Interim CISO (Deutschland, Österreich, USA, APAC), Auditor
Gröbenzell, Deutschland
Erfahrungen
Mai 2023 - Okt. 2024
1 Jahr 6 Monaten
Ravensburg, Deutschland
Interim CISO (Deutschland, Österreich, USA, APAC), Auditor
Vetter Pharma-Fertigung GmbH & Co. KG
Planung und Einleitung von BIA/BCM-Bewertungen – zur Ermittlung von Risikominderungsmaßnahmen und Prozessoptimierung sowie zur Schaffung von Risikotransparenz für die Geschäftsleitung
KRITIS/NIS-2-Statusbewertung und Umsetzung der KRITIS/NIS2-Anforderungen
Erstellung einer umfassenden digitalen Gesamt-Roadmap sowie einer ISO 27001 / NIS-2 / KRITIS-Roadmap
Verbesserung des Krisenmanagementprozesses und der Dokumentation
Einbindung von Informationssicherheitsklauseln in Kunden- und Lieferantenverträge zur Einhaltung interner und regulatorischer Vorgaben
Sicherstellung der organisatorischen Auditbereitschaft gegenüber der Landesbehörde für Aufsicht (LBA) und Unterstützung bei Auditprozessen
Optimierung der Asset-Management-Prozesse und Klassifizierung sensibler Daten zur Stärkung der Sicherheit
Planung und Beauftragung regelmäßiger Penetrationstests (intern, extern) zur Erkennung von Schwachstellen und Verbesserung der Sicherheitsmaßnahmen
Compliance-Prüfung nach EU CER-Anforderungen und Berichterstattung
Erstellung von Managementstatus- und Risikoberichten für die Geschäftsleitung zur transparenten Kommunikation von Risiken und Sicherheitslage
Verwaltung der Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und laufende Statusaktualisierungen
Risikobewertung der Lieferkette, Optimierung von Bewertungs- und Berichtprozessen
Verbesserung der IT/OT-Netzwerksegmentierung zur Erhöhung der Sicherheit und Reduzierung potenzieller Risiken
Stärkung der Cyber-Resilienz durch proaktive Maßnahmen, verbesserte Sicherheitsrahmen und KPI-Berichte
Einführung von SIEM/SOC/EDR zur Verbesserung der Cybersecurity-Überwachung und -Reaktion
Planung und Durchführung von Awareness-Trainings (Mitarbeiter, Administratoren und Management)
Optimierung der Vorfallmeldeprozesse für zeitnahe und genaue Meldung von Cybersecurity-Ereignissen
Erstellung einer KI-Richtlinie in Zusammenarbeit mit der Rechtsabteilung für den sicheren Einsatz und die Governance von Künstlicher Intelligenz (KI) im Unternehmen
ISMS-Abgrenzung und Umsetzung der ISO 27001:2022-Anforderungen im Rahmen des Informationssicherheitsmanagementsystems (ISMS)
Interim InfoSec Team Lead
Einführung von Informationssicherheit in die globale KAM- und Vertriebsorganisation
Verbesserung des Zugangs- und Berechtigungsmanagements einschließlich privilegierter Zugänge
Durchführung interner Audits in Zusammenarbeit mit der Internen Revision
März 2023 - Bis heute
2 Jahren 5 Monaten
München, Deutschland
Interim CISO (Deutschland, Südafrika, USA, UK), Auditor
METRONOMIA Clinical Research GmbH
Vorbereitung auf die ISO 27001:2013-Zertifizierungsaudit
Erstellung einer Roadmap zur Implementierung von ISO 27001
ISMS-Abgrenzung und Umsetzung der ISO 27001:2013-Anforderungen
Planung und Durchführung der Migration von ISO 27001:2013 auf ISO 27001:2022
Erstellung einer umfassenden Migrationsroadmap für ISO 27001:2022
Verbesserung und Durchführung von Risikoanalysen und Berichten
Optimierung von Schwachstellenscans, -management und -berichten
ISMS-Dokumentation und Managementberichte
Verbesserung der Lieferketten-Risikobewertung und Berichterstattung
Stärkung der Cyber-Resilienz
Verbesserung des Zugangs- und Berechtigungsmanagements einschließlich privilegierter Zugänge
Optimierung der Identity- und Access-Management-(IAM)-Prozesse, Überwachung und Berichterstattung
Verbesserung des Krisenmanagementprozesses und der Dokumentation
Planung und Beauftragung regelmäßiger Penetrationstests (intern, extern) zur Schwachstellenerkennung und Sicherheitsverbesserung
Ausbau von externen Schwachstellenscans sowie Prozessoptimierung im Vorfallmanagement und Reporting
Planung und Durchführung von Lieferanten-Risikobewertungen zur Einhaltung interner und regulatorischer Vorgaben
Verbesserung des Managements und der Überwachung privilegierter Zugriffsrechte
Durchführung interner Audits zur Einhaltung von ISO 27001 Anhang A
Managementstatus- und Risikoberichte
Optimierung der Asset-Management-Prozesse und Klassifizierung sensibler Daten zur Erhöhung der Sicherheit
Weiterentwicklung der Informationssicherheitsstrategie
Erstellung einer KI-Richtlinie in Zusammenarbeit mit der Rechtsabteilung für den sicheren Einsatz und die Governance von KI
Definition und Einrichtung von CISO-relevanten Informationssicherheits-KPI-Berichten
Planung und Durchführung von Awareness-Trainings (Mitarbeiter, Administratoren und Management)
Einrichtung regelmäßiger Jour Fixe mit Qualitäts- und IT-Verantwortlichen
Etablierung regelmäßiger Jour Fixe mit externem Datenschutzbeauftragten
Vorbereitung und Durchführung der KRITIS-/NIS-2-Relevanzanalyse für das Unternehmen