Nikolaus B. - IKT-Risikomanagement und Informationssicherheit

Langenfeld, Deutschland

Erfahrungen

Okt. 2024 - Bis heute

1 Jahr 3 Monaten

Eigenständige Erarbeitung von Richtlinien, Vorgaben und Konzepten zum IKT-Risikomanagement und zur Informationssicherheit
Beratung der Fachbereiche zu Fragen des IKT-Risikomanagements und der Informationssicherheit
Weiterentwicklung des IKT-Risikomanagementrahmens, der die Identifikation, Bewertung und Steuerung von IKT-Risiken regelt
Evaluierung des Managementsystems für Informationssicherheit (ISMS) inkl. Anpassung an neue Herausforderungen
Durchführung von Risikoanalysen zur Identifikation und Bewertung potenzieller IKT-Risiken sowie Risiken für die Informationssicherheit des Metzler-Konzerns
Beratung bei der Definition und Implementierung von Maßnahmen zur Risikominimierung und zur Verbesserung der Resilienz der IKT-Systeme
Beratung zur Sicherstellung der Compliance mit relevanten internen und externen regulatorischen Anforderungen (z. B. MaRisk, DORA, BAIT, BSI IT-Grundschutz, ISMS, ISO 27001, ISO 42001, ISO 27005, BCM ISO 22301)
Beratung bei bereichsinternen und übergreifenden Projekten, einschließlich SAP DORA Compliance und Target2 sowie § 8a-BSI-Gesetz

Apr. 2024 - Sept. 2024

6 Monaten

Berlin, Deutschland

Abstimmung der ISMS-Prozesse mit dem Auftragnehmer (ISO 27001 & BSI IT-Grundschutz)
Verifikation und Mitwirkung bei der Erstellung des Sicherheitskonzepts „Netzwerkmanagement Plattform“
Beratung und Ansprechpartner für sicherheitsrelevante Themen der Autobahn
Bericht an Geschäftsleitung und Programmleitung
Fachliche Begleitung der Prüfprozesse der Abteilungen Info-/IT-Sicherheit und Datenschutz
Abstimmung der Prozesse zu Info-/IT-Sicherheit und Datenschutz
Unterstützung bei der Kopplung der SIEM-Systeme zwischen Auftraggeber und Auftragnehmer
Konzeption und Etablierung der Kopplung der Notfallmanagementsysteme
Beratung und Mitwirkung bei der Umsetzung von Informations-, IT-Sicherheits- und Datenschutz-Anforderungen
Mitwirkung bei Audits und Revisionen basierend auf BSI-IT-Grundschutz
Beratung bei der Weiterentwicklung von KRITIS-Maßnahmen
Vorbereitung und Begleitung der § 8a-Prüfung

Okt. 2023 - März 2024

6 Monaten

Neuss, Deutschland

Unterstützung bei der Migration von HiScout zu ForumSuite (u. a. IS-Risikomanagement-Tool)
ISMS, Risk-Management, Business Continuity Management, Notfallmanagement
Überarbeitung und Verbesserung des ISMS und BCM sowie Anpassung zur Revisionssicherheit
Definition und Umsetzung von Maßnahmen zur Behebung von Mängeln und Notfallplänen
Beratung zur Prüfungsvorbereitung
Bericht an die Abteilungsleiter und Geschäftsleitung
Beratung zu DORA-RTS/IST/Guidelines, GAP-Analyse
Beratung bei Anforderungen nach BSI IT-Grundschutz und KRITIS-Prüfung (§ 8a-BSI-Gesetz)
Beratung zu ISO/IEC 27001/27002 und ISO/IEC 22301
Erstellung eines bankindividuellen Sollmaßnahmenkatalogs (BASI) und weiterer Leitfäden (z. B. Ordnungsmäßigkeit, Grundlagen der IT-Regulatorik)
Beratung zu BAIT, KAIT, VAIT, ISO 9001 und branchenspezifischen Sicherheitsstandards (B3S)

Okt. 2022 - Sept. 2023

1 Jahr

Düsseldorf, Deutschland

Identifikation und Dokumentation von Lücken im bestehenden Lebenszyklus der sicheren Softwareentwicklung
Definition eines Governance-Rahmens für einen modernen sicheren Softwareentwicklungslebenszyklus basierend auf DevSecOps-Prinzipien und Berücksichtigung der identifizierten Lücken
Analyse und Dokumentation von Lücken im zentralen Tooling für DevSecOps-Aktivitäten
Definition und Dokumentation von Auswahlkriterien für Werkzeuge zur Schließung der identifizierten Lücken basierend auf branchenweiten Sicherheitsstandards
Erstellung einer konzernweiten Richtlinie für den sicheren Entwicklungslebenszyklus basierend auf ISO 27001/ISO 27002 und NIST
Verbesserung der Cloud-Infrastruktur Azure und des Toolings (SAST, DAST, IAST, IaC, OWASP, Mitre, CERT, CSA)
Beratung zur Weiterentwicklung von KRITIS-Maßnahmen
Ansprechpartner für Auditoren

Jan. 2022 - Sept. 2022

9 Monaten

Heidelberg, Deutschland

Entwicklung und Umsetzung einer zertifizierbaren Informationssicherheitsstrategie nach ISO 27001
Erarbeitung von Präsentationen und Business Cases als Entscheidungsgrundlage
Aufbau eines zertifizierbaren ISMS nach ISO 27001 (BSI IT-Grundschutz/§ 8a-BSI-Gesetz)
Management von Beratungsunternehmen (PWC, DIOX, BDX, TGS, CBRE)
Management von Informationssicherheitsvorfällen mit Bericht an die Geschäftsleitung
Kommunikation und Koordination mit internen cross-funktionalen Teams
Entwicklung und Weiterentwicklung von Sicherheitskonzepten und Richtlinien
Aufrechterhaltung der externen Kommunikation mit Stakeholdern und Behörden
Implementierung, Pflege und Weiterentwicklung des unternehmensübergreifenden Risikomanagementsystems
Berücksichtigung und Bewertung relevanter rechtlicher und regulatorischer Anforderungen
Auditmanagement für die Informationssicherheit
Sensibilisierung für die Anforderungen der Informationssicherheit durch Schulungsprogramme
Beratung zu Informationsschutz und IT-Sicherheitsanforderungen
Kontinuierliche Verbesserung und Überwachung des ISMS-System