessenheit), Hinterfragung und Abstimmung bei offensichtlichen Abweichungen ebenfalls auch auf den dazugehörigen ISO-Controls
- Klassifizierung und Zuordnung der Maßnahmen nach Themen (u.a. ISO 27001) und den aktuell laufenden CS@DB-Projekten
- Überprüfung nicht klassifizierter Maßnahmen auf Gemeinsamkeiten und erarbeiten von Vorschlägen möglicher neuer Themenbereiche/Projekte, sowie Adressierung in dafür vorgesehenen Gremien
- Regelmäßige Überprüfung der Abarbeitung von Maßnahmen und Melden von Auffälligkeiten wie Verzögerungen, unrealistische Annahmen oder Zielsetzungen
- Erarbeiten/Vorbereiten und Nachbereiten von projektspezifischen Inhalten für Gremiensitzungen (bspw. Konzernvorstand, Lenkungskreis und Arbeitskreise)
Alle Bearbeitungsschritte im KRITIS-Umfeld sollen zusätzlich auf Verbesserung und Automatisierung überprüft und wenn möglich umgesetzt werden
- Überprüfung, bzw. Vorstellung von möglichen automatisierbaren Bearbeitungsschritten, sowie Optimierung von Prozessen und Erarbeitung von Lösungsvorschlägen gegenüber dem Projektleiter
- Erarbeitung von verbesserten Kommunikationswegen zwischen den GF und Konzern, sowie konzernintern.
Überprüfung von neuen Anforderungen bspw. des Gesetzgebers
- Neue Anforderungen wie Gesetze (u.a. IT-SiG 2.0), Änderung von Vorschriften müssen auf mögliche Konsequenzen und zusätzlichen Aufwand der Umsetzung für die DB AG und deren GF überprüft, erfasst und bewertet werden.
- Alle Erkenntnisse müssen verständlich aufbereitet und den betroffenen Bereichen (bspw. Projekten, GF, Führungsebene) präsentiert werden.
Projektbeschreibung:
Durch die Einführung des IT-Sicherheitsgesetzes mit der KRITIS-Verordnung im Jahr 2017 gilt die Deutsche Bahn AG (DBAG), mit sieben Geschäftsfelder (GF) des DB-Konzerns plus fünf Tochtergesellschaften der DB AG, als Betreiber kritischer Infrastrukturen (KRITIS-Betreiber). Hieraus resultieren neue, höhere Anforderungen an die Informationssicherheit der DBAG. Um diese Anforderungen zu operationalisieren wurde das Konzernprogramm CyberSecurity@DB ins Leben gerufen.
Die Informationssicherheit der DB AG ist seit dem Umsetzen der Anforderungen des IT-Sicherheitsgesetztes im Jahre 2017 in regelmäßigen Abständen risikoorientiert gegen den aktuellen Stand der Technik zu analysieren, der Umsetzungsgrad definierter Maßnahmen zur Erhöhung der Informationssicherheit informationsverarbeitender Systeme ist nachzuhalten und dem Gesetzgeber gegenüber durch eine „Prüfende Stelle“ nachzuweisen.
Beim ersten Prüfungsdurchlauf des Korbs 2 2019 wurden durch die Prüfende Stelle Mängel identifiziert, welche durch abgeleitete und bereits initiierte Maßnahmen abzustellen sind. Aufgrund dessen wurde das CyberSecurity@DB-Projekt „KRITIS-Koordination DB-Konzern“ ins Leben gerufen. Dieses verfolgt das Ziel, jederzeit einen Überblick über die KRITIS-relevanten Themen und Projekte der betroffenen sieben GF bereitstellen zu können („Sprechfähigkeit gegenüber Vorstand“) und zum anderen GF-KRITIS-relevante Themen in die Priorisierung der Projekt- bzw. Rolloutplanung des Cyber Security-Programms einzubringen. Darüber hinaus soll diese Rolle auch Synergien heben und dafür sorgen, dass Erfahrungen aus den GF geteilt werden, um die Umsetzung zu vereinfachen und zu beschleunigen.
Konkret bedeutet dies:
- Die Abarbeitung der gesamten Mängel und deren Maßnahmen wird vom Projekt nachverfolgt und an den Konzernvorstand berichtet.
- Die Abarbeitung von konzernübergreifenden Mängeln (wie z.B. Abdeckungslücken in den Konzernrichtlinien) und deren Maßnahmen wird durch das Projekt koordiniert.
- Die Kommunikation zu den relevanten Aufsichtsbehörden (BSI, EBA) wird durch das Projekt koordiniert.